如果說，初級IT安全管理員這個崗位非常迷人，工作中充滿了刺激，這肯定是不現實的。不過雖然這個工作沒有馬戲團的馴獸員調教獅子老虎那么刺激，但是也有其自身的樂趣。對于我來說，最喜歡做的就是處理那些被惡意軟件感染的電腦。可能很多自身安全專家覺得這種工作太小兒科，但是它對于IT安全新手來說確實是一個學習的絕好機會，從中我們可以認識到企業的IT安全現狀，學習風險預測，日志分析以及安全威脅信息的歸檔等。

在處理可能由惡意軟件引發的問題時，我一般會使用以下工具：鉛筆、記事本、U盤、光盤(防止USB接口被惡意軟件屏蔽)，以及一些零碎工具。雖然看上去有些凌亂，但是每樣工具都有它的作用。

針對惡意軟件所作的處理工作可分為以下幾個步驟：

#1評估威脅程度。在這一階段還不需要將問題復雜化，也就是說，不需要詳細的計算損失。只需要注意感染跡象，并按照下面的幾個等級將威脅進行評級即可：

·低:有明顯的被感染癥狀，但是可以很容易清理

·中:有明顯的被感染癥狀，需要一定精力和多種工具才能清除所有病毒/惡意軟件痕跡。

·高:沒有明顯癥狀，但是會在企業不知道的情況下活躍的盜取企業數據。(最危險的惡意軟件類型就是沒有明顯跡象的，而要避免和清除這種威脅，對IT安全工作者來說是很大的挑戰，很多專業人士也有自己總結出的一套經驗辦法)

#2分析來自公司反病毒系統的日志并尋找相關信息。這臺電腦是否在之前就有過被感染的記錄，當時是否徹底清理了惡意軟件?這臺電腦是否頻繁被感染?這些問題可以幫助管理人員進行企業電腦系統的整體風險預測，從而輔助企業進行一系列決策，比如員工們是否需要進一步的安全培訓?通過分析企業的各種反病毒設備的日志，比如電子郵件過濾日志、Web使用情況報表、網絡入侵檢測系統的日志等，可以幫助管理人員判斷入侵發生的位置，感染的范圍，透過哪種漏洞進行感染的，為何安全防御系統“失效”，以及未來該如何防止此類感染發生。(有時候這些問題的答案需要等到步驟3和步驟4之后才能完全給出).

#3向同事進一步詢問信息:在發現電腦有問題時，正在瀏覽什么網站，是否打開了郵件附件，第一次感染跡象出現在什么時候(這些問題并不是走形式，一定要問清楚)。但是記住不要一開始就指責員工，人們都是傾向于在沒有抗拒心理時透露更多信息。

用鉛筆和記事本將員工陳述的重點記錄下來。在獲得了你所需要的信息后，別忘了給同事買杯咖啡或給個糖吃，為他對你工作的配合表示一下感謝，這樣你以后的工作也會更加順利。

#4清理被感染的電腦。用U盤中的工具軟件清理電腦中的惡意軟件。我的U盤和CD光盤中包括以下這些工具：

·USBDummyProtect

防止任何惡意軟件向U盤中寫入代碼，阻止惡意軟件的進一步傳播和破壞。

·SuperAnti-Spyware

惡意軟件和病毒檢測清除工具，尤其擅長清除FakeAV(假冒殺毒軟件的木馬)

·MalwareBytesAntiMalware

另一款流行的病毒查殺工具

·SysInternals

http://live.sysinternals.com/這個網站包含了很多工具軟件，其中ProcMon和RootkitRevealer都是不錯的惡意軟件頑固殘留清除工具。

·EXEFIX_XP

·修復因為惡意軟件而受損的可執行文件和快捷方式

·SophosRootkitRevealer

如果各種殺毒軟件都沒有檢測到惡意軟件，有可能是rootkit類型的惡意軟件。這種情況可以通過Sophos工具進行查殺，它對各種類型的rootkit惡意軟件都有效。

·aswMBR

這是來自Avast的Rootkit掃描工具，針對TDL4/3,MBRoot(Sinowal),Whistler,以及多種難纏的rootkits

·KasperskyRescueCD

很多時候，我們試過了各種查殺軟件，也無法徹底清理掉某些惡意軟件，這時可以通過救援光盤啟動，防止系統在引導時即被感染。系統通過救援CD啟動后，可以比較容易得清除掉惡意軟件。

#5將所有發現的事項進行記錄這里所說的事項，包括病毒/惡意軟件感染，安全漏洞攻擊，以及各種安全威脅等。大部分惡意軟件查殺工具都會列出被感染文件、惡意軟件名稱和類型等信息。其它有關惡意軟件的額外信息可以通過網絡上的惡意軟件數據庫獲取，比如MicrosoftMalwareProtectionCenter或McAfeeThreatIntelligence。所有主流的病毒查殺公司都有類似的研究頁面供網民參考。確保將所有的問題及答案都記錄下。

#6調整企業的安全系統和策略這個步驟的目的是解決企業現有的安全漏洞或安全策略缺陷，防止同類入侵事件再次發生。這個工作需要我們平衡嚴格安全策略和工作便利性之間的關系，畢竟我們不能對每個病毒感染報告都反應過度。而采用基本的風險管理策略，就可以避免條件反射似的無章法的應對行動。如果你是IT團隊中的新人，能做的也就是為那些決策制定者提供以上那些信息。

處理被感染的電腦，本來就不是一個微不足道的任務。作為一個安全管理新手，當有公司同事報告電腦被病毒感染時，你所要做的不僅僅是清理病毒和恢復電腦正常，還要收集有關的感染信息作為未來公司制定安全防護策略的原始依據。

【編輯推薦】

1. Duqu惡意軟件忠告：企業應該擔憂Duqu木馬嗎
2. 惡意軟件嚴重程度遭質疑
3. 惡意軟件未來會是什么樣子？
4. 網絡攻擊如何逃避惡意軟件檢查？