4.2.3 确定事件响应的先后顺序

　　一旦恶意软件事件被确认，下一步行动就是采取处理措施。有一些恶意软件，譬如蠕虫，会在短时间之内造成极大的危害，因此要优先处理类似病毒。其它病毒，诸如木马感染的只是单一系统，可以根据数据的价值等采取保护措施。企业有必要建立一套恶意软件响应的等级制度。这一制度需要考虑如下因素：

　　■ 恶意软件进入系统的方式和传播机制

　　■ 恶意软件的种类

　　■ 恶意软件在系统中使用了什么攻击者工具

　　■ 受感染的网络和系统

　　■ 恶意软件事件的后续影响

　　4.3 抑制病毒

　　抑制恶意软件包括两部分：一是禁止恶意软件的传播，防止感染其它系统;针对所有的恶意软件都需要采取抑制措施。在应对恶意软件事件的过程中，确定采用何种抑制方式很重要。孤立感染事件和非传播性恶意软件的抑制很简单，采取直接断网或是关闭系统的方式即可。对于传播广泛的恶意软件事件来说，企业需要及时采取措施限制计算机感染的数量，造成的危害，以及减少完全恢复系统和服务的时间。

　　在抑制恶意软件事件的过程中，要知道禁止恶意软件的传播并不能防止其对系统造成的进一步的伤害。即使是在企业完全禁止其传播之后，恶意软件还会继续传播和删除数据，应用程序和操作系统文件。除此之外，有一些恶意软件在断开网络连接或是采取抑制措施之后导致额外的伤害。譬如，有的感染系统运行的恶意程序不断与其它系统联系。如果切断网络就会切断与网络的联系，恶意软件就会重写主机硬盘上的所有数据。所以，仅仅断网是不够的，还要采取进一步的措施防止进一步的伤害。

　　企业需要建立相关的流程作出抑制恶意软件相关的决定，这些决定要反映风险可接受性层级。譬如说，企业决定运行关键功能的系统即使在感染病毒的情况下也不能断网，因为断网有可能带了更大的损失。恶意软件抑制战略要支持事件处理人员根据不同的感染作出不同的抑制决策。

　　恶意软件抑制方法可以分为四种：依靠用户参与;执行自动探测;临时中断服务;禁止特定的网络连接;以下4.3.1到4.3.4将详细介绍这四种方法。

　　4.3.1 全民皆兵，用户参与

　　用户的参与是抑制措施中关键的一环，特别是在大规模的事件中。企业教导用户如何辨别感染，系统感染之后的应对方法，譬如说，寻求帮助，断开系统网络，或是关闭系统。这些指导要涵盖恶意软件清除，譬如升级杀毒软件病毒库和执行系统扫描，或是使用特制的恶意软件根治软件。这些措施对于管理混乱的网络环境和自动根治方法不可靠的情况下是非常有效的。

　　正如4.1.2中所说，用户之间信息的沟通很重要。尽管现在电子邮件是最有效的沟通途径，但是在关键时候还是有可能抛锚或是用户收到邮件时为时已晚。因此，企业需要有备用的通讯方案保证信息发布的及时有效，譬如在企业只能发布信息到用户的声音邮箱，在工作场所张贴公告，散发传单等。在系统登录的时候发布系统信息也是很有效的，但是很多用户长期不退出或是忽略了这些消息。那些在家庭或是分支机构办公的员工，企业要保证信息到达用户。另外一个重要的措施就是给用户提供软件，譬如清除软件，软件升级，补丁和升级的病毒库。

　　尽管用户的参与很重要，但是单靠此显然是不够的。不管信息沟通渠道多么畅通，总会有用户收不到信息或是忽略。还有，一些用户收到指示之后，由于不知所云，所以很难按照指示去办，或是理解错误对系统造成损害。有一些用户可能只关注常用的工具，而忽略了恶意软件对系统的影响。但是，我们说，在一次大范围的恶意软件感染范围之内，用户的参与会大大减轻技术人员的负担。

　　4.3.2 自动探测，大显神威

　　很多恶意软件事件使用3.4中描述的技术得到一定的抑制。这些技术包括，杀毒软件，电子邮件过滤，和入侵防范过滤。由于主机上的杀毒软件具有探测和删除病毒的功能，所以在恶意事件抑制中备受喜爱。然而，这些探测工具的不足之初在于其只能依据现有病毒库探测，无法应对新的恶意软件。只有不断的更新病毒库才能不断的检测新的病毒，然而，在升级病毒库的间歇，恶意软件已造成巨大伤害。并且病毒库的发布也是一个问题。你不可能在同一时间满足所有升级请求。

　　在一次大规模的恶意软件事件中，如果恶意软件未被杀毒软件辨认或是病毒库升级尚未完成，企业需要临时使用其它安全措施抑制恶意软件。在企业收到升级的病毒库之后，最好是测试一下，以免对企业正常的系统造成冲击。另外一个使用多种安全措施的原因就是防止单一技术的过载。期待杀毒软件处理所有的恶意软件事件工作量是不现实的。通过探测和阻止恶意软件的深度防御战略，企业可以分散杀毒软件的工作量。还有，使用不同的探测器可以适应不同的环境。以下列举常用的自动探测工具：

　　■ 电子邮件过滤 电子邮件服务器和客户端，以及杀毒软件可以阻止包含一定特征的电子邮件和附件。譬如，主题，发送人，信息文本，附件类型和名称。但是，现在恶意软件的特征越来越多样化，譬如，病毒可以使用上百个不同的主题，看起来都可能是合法邮件。还有一些病毒甚至产生随机主题或是附件名，或是复制正常邮件，这些都可能导致邮件过滤方法的失效。除此之外，尽管绝大多数的恶意邮件附件都有可疑的文件扩展名(特别是.bat,.cmd,.exe,.pif和.scr.)，还有使用曾是善意的文件扩展名，.zip已然成为更流行的恶意文件附件。

　　■ 基于网络的IPS软件 绝大多数的IPS产品都允许用户自行设置防护功能。如果IPS是在线的，也就是其是网络的积极组成部分，并且有恶意软件特征，那么它就可以确认和阻止恶意软件。如果IPS没有激活防范能力的话，最好是重新配置，部署多个IPS探测器，使IPS可以禁止恶意软件活动。IPS要能够同时禁止危险的出流和入流。当然，IPS在防范恶意软件中的价值取决于其病毒库辨别恶意软件的能力。有一些IPS产品允许管理员自行编写病毒库。在很多情况下，管理员可以在杀毒软件厂商发布病毒库几小时之前自己编写恶意软件病毒库。除此之外，由于IPS病毒库仅仅对基于网络的IPS探测器有效，而杀毒软件病毒库是影响所有的工作站和服务器，所以自己部署IPS病毒库的风险比杀毒软件小。

　　■ 基于主机的IPS软件 有一些基于主机的IPS产品可以限制可执行文件的运行。譬如，管理员可以输入不应该被执行的文件名。如果杀毒软件病毒库还没有包含新的风险，可以部署基于主机的IPS产品阻止文件的执行。

　　4.3.3 阻断服务，釜底抽薪

　　有一些恶意软件事件需要采取更彻底的措施方能抑制。譬如说，有些恶意软件可能会产生巨大的网络流量或是应用程序活动，譬如说电子邮件和文件传输导致很多应用程序不能运行。要想抑制这类恶意软件，很可能要停止很多服务，譬如终止被恶意软件利用的服务，关闭有些网络服务或是禁止服务端口。还有一些网络服务被用来传播感染。不管是哪种情形，关闭被感染的服务是最佳选择。一般来说，这是限于应用程序层级或网络层级。目标就是在抑制恶意软件的同时，将功能的损失降到最低限。为了支持网络服务的断网，企业要列出这些服务清单，以及使用的TCP和UDP端口。

　　最容易受恶意软件影响的是电子邮件。电子邮件服务器是病毒和蠕虫传播最广泛的方式。关闭邮件服务器是最直截了当的方法。但是，有些情况下，未知的邮件服务器可能会影响抑制的效果。如果企业服务器比较少，关闭邮件服务器端口可以在没有太多邮件服务丧失的情况下实施有效的抑制。

　　从技术的角度来看，禁止服务很简单;但是要了解其结果就很难了。关闭企业依赖的服务很显然会产生负面影响。也会影响其它相关的服务。譬如，关闭邮件服务可能会削弱通过邮件复制信息的目录服务。因此企业在实施抑制措施的时候要考虑到依靠这些主服务的附加服务。使用类似的服务代替很有效。譬如，在一个管理有序的网络环境中，如果邮件客户端被感染，用户可以使用另外的尚未被感染的邮件客户端。这样依然可以保证邮件沟通。浏览器和客户端应用程序也可以采用这样的替代方案。

　　企业要随时准备应对由于其它企业禁止服务带来的不便。譬如说，甲方有一个小组为已方工作，这时需要把甲方小组成员的邮箱账号导入乙方的邮件系统中，如果乙方突然中止其邮件服务，发出去的邮件就会被退回，然后再发，又被退回，如此形成了邮件循环。如果发生这样的情况，一些用户帐户会导致邮件服务的下降。

　　4.3.4 断开网络，疗效明显

　　临时限制网络连接在抑制恶意软件时很有效。譬如，感染的计算机尝试连接外部系统下载rookit，管理员要马上阻断访问的IP地址。类似的 ，如果企业内感染的系统准备向外传播恶意软件，管理人员要马上阻断来自于这台机器IP地址的流量。一个方案就是直接阻断这个IP与网络的连接，可以通过重新配置网络设备或是切断网线或是拔出感染系统上的网卡等实现。

　　最激进的抑制方式就是故意切断网络与未感染系统的连接。这可能会影响很多系统的网络连接，譬如说远程拨号和VPN用户。最坏的情况就是，从主要网络中隔离二级网络或是断开整个企业的网络防止恶意软件的传播。当然采用这种极端措施的情况就是恶意软件已经造成严重危害，并且扩展到其它企业的时候。由于采取大规模的断网必然会影响企业的正常运转，因此要尽快恢复连接。

　　企业在规划网络的时候要使通过断网的抑制变得简便和减少危害。譬如，有一些企业把服务器和工作站部署在单独的二级网络中;如果发生针对工作站的恶意软件事件，受感染的工作站二级网络可以从主网络中隔离，那么服务器二级网络还是可以正常运转，为外部客户和未受影响的内部二级网络提供服务。另外一种网络设计就是在感染系统中使用单独的虚拟局域网(VLAN)。使用这一设计，主机在访问网络的时候就会检查其安全状况。这种检查常常由部署在主机上的设备监视主机的行为，譬如操作系统补丁和杀毒软件升级。一旦主机尝试联网的时候，网络设备就会从监视设备上获取信息。如果主机未对请求作出响应，或是回应显示主机不安全，网络设备就会把主机导向隔离的VLAN。同样的技术也可以在已经存在于网络中的主机上使用，受感染的主机会自动移到VLAN中。

　　使用VLAN技术可以在为感染的主机提供病毒库升级和下载补丁的同时严格限制感染主机的副作用。如果没有VLAN的话，企业就需要完全终止感染主机的网络连接，这就需压迫手动升级和处置漏洞。单独的VLAN的一个变通策略就是把所有的主机都置于VLAN的一个网络段中，然后移到正常的网络中。VLAN的一个缺点就是感染主机的流量仍然和正常网络使用的设备是一样的，它只能提供逻辑上的隔离，而不是实体上的。所以，由于恶意软件活动和系统升级等产生的大量流量都会出现在VLAN中，这有可能导致使用网络设备的用户的操作问题。

　　4.3.5 抑制恶意软件事件的建议

　　抑制恶意软件可以使用上述描述的四种方式。由于单一的恶意软件处理方式不可能很有效，所以需要综合采取各种技术。譬如说，阻断网络连接在阻止恶意软件传播上很有效，但是系统上感染的文件可能会继续造成破坏。

　　企业忍受采取极端抑制措施的时间不会太长。相应地，企业需要支持使用成熟的抑制决策，清晰的政策规定拥有作出决策的人员，以及何时采取措施。

　　4.3.6 感染主机的确定

　　确定被感染的主机是处理恶意软件事件的一部分，特别是在大规模的恶意软件事件时，尤其重要。一旦确认了被感染的主机，我们就可以采取适当的抑制，清除个恢复措施。不幸的是，由于计算的动态性，确认感染的计算机很复杂。譬如，人们会关闭系统，断开网络，或是转移工作地点，这就使得确认感染的计算机变得异常困难。除此之外，有一些主机使用多个操作系统或是虚拟操作系统，如果操作系统之一感染病毒的，另一操作系统没有，而刚好使用的又是未感染的操作系统，这样病毒就会检测不出来。

　　准确的确认感染主机的复杂性还受其它因素的影响。譬如，有的系统漏洞可能被重复感染过多次。有一些恶意软件会删除其它恶意软件的一些或全部特征，这样就使得这些病毒难以查出。在一次大规模的恶意软件事件中，由于主机数量之多所以确认很困难。除此之外，关于感染主机的数据可能来自于多个渠道——杀毒软件，IDS(入侵检测系统)，用户报告等。

　　理想的情况下，感染主机的确认可以使用自动的方法，但是由于多方面的原因(4.3.6.1和4.3.6.2将阐述)，这常常是不可能的。人工确认的方法，譬如说依靠用户确认和报告感染，技术人员挨个检查系统，但是这些对于综合性的确认都不可靠。所以企业在恶意软件事件来临之前就应该意识到这一问题，使用多种确认方式作为实施有效抑制病毒的一部分。企业还要决定需要哪一种确认信息以及记录信息的来源。譬如，主机的IP地址对于远程机是必须的，本地机则需要主机的实体位置。

　　确认感染系统的实体地址的难处有几个因素。在一个管理良好的网络环境中，确认主机地址相对简单，因为事情都是完全标准化的。譬如，系统名含有用户ID或是办公室号，或是系统序列号。还有，资产库存管理工具可能会包含主机现有的特征。在那些管理不够完善的网络环境中，要确认地址就很困难了。譬如说，譬如说管理员知道位于10.3.3.1.70这一地址的系统被感染，但是却不知道系统在哪，谁在使用。管理员要使用网络设备跟踪感染的系统。譬如说，转换端口绘图器(mapper)可以发布特定IP地址的转换，然后确认转换端口数和与IP地址相关的主机名称。如果感染的系统要几道转换，定位一个IP地址就需要数小时的时间;如果感染系统不是直接转换的，管理员需要使用多个网络设备人工跟踪连接。一个替代的方法就是抽回网线或是关闭感染系统的转换端口，然后等用户报告异常情况。这种方法无意间就会影响少数正常的系统，但是如果作为最后的保留方式还是很有效的。

　　有一些企业，首先确认感染的主机，然后采取抑制，删除和恢复措施，然后采取措施保护正常系统。当然了，这些措施是要事先准备好的，管理人员在锁定主机的时候要获得允许。一般说来，锁定措施基于特定主机的特征，譬如MAC地址或是静态IP地址，如果系统与用户是一一对应的话，也可以依据ID锁定。还有一种可能性是使用网络登录脚本确认和拒绝访问感染的主机，但是如果是系统开机之后感染的话，就没有什么效果了。正如，4.3.4中描述的那样，使用单独的VLAN是锁定系统很好的选择，当然要保证探测感染的机制是可靠的。尽管采用关闭系统的方式只能在极端的情况下使用，企业要事先考虑关闭系统的方式，这样在需要的情况下，就可以快速行动。

　　以下4.3.6.1到4.3.6.3讨论三种感染主机的确认技术：计算机取证术，主动出击，手动方式：

　　4.3.6.1 计算机取证技术确认

　　计算机取证确认术是通过寻找感染证据确认感染系统的方法。这些证据可能是几分钟之前或是几天之前的;信息时效性越差，正确度越低。最常见的证据来源是杀毒软件，间谍软件探测删除软件，内容过滤(譬如，垃圾邮件措施)，和IPS软件。安全程序的日志可能包括可疑活动的详细记录，也可能暗示已经发生安全事故或是已经阻止。如果安全程序是整个企业部署的一部分，日志会出现在个人主机和中央管理程序日志上。

　　如果证据来源没有包含必要的信息，企业需要转向次信息来源，譬如：

　　■ 网络设备日志 防火墙，路由器或是其它记录连接活动的设备。网络监视工具在确认网络连接上也有一定帮助。

　　■ Sinkhole 路由器 所谓sinkhole路由器是企业内部搜集所有未知路由流量的路由器。恶意软件一般会产生这样的流量，这样的话，sinkhole观察到的异常流量就会暗示存在新的恶意软件威胁。建立一个功能强大的sinkhole路由器对于确认感染系统是很有效的。Sinkhole路由器将搜集到的流量发送到日志服务器和IDS上，信息包嗅探器也可以用来记录可疑活动。

　　■ 应用程序服务器日志 有一些程序常常作为恶意软件传播机制，譬如，电子邮件和HTTP，在它们的日志中可能会显示哪些主机被感染了。在点对点的传播过程中，一封邮件的信息可能同时被几个地方记录：发件人系统，处理邮件的每一个邮件服务器，收件人系统，杀毒软件，垃圾邮件和内容过滤服务器等。相似的，浏览器上有很丰富的关于恶意网络活动的信息包括网站收藏，cookies。还有一个来源是DNS服务器日志。

　　■ 网络取证技术工具 这些软件可以获取和记录信息包，譬如网络取证分析工具和信息包嗅探器，这些都可以记录高度详细的恶意软件活动。但是，由于这些软件会记录下所有的网络活动，要从中淘出需要的信息很耗时，还有其它更有效的方法。

　　使用取证数据确认感染主机比其它方式更有优势，因为可以从已搜集的数据中抽取出需要的数据。不幸的是，要从有些数据源中抽出需要的信息过于耗时。还有，由于信息很快就会过时，这都会导致正常系统接受不必要的抑制，而感染的系统却逍遥法外。如果 取证数据的来源准确合理，计算机取证是最有效地确认感染系统的方法。

　　4.3.6.2 主动确认技术

　　主动确认技术用于确认当前被感染的主机。一旦发现感染，一些主动探测方式就会执行抑制和清除措施，譬如说，运行隔离感染工具，部署补丁或是杀毒软件升级，或是将感染主机移到VLAN中。主动确认方式有如下几种方式部署：

　　■ 登录脚本 网络登录脚本可以用来检查主机特征寻找恶意软件迹象。使用登录脚本确认感染系统的缺陷就是感染的主机常常数天数月不登陆系统。这样就无法确认了。

　　■ 个性化的基于网络的IPS或是IDS特征库 自己编写IPS或是IDSt特征库确认感染的主机是很有效的技术。有一些企业有单独的IPS或是IDS探测器，拥有强大的辨别恶意软件的功能。这样在有效减轻其它探测器负担的同时，保证了信息的高质量。

　　■ 信息包嗅探器 使用信息包嗅探器寻找与病毒匹配的网络流量特征对于确认感染的主机是很有效的。如果所有的恶意软件产生的网络流量都通过同一或是几个网络设备的时候，信息包嗅探器是最有效的。

　　■ 漏洞评估软件 绝大多数可以确认主机漏洞的程序也可以探测已知的恶意软件风险。尽管如此，漏洞评估软件对于主机上的新风险也无能为力。

　　■ 主机扫描 如果特定的软件导致感染的主机运行监视端口的恶意程序，对于已知端口的扫描可以有效地找出感染的主机

　　■ 其它扫描 除了主机扫描之外，其它扫描也是有帮助的，譬如说，特定的配置设置或是系统文件的大小

　　几种主动确认技术的混合使用是最有效的，因为这样可以发挥每种技术的专长。譬如说，主机扫描可能在使用个人防火墙的主机上不够有效，因为防火墙阻止了扫描，但是信息包嗅探器和登录脚本在这种情况下却很有效。尽管主动确认技术的混合使用是很有效的，但是也要常常使用，因为感染状态的不断变化和数据搜集的时间差。

　　4.3.6.3 人工确认

　　确认感染主机的另一种方式就是人工方法。这是三种方式中最耗人力的，但是是成功确认必须的方式。在网络完全被与感染相关的流量占据的时候，主动方式就不行了。一旦恶意软件网络流量使用假冒的地址和产生大量的活动，由于大量信息的出现会淹没有价值的信息，这样会导致网络取证技术的失效。还有，如果用户拥有系统的完全控制权，系统特征的千变万化导致自动确认技术产生的结果不完全和不准确。在这种情况下，人工确认就是最好的选择。

　　实施人工方法有几种可能的技术。一种就是，提供给用户关于恶意软件特征的一些信息，让他们自行确认感染。还有一种方式就是让IT管理人员检查所有的系统或是可疑系统。如果是远程办公室的话，非IT人士也可以做类似检查。

　　4.3.6.4 关于感染主机确认的一些建议

　　尽管采取主动确认的方式结果是最准确的，但是不是最快的。扫描所有主机相当耗时，由于有的系统断网或是关闭，扫描就得重来一次。如果取证数据是最近的，这确实是很好的信息来源，尽管这些信息不一定是综合性的。人工方式对于综合性的企业范围内的确认是不可行的，但是可以有效填补其它技术的空白。在很多情况下，同时使用多种方式是最有效的。

　　企业要从实际出发，选择最有效的方式，以及确定使用的流程，这样在面临风险的时候有章可依。企业要确认哪些人或组织应该参与到这一过程中来。譬如，确认时需要安全管理人员(杀毒软件，IPS，防火墙，漏洞评估，扫描)，系统管理人员(DNS，电子邮件和网络服务器)，网络管理员(信息包嗅探器，路由器)，台式机管理人员(Windows注册或文件扫描，登录脚本更改)等等。参与的人员需要明确责任，分工明确。

　　4.4 清除恶意软件

　　尽管清除的目标就是从感染系统中删除恶意软件，但是清除的意义远不止如此。如果感染的原因是由于系统漏洞或是安全缺陷，譬如说不安全的文件共享，这时候恶意软件的清除就包括漏洞的处置，防止恶意软件再借此漏洞感染系统。正如4.3.6中所述，清除行动要与抑制措施一起使用。譬如说，企业需要运行软件确认感染的主机，使用补丁填补漏洞，运用杀毒软件删除感染。抑制措施常常会限制清除手段的选择。譬如，如果恶意软件是通过断网的方式抑制的话，系统要么移到单独的VLAN中实现远程升级或者是人工重新配置。由于主机与网络断开，事件响应人员最好是快速完成修复任务，让用户尽管正常上网。

　　敌动我动，根据不同的情形使用不同的清除技术。最常用的工具是杀毒软件，间谍软件探测和删除工具，补丁管理软件。自动清除方法，譬如说触发式杀毒扫描，就比单纯的人工扫描有效。但是自动清除方式不是在所有的情况下都最有效。譬如，一台感染的机器尝试破坏另外的系统或是消耗大量带宽，这需要采取断网和人工处理的方式。在4..3.1中讨论过，用户参与是很必要的。有一些情况下，需要给用户提供指导和软件升级，但是有一些用户需要帮助。在面临大规模的恶意软件事件的时候，额外的IT管理人员可以有效地减轻事件处理人员的工作量。如果企业没有专门的IT人员，培训员工基本的删除措施应对恶意软件。同时使用不同的抑制措施是必须的。

　　在一些恶意软件事件中，重建感染系统是删除措施的一部分。重建包括重装系统和应用程序，恢复备份数据。由于重建主机跟其它方式相比，消耗了更多的资源，这种方式当是最后的选择。譬如说，有一些恶意软件极难清除，即使被移除，主机操作系统也可能被破坏，可能导致主机不能启动。如果主机是多重感染，或是感染了一段时间，或是安装了后门程序，rookit或其它攻击工具，在这种情况下，重建系统就是最有效的方式。在恶意软件发生的时候，企业要快速反应，重建主机系统。

　　清除恶意软件有时令人懊恼，当你面对如此多的需要清除的系统的时候确实有点灰心，并且这些系统日复一日，年复一年的重复感染。事件处理人员要时常确认哪些主机仍然处于感染状态，以及清除的效果。如果出现感染主机的数量减少，这就说明策略的有效性，就为以后的事件处理积累的经验，指明了出路。如果感染主机的数量下降了很多，企业实施要继续努力，争取将数量减小到最少。

　　清除大范围的恶意软件感染需要承受很大的压力，特别是员工和管理层对于清除需要消耗的事件没有底的时候。由于感染机器数量之多，以及系统的变化性，很多企业需要花费数天或一个星期的时间完成感染系统恶意软件的清除。因此做好员工和管理层的教育，获得他们的谅解和支持是很重要的。

　　由于很多rookit导致系统的变化，破坏最重要的文件，这就需要花费大量的时间和资源完全清除系统中的rookit。一般来说，发现rookit的时候最好是重装系统。重装系统需要重装和重新配置操作系统和应用程序，或是恢复备份数据。一般说来，在下列情况下，最好是采取重装系统的方式：

　　■ 多个攻击者获取了管理员权限

　　■ 任何人都可以使用后门程序，蠕虫或是其它方式获取管理员权限的访问

　　■ 系统文件已经被木马，后门程序，rookit，攻击者工具或是其它文件代替

　　■ 使用杀毒软件，间谍软件探测和清除软件或是其它技术删除恶意软件之后，系统出现不稳定。这说明恶意软件为被清除干净或是重要的系统和应用程序设置遭篡改

　　如果恶意软件事件没有上诉特征，使用常见的恶意软件清除方式即可。一旦发现对系统未经授权的访问，企业可以考虑重建系统。

　　4.5恢复措施

　　恢复措施的两个重要方面：恢复系统功能和系统数据; 删除临时的抑制措施。那些造成损害比较小的恶意软件事件不需要采取额外的行动恢复系统。在4.4中，我们已经讨论过，对于危害比较大的恶意软件，木马，rookit或是后门程序等，最好先重建系统或是从备份数据中恢复，然后采取有效措施确保系统的安全。不怕一万，只怕万一。企业要做好应对最坏情况的打算，譬如恶意软件删除了所有的硬盘数据。在恢复的过程中，要确定谁负责恢复任务，估计人工，花费的时间，以及恢复数据的优先顺序。

　　决定什么时候移除临时抑制措施很难，譬如中断的服务(电子邮件)或连接(网络访问，VPN等)。譬如说，为了防止恶意软件的传播，电子邮件服务被中断，与此同时，漏洞系统和感染的系统正在经历恶意软件抑制，清除和恢复措施。然而，后者需要花费数星期的时间完全完成，但是电子邮件服务却不能中断如此之久。如果邮件服务恢复了，几乎可以肯定的是感染系统就开始传播恶意软件了。但是，如果所有的系统都下载了补丁，恶意软件感染的压力就是最小的。技术人员要保证抑制措施直至感染系统造成的威胁微乎其微。尽管如此，事件响应人员还是要评估重启服务的危险，根据技术人员的建议和管理层对于商业压力的理解，管理层要为最终的决定负责。

　　4.6 经验教训

　　当发生恶意软件事件之后，技术人员要连续多天的努力工作。随着恶意软件处理的结束，关键技术人员估计也是身心俱疲。由于这些原因，本该是很重要的经验教训总结被忽略了。所以企业要高度重视这种 “重处理，轻总结”的情况。以下就是从一些事件中学到的经验教训：

　　■ 安全政策的改变 调整安全政策，防范类似的风险。

　　■ 员工安全意识教育的变化 提高员工在事件处理中参与的主动程度

　　■ 软件重新配置 操作系统或是应用程序随着安全政策的变化而变化

　　■ 恶意软件探测软件的部署 如果系统的感染是由于未受保护的传输机制造成的，最好是部署额外的软件

　　■ 恶意软件探测软件重新配置 探测软件需要在多个方面重新配置，如下，

　　○增加软件和病毒库升级的频率

　　○提高探测的准确性

　　○扩大监视范围

　　○提高病毒库升级分布的时效性

　　4.7 总结

　　总之，企业需要有丰富的响应机制应对日益疯狂的恶意软件事件。笔者上诉的一些建议是根据目前的恶意软件情形提出的一些建议。恶意软件未来的发展会提出越来越多的挑战。我们始终相信，只要我们付出持续不断努力，恶意软件事件是可以抑制的。