【TechTarget中国原创】我听说曾经一段时间律师和医生在鸡尾酒会上不愿意将其职业诉人们。当酒会上其他人知道他们的职业时,人们会寻求医疗咨询或法律咨询,俨然一个漩涡式免费咨询会(VoFC)。现在,如果有人在聚会上提到自己从事计算机安全领域的工作,一个类似的VoFC极有可能在你们周围出现。面对象你们这样的安全大师,谁能够为寻求一些关于运行缓慢的计算机或不断弹出窗口方面的帮助而责怪你的主人?
信息安全专业人员很多时候需要完成一些快速修复,但是他们缺乏成套的工具。为解决这一问题,这个月的技巧中,我们会探讨如何建立一个便携式软件工具箱,用于感染了恶意软件的计算机。在网上可以免费下载大量的系统分析和防范恶意软件的工具,这些工具都大有用处。我极力主张你下载这些工具,并刻录到CD上,或者保存到一个价格便宜的1GB的USB token.中。然后,无论你去哪里(甚至去参加一个华丽的鸡尾酒会),都可以携带这个USB token.。这样你就像一个信息安全的超级英雄,随时准备好拯救那些陷于困难中的人们。
第一件武器:防病毒和反间谍软件
首先,你需要防病毒和反间谍工具,用以扫描系统,检测恶意软件,并把它从计算机上删除。我最钟爱的免费杀毒扫描软件是ClamAV, 这是Sourcefire 在2007年8月收购的一种杀毒工具。不过,应定期下载病毒特征库更新。
对于反间谍软件,我最喜爱的免费工具有Lavasoft AB公司的Ad-Aware、 Spybot Search and Destroy和Trend Micro Inc.公司的HijackThis。尽管许多商业厂商正疯狂地大量购买这样的免费工具,但只要这些工具仍然免费、具有高性能并且可以及时更新,我们就可以放心使用。
第二件武器:机器分析器
对Windows系统进行深入分析的最佳资源之一是微软在2006年7月收购的Sysinternals。我非常希望Sysinternals的许多工具最终集成到Windows系统中。但在此之前,下载这些工具会有很大帮助。下面是一些重要的Sysinternals工具:
- Process Explorer(进程浏览器)实际上就是一种Windows任务管理器。它显示全部正在运行的进程,指出它们的层次关系,以及它们装载的动态链接库。
- Filemon 和Regmon分别使用文件系统和注册表,记录它们所有的相互作用,并且能够实时完成这些任务。
- 进程监视器,它是Sysinternals工具中新增的一种工具,基本上是把上述三种工具集成在了一起,详细说明一台计算机上运行的全部进程。
- Autoruns程序,它可以显示系统启动或者用户登录时自启动的全部程序。因为间谍软件经常自动启动目录或者注册表,这个程序对于分析一台机器的状态是非常重要的。
- TCPView可以以图片方式提供TCP和UDP端口的使用情况,把每一个端口与它正在使用的进程联系起来。
- String可以在屏幕上显示一个文件的字符串。粗心的恶意软件作者把字符串留在代码中,也会经常留下ASCII字符串。要让Sysinternals程序查找ASCII字符串,而不是系统默认的Unicode字符串。运行这个程序时要使用“-a”这个参数。
- 最后使用RootkitRevealer,它可以确定一个系统提供有关哪一个文件或者注册键出现错误信息的时间,以此来查找rootkit。
利用这些工具收集到的信息,再用搜索引擎搜索一下具体的进程、动态链接库和文件名,就能帮助识别在一台计算机上的恶意活动。
第三件武器: 微软基准安全分析器(MBSA)
微软提供了这个免费、易操作的诊断工具,它能够查看Windows计算机的数百项设置,确定其安全状态,并且提出建议。MBSA可以批露系统的漏洞,比如补丁已经过期,可能导致恶意软件感染等安全漏洞。我随身携带了一份名为Netcat的网络安全工具拷贝,它是一种正式的网络通讯窗口构件,可以在TCP连接或UDP端口上发送任意数据。Netcat可以移动文件(比如由MBSA或ClamAV等工具生成的报告)或者存档远程访问(shell access)。
第四件武器:LADS(List Alternate Data Streams)
该免费软件工具由Frank Heyne公司提供,它可以查找基于NTFS的文件系统中的附加数据流(alternate data streams,ADSes)。附加数据流是默认的隐藏文件,黑客有时候利用这种文件隐藏其恶意。
Windows Vista操作系统新增加的一个选项能够使用内置的“dir”命令加上“/r”参数显示数据流。由于Windows Vista以前版本的系统仍在使用,LADS这样的工具应该是你工具箱中的另一个重要工具。
第五件武器: VMware 播放器/ VMware安全浏览设备
VMware播放器是一种免费的虚拟化应用程序。这种软件能够让客户机在Windows计算机上运行。VMware安全浏览设备包括一个免费Ubuntu操作系统,该操作系统配置有Firefox浏览器。
有时候,访问互联网需要下载一个额外的工具。如果手头没有其它机器(我们这里指的是鸡尾酒会这种情况下),就可以将VMware安装到遭到攻击的机器上,运行这个虚拟机就可以访问互联网。
一旦你建立了抵御恶意软件的USB武器库,你一定要把它设置为只读模式。许多U盘有只读访问的硬件开关。记得打开这个开关,因为我们不希望恶意软件感染我们的工具箱。所以我一般不购买没有硬件支持的只读访问的U盘。
最后,不要让这些工具仅仅局限于一个U盘分析工具。你可以根据你的需求增加其它组件。但是,不要用这个优盘存储不知道用途的工具。不正确地运行一个工具可能会给机器造成更大的破坏。你要在实验室里用测试机练习使用这些工具,认真思考每一个工具如何能够帮助你修复一台被感染的计算机。你只需很少的计划和大量的练习,一个抵御恶意软件的U盘就可以很好的为你服务。