规划响应

发布日期： 2007年07月10日

只有将最坏的情况考虑在内的规划才是完整的规划。如果所有防御措施都被攻破，您应该确保您的同事知道该做些什么。当遭遇严重攻击时，您的快速响应能力会产生大不相同的结果。

当规划响应时应注意，对恶意软件问题的过度反应可能导致与遭受实际攻击几乎相同的破坏！您的响应应该规划为快速而有分寸，尽可能减少对同事产生的影响。

本页内容

创建事件响应计划
准备离线扫描工具包

创建事件响应计划

创建说明当可疑恶意软件爆发时会发生什么情况的事件响应计划，对您的组织来说是非常重要的准备步骤。当恶意软件爆发时，该计划应该有助于指导所有受影响的员工采取最佳的应对措施。它应该将攻击的影响降到最小，并传达供员工遵循的事件响应流程文档。例如，设计良好的计划将能够管理如下一系列典型事件：

1. 员工发现计算机屏幕上出现一些奇怪的东西之后呼叫内部支持资源。

2. 支持资源检查该计算机并拨打支持电话。

3. 支持技术人员给出响应并完成简短的诊断测试，随后根据问题的严重程度清理或重建系统。

整个响应流程将在几小时内完成，因此制定一个在该流程完成前帮助最小化恶意软件进一步传播风险的计划是非常重要的。例如，如果支持资源受过在计算机上运行防病毒软件，并在支持技术人员到来之前从可疑计算机上拔下网线的培训，则这种初始响应能够防止该计算机感染其他计算机。

当规划您的事件响应计划时，通常需要考虑两种典型情况：

• 个体感染。当恶意软件感染单独的计算机时出现这种情况，目前最为常见。

• 大规模爆发。幸好这种情况并不常见。大规划爆发有可能在组织内部导致严重破坏。这种情况通常在员工报告大量具有相似症兆的个体感染之后才能察觉。

您的事件响应计划可以涵盖这两种情况，因为针对大规模爆发的响应流程是针对个体感染响应的扩展。通常爆发响应将要求您暂时与组织的网络隔离，以防止攻击进一步传播，并为支持人员留出时间清理受感染的系统。在某些情况下，在组织内的计算机重新连接至网络前可能需要通知网络管理员或相应的负责人员更改防火墙或路由器设置。例如，如果恶意软件使用特定的网络端口感染计算机，则在防火墙上阻隔该端口能够防止再次感染，同时使其他网络能够继续通信。

要点：

如果使用工具包清理计算机后仍然检测到存在恶意软件，建议您关闭计算机并在 5 到 10 个工作日内不要使用计算机，或者直到防病毒提供商发布病毒签名更新后再使用计算机。您可以随后使用工具包下载最新的签名文件并重新扫描计算机以便更有效地解决问题。

有关如何组织和制定事件响应计划的更多信息，请参见下列资源：

• 防病毒纵深防御指南。

• Microsoft TechNet 上的响应 IT 安全事件页面。

• Windows 2000 Server 安全指南第 3 章“理解安全风险管理规范”了解事件响应信息。

• Microsoft Operations Framework (MOF) 中的服务管理功能事件管理。

• Microsoft Press 上的 Windows 安全资源工具包第二版。

准备离线扫描工具包

本部分提供建议、支持规范和一小组能够用于准备 Windows 预安装环境 (Windows PE) 工具包的任务和指导。您可以将该工具包与一套工具组合起来对组织内部的计算机进行恶意软件离线扫描。

Windows PE 为 Windows 操作系统提供功能强大的准备和安装工具。通过 Windows PE，您可以从可移动磁盘中启动 Windows，它能提供资源以便在客户端计算机上对 Windows 进行故障排除。有关 Windows PE 的更多信息，请下载 Windows 预安装环境技术概述。

不支持的工具和技术

Windows PE 不支持以下工具和技术：

• Internet Explorer® 7。

• 使用 Microsoft Windows 安装程序（.msi 文件）的应用程序。

先决条件

以下是准备 Windows PE 工具包所需的操作系统和功能：

• Windows Vista® 或带 Service Pack 2 (SP2) 的 Windows XP®。

• 用于写入 CD-ROM 的 DVD 刻录机和软件。

• 计算机硬盘有 992 MB 空闲空间用于下载 Windows PE .img 文件。

  注意：

  如使用默认工具包脚本，计算机的 C 盘上还需要额外 800 MB 空间用于引导映像。

• 用于运行 Windows Installer 的 Microsoft .NET Framework 2.0 和 MSXML。

可以使用以下资源满足这些需求：

• Microsoft .NET Framework Version 2.0 Redistributable Package (x86)。

• Microsoft Core XML Services (MSXML) 6.0。

有关 32 位和 64 位系统需求的更多信息，请参阅：

• Windows 预安装环境概述。

任务概述

完成以下任务让恶意软件删除初学者工具包做好离线扫描的准备：

• 任务 1：安装 Windows 自动安装工具包 (AIK)

• 任务 2：下载恶意软件扫描工具和实用程序

• 任务 3：创建恶意软件删除初学者工具包 CD-ROM

• 任务 4：使用恶意软件删除初学者工具包扫描您的计算机

任务 1：安装 Windows 自动安装工具包 (AIK)

该过程的第一项任务是获得 Windows 自动安装工具包 (AIK)。它包括 Windows PE 和安装在您计算机上的其他文件。该工具包默认以 (*.img) 文件格式安装在您选择的任何系统驱动器上。

注意：

AIK 支持 Windows Vista 和 Windows XP SP2。

要在计算机上安装 AIK：

1. 从 Microsoft 下载中心 Windows 自动安装工具包 (AIK) 页面下载 AIK。

   注意：

   AIK .img 文件的大小为 992 兆字节 (MB)。因此，下载该文件可能需要很长时间，具体取决于您到 Microsoft 下载中心的连接速度。

2. 将 AIK 的 .img 文件刻录到 DVD 上。

   注意：

   如果您的 DVD 刻录软件无法识别“.img”文件，请在下载的另存为对话框中展开保存类型下拉列表，将文件类型更改为所有文件并将文件扩展名从 .img 改为 .iso，然后再次尝试将信息刻录至 DVD。

3. 在您创建的 AIK DVD 上，双击 StartCD.exe 在您的计算机上安装 AIK。

任务 2：下载恶意软件扫描工具和实用程序

您将需要确定希望与 Windows PE 搭配使用扫描计算机上恶意软件的工具。Windows PE 不支持使用 .msi 程序包在计算机上安装的工具。另外，您计算机上的随机访问内存 (RAM) 容量可能会限制您所能使用的扫描工具。

有许多反恶意软件工具可供免费使用，并且不需要安装即可在 Windows PE 环境中作为程序文件运行。还可以从 USB 设备中运行这些工具。

将想要使用的恶意软件扫描工具下载至计算机上的临时位置。

要点：

一些反恶意软件工具需要联网才能运行。因此，当使用本指南创建恶意软件删除初学者工具包 CD-ROM 时，请只使用可以离线使用的反恶意软件工具。建议您阅读所选择使用的所有离线扫描工具的安装说明。一些工具可能不兼容所有的 Windows 操作系统。

编写本指南时，以下工具能够在运行 Windows XP SP2 或 Windows Vista，RAM 至少为 512 MB 的计算机上与 Windows PE 一同运行：

• Alwil Software 提供的 avast!Virus Cleaner。该工具可以离线使用。该工具的签名文件以列出的下载日期为当前版本。

• McAfee AVERT Stinger，McAfee 提供的独立病毒扫描程序。该工具可以离线使用。该工具的签名文件以列出的下载日期为当前版本。

• Microsoft 提供的 Malicious Software Removal Tool。该工具可以离线使用。该工具的签名文件以列出的下载日期为当前版本。

• Spybot Search and Destroy 提供的 Spybot - Search & Destroy。

  
  

  注意：

  使用该工具前，您必须首先将其安装在想要扫描的计算机上，然后从 Spybot 下载最新的签名文件检测更新项。安装完该工具后，默认从 X:\Program Files\Spybot – Search & Destroy\spybotsd 启动该程序，除非在安装过程中指定了其他路径。该工具的签名文件以列出的下载日期为当前版本。有关使用该工具的更多信息，请参见 Spybot 网站上的指南页面。

删除恶意软件时，以下实用程序可帮助您管理您的计算机：

• Freeware Utilities by Alex Nolan 网站的 Drive Manager。该工具确定不同的驱动器类型，如硬盘驱动器、CD/DVD 驱动器、USB 驱动器、网络驱动器并列出它们的属性以供分析。该工具可以离线使用。

• Freeware Utilities by Alex Nolan 网站上的 System Spec 会提供当前计算机硬件的相关信息。如果在计算机维修时需要提供有关硬件的详细信息，该工具将特别有用。该工具可以离线使用。

任务 3：创建恶意软件删除初学者工具包 CD-ROM

创建恶意软件删除初学者工具包 CD-ROM 需要您为工具包生成 Windows PE 映像、通过为其添加工具修改基础 Windows PE 映像、更改磁盘缓存大小以提供额外的 RAM 空间，并且构建 .iso 映像文件以便将修改后的映像刻录至 CD-ROM。您需要定期为 CD-ROM 中的离线扫描工具下载最新的病毒签名更新以便尽可能有效地检测恶意软件。

要点：

开始创建 Windows PE 映像后，至关重要的是无中断地完成该任务的所有步骤。如果您已经下载了计划使用的工具，那么该过程应该在 30 分钟内完成，实际时间取决于您系统的性能以及是否严格遵照上述任务步骤。您需要在 C 盘上留出大约 800 MB 空闲空间以完成此过程。确保您已根据需要更新了所有驱动器盘符参照。

要创建恶意软件删除初学者工具包 CD-ROM：

1. 以管理员帐号登录计算机，单击开始，单击所有程序，单击 Microsoft Windows AIK，并单击Windows PE Tools Command Prompt。

   
   

   注意：

   该步骤适用于 Windows XP。如果您的计算机运行 Windows Vista，则右键单击 Windows PE Tools Command Prompt，单击以管理员身份运行，然后单击继续。

   
   

2. 在命令提示符处键入以下命令并按 Enter 以创建 Windows PE 的 x86 映像副本并在计算机上建立工作文件夹目录：

   
   

   copype x86 c:\WinPE

   
   

3. 在新目录 c:\WinPE 的命令提示符处键入以下命令并按 Enter 安装 WinPE.wim 映像，以便您能够更改它：

   
   

   imagex /mountrw winpe.wim 1 c:\WinPE\Mount

   
   

4. 在命令提示符处键入以下命令然后按 Enter 访问以下注册表子项：

   
   

   reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

   
   

5. 在命令提示符处键入以下命令然后按 Enter 创建 96 MB RAM 磁盘缓存：

   
   

   reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

   
   

6. 在命令提示符处键入以下命令然后按 Enter 退出该注册表键：

   
   

   reg unload HKLM\_WinPE_SYSTEM

   
   

7. 在 Mount 文件夹下为恶意软件扫描工具创建目录（例如，可以为该文件夹取名为“Tools”）。

   
   

   mkdir c:\WinPE\mount\Tools

   
   

8. 将任务 2 中下载的工具文件复制到刚刚创建的 tools 目录。示例：

   
   

   copy <任务 2 中工具所在的目录> c:\WinPE\mount\Tools。

   
   

9. 在命令提示符处键入以下命令，按下 Enter，然后键入 Yes 并再次按 Enter 继续：

   
   

   peimg /prep c:\WinPE\Mount

   
   

10. 在命令提示符处键入以下命令然后按 Enter 保存更改：

    
    

    imagex /unmount c:\WinPE\Mount /commit

    
    

11. 在命令提示符处键入以下命令，按 Enter，然后键入 Yes 覆盖现有文件：

    
    

    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

    
    

12. 在命令提示符处键入以下命令然后按 Enter 创建 Windows PE 映像的 .iso 文件：

    
    

    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

    
    

13. 将 c:\WinPE\WinPE_Tools.iso 处的 .iso 文件刻录至 CD-ROM 并测试 Windows PE 映像，验证它是否能够正确运行所有恶意软件扫描工具。

    
    

    注意：

    您还可以使用 Microsoft Virtual PC 2007 测试该映像。

您的恶意软件删除初学者工具包 CD-ROM 现在已经准备就绪。如果要求经常为您的环境更新病毒签名，建议您使用 USB 设备获取最新更新来维护您所选择的扫描工具。

任务 4：使用恶意软件删除初学者工具包扫描您的计算机

现在您已经准备好使用 Windows PE 映像和您所选择的工具来扫描计算机上的恶意软件。

要使用 Windows PE CD-ROM 和工具扫描您的计算机：

1. 将新 CD-ROM 放入计算机的 CD 驱动器或 DVD 驱动器，然后确保计算机的启动顺序为从该驱动器启动。

   选项：将 USB 设备插入计算机上的插槽以确保启动操作系统时加载该设备。

   
   

   注意：

   有关从 Windows PE CD-ROM 启动盘上启动计算机的详细信息，请参阅 Microsoft.com 上的 Windows 预安装环境概述。该资源提供有关为计算机启动顺序配置基本输入/输出系统 (BIOS) 设置，以及其他可能阻止您从 CD 驱动器启动计算机的 BIOS 设置方面的信息。

   
   

2. 运行您选择的恶意软件扫描工具。如果在任务 3 中使用默认配置信息构建 Windows PE 映像，则工具将位于 X:\Tools。您可以通过在命令提示符处键入各个程序文件的名称来运行列出的工具。

   选项：如果您插入 USB 设备提供更新签名或工具，并且无法确定 USB 设备目前使用的驱动器盘符，那么您可以使用位于 X:\Tools 下的 Drive Manager 来确定驱动器盘符。

   
   

   注意：

   要运行 Spybot，请参考 Spybot 的安装说明，并确保定义程序文件在计算机上安装该工具之后运行。

小心：

在已感染的计算机上运行恶意软件扫描工具可能会使计算机无法正常启动。如果重要的引导文件被恶意软件感染，则清除过程可能使操作系统无法正常工作。因此，定期备份计算机上所有重要的信息文件是非常重要的。另外，在将这些文件从备份资源恢复到计算机之后，建议您再次扫描计算机以便检测在备份文件中是否可能存在恶意软件。

下载

获得恶意软件删除初学者工具包

更新通知

注册以了解有关更新和新版本的信息

反馈

把您的意见或建议发给我们