通常律師和醫(yī)生在出席Party時(shí)不喜歡告訴別人他們自己的職業(yè)，只要有人聽說他們的身份，就會(huì)咨詢醫(yī)療或者法律方面的事情。而現(xiàn)在，如果你說你在計(jì)算機(jī)安全領(lǐng)域工作，在你為周圍同樣會(huì)很多人向你咨詢安全相關(guān)信息。

　　經(jīng)常會(huì)出現(xiàn)這種情況，當(dāng)信息安全專業(yè)人員需要執(zhí)行一些快速修復(fù)工作時(shí)，發(fā)現(xiàn)沒有合適的工具集。為了解決這個(gè)問題，我們?cè)诒驹碌膽?yīng)用指南中將討論如何建立一個(gè)用于修復(fù)被感染的計(jì)算機(jī)的便攜式軟件工具箱?；ヂ?lián)網(wǎng)上有大量免費(fèi)的非常有用的系統(tǒng)分析工具和反惡意軟件工具。我建議管理員下載這些軟件并且把這些軟件刻錄到CD光盤上，最好是寫在價(jià)格很便宜的1GB優(yōu)盤。然后隨身攜帶這個(gè)優(yōu)盤，這樣你就可以像一個(gè)信息安全的超級(jí)英雄那樣在災(zāi)難中把人們挽救過來。

　　第一件武器：殺毒和反間諜軟件

　　首先，你需要能夠掃描系統(tǒng)、檢測(cè)和刪除系統(tǒng)中惡意軟件的殺毒和反間諜軟件工具。我最喜歡的免費(fèi)殺毒掃描軟件是ClamAV。這是Sourcefire在2007年8月收購(gòu)的一種殺毒工具。不過，應(yīng)定期下載病毒特征庫并更新。

　　對(duì)于反間諜軟件，我最喜歡的免費(fèi)工具包括Lavasoft AB公司的Ad-Aware、Spybot Search和Destroy以及趨勢(shì)科技的HijackThis。雖然許多商業(yè)廠商都購(gòu)買許多這類產(chǎn)品，但是只要這種軟件是免費(fèi)的、高質(zhì)量的和保持更新的，使用這種軟件就沒有什么錯(cuò)誤。

　　第二件武器：機(jī)器分析器

　　對(duì)Windows系統(tǒng)進(jìn)行深入分析的最佳資源之一是微軟在2006年7月收購(gòu)的Sysinternals。我希望許多Sysinternals工具最終將集成到Windows系統(tǒng)中。但是，在此之前，下載這些工具是很有幫助的。下面是一些重要的Sysinternals工具。

　　?Process Explorer(進(jìn)程瀏覽器)實(shí)際上就是一種Windows任務(wù)管理器。它顯示全部運(yùn)行的進(jìn)程，指出它們的層次關(guān)系以及它們裝載的動(dòng)態(tài)鏈接庫。

　　?Filemon和Regmon分別使用文件系統(tǒng)和注冊(cè)表記錄所有的相互作用，并且能夠?qū)崟r(shí)完成這些任務(wù)。

　　?流進(jìn)程監(jiān)視器，Sysinternals工具中新增加的一種工具，基本上是把上述三種工具集成在了一起，詳細(xì)說明一臺(tái)機(jī)器上運(yùn)行的全部進(jìn)程。

　　?Autoruns程序顯示一個(gè)系統(tǒng)在啟動(dòng)時(shí)或者用戶登錄時(shí)自動(dòng)開始運(yùn)行的全部程序。因?yàn)殚g諜軟件經(jīng)常修改自動(dòng)啟動(dòng)目錄或者注冊(cè)表，這個(gè)程序?qū)τ诜治鲆慌_(tái)機(jī)器的啟動(dòng)狀態(tài)是非常重要的。

　　?TCPView以圖片方式提供TCP和UDP端口使用情況，把每一個(gè)端口與它正在使用的流程關(guān)聯(lián)起來。

　　?Strings在屏幕上顯示一個(gè)文件的字符串。粗心的惡意軟件作者把字符串留在他們的代碼中。這種字符串經(jīng)常是ASCII字符串。要讓Sysinternals程序查找ASCII字符串，而不是系統(tǒng)默認(rèn)的Unicode字符串。運(yùn)行這個(gè)程序時(shí)要使用-a這個(gè)參數(shù)。

　　?最后使用RootkitRevealer查找rootkit，確定一個(gè)系統(tǒng)在什么時(shí)候提供有關(guān)哪一個(gè)文件或者注冊(cè)鍵出現(xiàn)的錯(cuò)誤信息。

　　使用這些工具收集到的信息，再加上用搜索引擎搜索一下具體的進(jìn)程、動(dòng)態(tài)鏈接庫和文件名，能夠幫助識(shí)別在一臺(tái)計(jì)算機(jī)上的惡意活動(dòng)。

　　第三件武器：微軟基準(zhǔn)安全分析器(MBSA)

　　微軟的這個(gè)免費(fèi)的方便診斷工具能夠查看Windows計(jì)算機(jī)的數(shù)百項(xiàng)設(shè)置，確定其安全狀態(tài)和提出建議。MBSA能夠披露補(bǔ)丁已經(jīng)過期可能讓惡意軟件感染等安全漏洞。我還建議你們攜帶一個(gè)名為Netcat的網(wǎng)絡(luò)安全工具。這種工具能夠在TCP連接或者UDP端口上發(fā)送任意數(shù)據(jù)。Netcat能夠移動(dòng)文件(如MBSA或者ClamAV等工具生成的報(bào)告)或者存檔遠(yuǎn)程訪問(shell access)。

　　第四件武器：LADS

　　Frank Heyne公司的這個(gè)免費(fèi)軟件工具可以查找基于NTFS的文件系統(tǒng)中的附加數(shù)據(jù)流(ADSes)。附加數(shù)據(jù)流是默認(rèn)的隱藏文件，黑客有時(shí)候利用這種文件隱藏其惡意。Windows Vista操作系統(tǒng)新增加的一個(gè)選項(xiàng)能夠使用內(nèi)置的“dir”命令加上“/r”參數(shù)顯示數(shù)據(jù)流。由于Windows Vista以前版本的系統(tǒng)仍在使用，LADS這樣的工具應(yīng)該是你的工具箱中的另一個(gè)重要工具。

　　第五件武器：VMware播放器/VMware安全瀏覽設(shè)備

　　VMware播放器是一種免費(fèi)的虛擬化應(yīng)用程序。這種軟件能夠讓客戶機(jī)在Windows計(jì)算機(jī)上運(yùn)行。VMware安全瀏覽設(shè)備包括一個(gè)免費(fèi)的配置火狐瀏覽器的Ubuntu操作系統(tǒng)。

　　有時(shí)候，互聯(lián)網(wǎng)訪問需要下載一個(gè)額外的工具。如果手頭沒有其它機(jī)器，VMware就可以安裝到機(jī)器上，運(yùn)行這個(gè)虛擬機(jī)就可以訪問互聯(lián)網(wǎng)。

　　一旦你建立了消滅惡意軟件的USB武器庫，你一定要把這個(gè)優(yōu)盤設(shè)置為只讀模式。許多優(yōu)盤有只讀訪問的硬件開關(guān)，打開這個(gè)開關(guān)，因?yàn)槲覀儾幌Ｍ麗阂廛浖腥疚覀兊奈淦鲙?。所以我一般不?gòu)買沒有硬件支持只讀訪問的優(yōu)盤。

　　最后，不要讓這些工具僅僅局限于一個(gè)優(yōu)盤分析工具。你可以根據(jù)你的需求增加其它組件。但是，不要向這個(gè)優(yōu)盤下載你不知道用途的工具。不正確地運(yùn)行一個(gè)工具可能會(huì)給機(jī)器造成更大的破壞。你要在實(shí)驗(yàn)室里用實(shí)驗(yàn)的機(jī)器練習(xí)使用這些工具，認(rèn)真思考每一個(gè)工具如何能夠幫助你修復(fù)一臺(tái)被感染的機(jī)器。只需很少的計(jì)劃和大量的練習(xí)，一個(gè)消滅惡意軟件的優(yōu)盤就可以很好地為你服務(wù)。