论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1564阅读
  • 0回复

[原创文章]使用U盘与恶意软件作斗争 [复制链接]

上一主题 下一主题
离线jlchen10000
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-03-01 09:16:41
使用U盘与恶意软件作斗争
通常律师和医生在出席Party时不喜欢告诉别人他们自己的职业,只要有人听说他们的身份,就会咨询医疗或者法律方面的事情。而现在,如果你说你在计算机安全领域工作,在你为周围同样会很多人向你咨询安全相关信息。
  经常会出现这种情况,当信息安全专业人员需要执行一些快速修复工作时,发现没有合适的工具集。为了解决这个问题,我们在本月的应用指南中将讨论如何建立一个用于修复被感染的计算机的便携式软件工具箱。互联网上有大量免费的非常有用的系统分析工具和反恶意软件工具。我建议管理员下载这些软件并且把这些软件刻录到CD光盘上,最好是写在价格很便宜的1GB优盘。然后随身携带这个优盘,这样你就可以像一个信息安全的超级英雄那样在灾难中把人们挽救过来。

  第一件武器:杀毒和反间谍软件

  首先,你需要能够扫描系统、检测和删除系统中恶意软件的杀毒和反间谍软件工具。我最喜欢的免费杀毒扫描软件是ClamAV。这是Sourcefire在2007年8月收购的一种杀毒工具。不过,应定期下载病毒特征库并更新。

  对于反间谍软件,我最喜欢的免费工具包括Lavasoft AB公司的Ad-Aware、Spybot Search和Destroy以及趋势科技的HijackThis。虽然许多商业厂商都购买许多这类产品,但是只要这种软件是免费的、高质量的和保持更新的,使用这种软件就没有什么错误。

  第二件武器:机器分析器

  对Windows系统进行深入分析的最佳资源之一是微软在2006年7月收购的Sysinternals。我希望许多Sysinternals工具最终将集成到Windows系统中。但是,在此之前,下载这些工具是很有帮助的。下面是一些重要的Sysinternals工具。

  ·Process Explorer(进程浏览器)实际上就是一种Windows任务管理器。它显示全部运行的进程,指出它们的层次关系以及它们装载的动态链接库。

  ·Filemon和Regmon分别使用文件系统和注册表记录所有的相互作用,并且能够实时完成这些任务。

  ·流进程监视器,Sysinternals工具中新增加的一种工具,基本上是把上述三种工具集成在了一起,详细说明一台机器上运行的全部进程。

  ·Autoruns程序显示一个系统在启动时或者用户登录时自动开始运行的全部程序。因为间谍软件经常修改自动启动目录或者注册表,这个程序对于分析一台机器的启动状态是非常重要的。

  ·TCPView以图片方式提供TCP和UDP端口使用情况,把每一个端口与它正在使用的流程关联起来。

  ·Strings在屏幕上显示一个文件的字符串。粗心的恶意软件作者把字符串留在他们的代码中。这种字符串经常是ASCII字符串。要让Sysinternals程序查找ASCII字符串,而不是系统默认的Unicode字符串。运行这个程序时要使用-a这个参数。

  ·最后使用RootkitRevealer查找rootkit,确定一个系统在什么时候提供有关哪一个文件或者注册键出现的错误信息。

  使用这些工具收集到的信息,再加上用搜索引擎搜索一下具体的进程、动态链接库和文件名,能够帮助识别在一台计算机上的恶意活动第三件武器:微软基准安全分析器(MBSA)



  微软的这个免费的方便诊断工具能够查看Windows计算机的数百项设置,确定其安全状态和提出建议。MBSA能够披露补丁已经过期可能让恶意软件感染等安全漏洞。我还建议你们携带一个名为Netcat的网络安全工具。这种工具能够在TCP连接或者UDP端口上发送任意数据。Netcat能够移动文件(如MBSA或者ClamAV等工具生成的报告)或者存档远程访问(shell access)。

  第四件武器:LADS

  Frank Heyne公司的这个免费软件工具可以查找基于NTFS的文件系统中的附加数据流(ADSes)。附加数据流是默认的隐藏文件,黑客有时候利用这种文件隐藏其恶意。Windows Vista操作系统新增加的一个选项能够使用内置的“dir”命令加上“/r”参数显示数据流。由于Windows Vista以前版本的系统仍在使用,LADS这样的工具应该是你的工具箱中的另一个重要工具。

  第五件武器:VMware播放器/VMware安全浏览设备

  VMware播放器是一种免费的虚拟化应用程序。这种软件能够让客户机在Windows计算机上运行。VMware安全浏览设备包括一个免费的配置火狐浏览器的Ubuntu操作系统。

  有时候,互联网访问需要下载一个额外的工具。如果手头没有其它机器,VMware就可以安装到机器上,运行这个虚拟机就可以访问互联网。

  一旦你建立了消灭恶意软件的USB武器库,你一定要把这个优盘设置为只读模式。许多优盘有只读访问的硬件开关,打开这个开关,因为我们不希望恶意软件感染我们的武器库。所以我一般不购买没有硬件支持只读访问的优盘。

  最后,不要让这些工具仅仅局限于一个优盘分析工具。你可以根据你的需求增加其它组件。但是,不要向这个优盘下载你不知道用途的工具。不正确地运行一个工具可能会给机器造成更大的破坏。你要在实验室里用实验的机器练习使用这些工具,认真思考每一个工具如何能够帮助你修复一台被感染的机器。只需很少的计划和大量的练习,一个消灭恶意软件的优盘就可以很好地为你服务。