用隨身碟與惡意軟體作鬥爭

通常律師和醫生在出席Party時不喜歡告訴別人他們自己的職業，只要有人聽說他們的身份，就會諮詢醫學或者法律方面的事情。而現在，如果你說你在電腦安全領域工作，在你為周圍同樣會很多人向你諮詢安全相關資訊。

經常會出現這種情況，當資訊安全專業人員需要執行一些快速修複工作時，發現沒有合適的工具集。為瞭解決這個問題，我們在本月的應用指南中將討論如何建立一個用於修複被感染的電腦的攜帶型軟體工具箱。互連網上有大量免費的非常有用的系統分析工具和反惡意程式碼軟體工具。我建議管理員下載這些軟體並且把這些軟體燒錄到CD光碟片上，最好是寫在價格很便宜的1GB優盤。然後隨身攜帶這個優盤，這樣你就可以像一個資訊安全的超級英雄那樣在災難中把人們挽救過來。

第一件武器：殺毒和反間諜功能軟體

首先，你需要能夠掃描系統、檢測和刪除系統中惡意軟體的殺毒和反間諜功能軟體工具。我最喜歡的免費殺毒掃描軟體是ClamAV。這是Sourcefire在2007年8月收購的一種殺毒工具。不過，應定期下載病毒碼庫並更新。

對於反間諜功能軟體，我最喜歡的免費工具包括Lavasoft AB公司的Ad-Aware、Spybot Search和Destroy以及趨勢科技的HijackThis。雖然許多商業廠商都購買許多這類產品，但是只要這種軟體是免費的、高品質的和保持更新的，使用這種軟體就沒有什麼錯誤。

第二件武器：機器分析器

對Windows系統進行深入分析的最佳資源之一是微軟在2006年7月收購的Sysinternals。我希望許多Sysinternals工具最終將整合到Windows系統中。但是，在此之前，下載這些工具是很有協助的。下面是一些重要的Sysinternals工具。

·Process Explorer(進程瀏覽器)實際上就是一種Windows工作管理員。它顯示全部啟動並執行進程，指出它們的層次關係以及它們裝載的動態連結程式庫。

·Filemon和Regmon分別使用檔案系統和註冊表記錄所有的相互作用，並且能夠即時完成這些任務。

·流進程監視器，Sysinternals工具中新增加的一種工具，基本上是把上述三種工具整合在了一起，詳細說明一台機器上啟動並執行全部進程。

·Autoruns程式顯示一個系統在啟動時或者使用者登入時自動開始啟動並執行全部程式。因為間諜軟體經常修改自動啟動目錄或者註冊表，這個程式對於分析一台機器的啟動狀態是非常重要的。

·TCPView以圖片方式提供TCP和UDP連接埠使用方式，把每一個連接埠與它正在使用的流程關聯起來。

·Strings在螢幕上顯示一個檔案的字串。粗心的惡意軟體作者把字串留在他們的代碼中。這種字串經常是ASCII字串。要讓Sysinternals程式尋找ASCII字串，而不是系統預設的Unicode字串。運行這個程式時要使用-a這個參數。

·最後使用RootkitRevealer尋找rootkit，確定一個系統在什麼時候提供有關哪一個檔案或者註冊鍵出現的錯誤資訊。

使用這些工具收集到的資訊，再加上用搜尋引擎搜尋一下具體的進程、動態連結程式庫和檔案名稱，能夠協助識別在一台電腦上的惡意活動

第三件武器：微軟基準安全分析器(MBSA)

微軟的這個免費的方便診斷工具能夠查看Windows電腦的數百項設定，確定其安全狀態和提出建議。MBSA能夠披露補丁已經到期可能讓惡意軟體感染等安全性漏洞。我還建議你們攜帶一個名為Netcat的網路安全工具。這種工具能夠在TCP串連或者UDP連接埠上發送任意資料。Netcat能夠移動檔案(如MBSA或者ClamAV等工具產生的報告)或者存檔遠端存取(shell access)。

第四件武器：LADS

Frank Heyne公司的這個免費軟體工具可以尋找基於NTFS的檔案系統中的附加資料流(ADSes)。附加資料流是預設的隱藏檔案，駭客有時候利用這種檔案隱藏其惡意。Windows Vista作業系統新增加的一個選項能夠使用內建的“dir”命令加上“/r”參數顯示資料流。由於Windows Vista以前版本的系統仍在使用，LADS這樣的工具應該是你的工具箱中的另一個重要工具。

第五件武器：VMware播放器/VMware安全瀏覽裝置

VMware播放器是一種免費的虛擬化應用程式。這種軟體能夠讓客戶機在Windows電腦上運行。VMware安全瀏覽裝置包括一個免費的配置Firefox瀏覽器的Ubuntu作業系統。

有時候，互連網訪問需要下載一個額外的工具。如果手頭沒有其它機器，VMware就可以安裝到機器上，運行這個虛擬機器就可以訪問互連網。

一旦你建立了消滅惡意軟體的USB武器庫，你一定要把這個優盤設定為唯讀模式。許多優盤有唯讀訪問的硬體開關，開啟這個開關，因為我們不希望惡意軟體感染我們的武器庫。所以我一般不購買沒有硬體支援唯讀訪問的優盤。

最後，不要讓這些工具僅僅局限於一個優盤分析工具。你可以根據你的需求增加其它組件。但是，不要向這個優盤下載你不知道用途的工具。不正確地運行一個工具可能會給機器造成更大的破壞。你要在實驗室裡用實驗的機器練習使用這些工具，認真思考每一個工具如何能夠協助你修複一台被感染的機器。只需很少的計劃和大量的練習，一個消滅惡意軟體的優盤就可以很好地為你服務。