惡意程式碼移除工具之入門套件

規劃因應之道

佈日期: 2007 年 7 月 10 日

您必須做最壞的打算,才能算有完整的規劃。如果所有防護措施都遭到攻擊破壞,您必須確保所共事的人員知道該怎麼做。當遭受嚴重攻擊時,及時因應的能力足以扭轉局面。

規劃因應之道時請務必了解,對惡意程式碼問題的過度反應,所造成的破壞力與真正蔓延幾乎一樣!請規劃快速而慎重的因應之道,使得對同事的影響減至最少。

本頁內容

建立事件因應計劃
準備離線掃描的套件

建立事件因應計劃

建立事件因應計劃,來描述萬一可疑的惡意程式碼蔓延時需要採取的行動,這是組織需要事先準備的重要步驟。當發生惡意程式碼蔓延事件時,此計劃應協助指示所有受影響的人員採取最佳行動。其目的在於使攻擊造成的影響降至最低,並傳達事先已規劃的事件因應處理程序,讓員工可以遵循。例如,完善的計劃應該能夠因應典型事件的一連串動作,如下所示:

  1. 當員工發現電腦螢幕出現異常狀況時,呼叫內部技術支援人員。

  2. 技術支援人員檢查電腦並撥打產品支援電話。

  3. 產品支援人員會回應並完成一個簡短的診斷測試,然後視問題的嚴重性來清除系統或重建系統。

整個回應處理程序可能要花費數小時才能完成,因此要備妥計劃,將惡意程式碼進一步擴散的風險降至最低,直到處理程序完成為止,這點很重要。比方說,如果支援人員經由訓練,會在電腦上執行防毒軟體並拔除可疑電腦的網路纜線,直到產品支援人員抵達為止,如此的初始因應之道即可避免該電腦感染其他電腦。

在規劃事件因應計劃時,通常您需要考量兩種狀況:

  • 個別感染

  • 大規模蔓延.還好這種狀況較不常見。大規模蔓延有可能對組織造成嚴重破壞。通常,只有在人員紛紛報告許多個別感染,且有類似的徵兆時,才會發現此狀況。

事件因應計劃可同時涵蓋這兩種狀況,因為大規模蔓延的因應處理程序,是因應個別感染的延伸。一般而言,大規模蔓延的因應之道需要您暫時隔離組織的網路,以停止攻擊進一步擴散,並讓技術支援人員有時間清除受感染的系統。在某些情況下,在組織的電腦重新連上網路之前,需要通知網路管理員或扮演該角色的人員變更防火牆或路由器設定。比方說,如果惡意程式碼使用特定網路連接埠來感染電腦,在防火牆封鎖此連接埠可防止感染的擴散,同時也能讓其他網路通訊作業繼續進行。

重要 重要:

如果在使用此套件清除電腦之後,您仍然偵測到惡意程式碼的存在,則建議您關閉電腦,而且在 5 到 10 個工作天內不要使用,或等到防毒軟體提供者發出病毒碼更新檔為止。然後您可以使用此套件下載最新的病毒碼,並重新掃描電腦,以便有效地解決此問題。

有關如何安排及研擬事件因應計劃的詳細資訊,請參閱下列資源:


準備離線掃描的套件

本節提供建議、支援規格和一組簡短的工作及指示,供您準備 Windows 預先安裝環境 (Windows PE) 套件。您可以結合此套件與一組工具,對組織中的電腦執行惡意程式碼的離線掃描。

Windows PE 可以為 Windows 作業系統提供強大的準備及安裝工具。利用 Windows PE,您可以從卸除式磁碟啟動 Windows,以提供資源來解決用戶端電腦上的 Windows 問題。如需 Windows PE 的詳細資訊,請下載 Windows Preinstallation Environment Technical Overview

未支援的工具和技術

Windows PE 不支援下列工具和技術:

  • Internet Explorer® 7。

  • 使用 Microsoft Windows 安裝程式 (.msi 檔) 的應用程式。

必要條件

以下是準備 Windows PE 套件的作業系統和功能需求:

  • Windows Vista® 或 Windows XP® Service Pack 2 (SP2)。

  • DVD 燒錄器和軟體,用來寫入 CD-ROM。

  • 992 MB 的電腦硬碟可用空間,用來下載 Windows PE .img 檔。

    附註 附註:

    對套件使用預設指令檔時,要在電腦的 C 磁碟機存放的開機映像檔還需要 800 MB 的可用空間。

  • Microsoft .NET Framework 2.0 版和 MSXML,用來執行 Windows 安裝程式。

您可以使用下列資源來符合上述需求:

如需 32 位元和 64 位元系統需求的詳細資訊,請參閱:

工作概觀

請完成下列工作,準備好您的惡意程式碼移除入門套件,以執行離線掃描:

  • 工作 1:安裝 Windows 自動化安裝套件 (AIK)

  • 工作 2:下載惡意程式碼掃描工具和公用程式

  • 工作 3:建立惡意程式碼移除工具之入門套件 CD-ROM

  • 工作 4:使用惡意程式碼移除工具之入門套件掃描電腦

工作 1:安裝 Windows 自動化安裝套件 (AIK)

此處理程序的第一件工作,是取得 Windows 自動化安裝套件 (AIK)。此套件包括要安裝在您電腦上的 Windows PE 和其他檔案。根據預設,此套件會以映像檔 (*.img) 安裝在任何您選擇的系統磁碟機上。

附註 附註:

AIK 可以支援 Windows Vista 和 Windows XP SP2。

若要在電腦上安裝 AIK:

  1. 從 Microsoft 下載中心的 Windows 自動化安裝套件 (AIK) 頁面上下載 AIK。

    附註 附註:

    AIK 的 .img 檔的大小是 992 MB。因此,您可能需要花費一些時間下載檔案,這要看您連線到 Microsoft 下載中心的速度而定。

  2. 將 AIK 的 .img 檔燒錄到 DVD。

    附註 附註:

    如果您的 DVD 燒錄軟體無法辨識 ".img" 檔,請在該下載項目的 [另存新檔] 對話方塊中,展開 [存檔類型] 下拉式清單,將檔案類型變更為 [所有檔案],並將副檔名從 .img 變更為 .iso,然後重試將該檔案燒錄到 DVD。

  3. 在您建立的 AIK DVD 上,按兩下 StartCD.exe,將 AIK 安裝到您的電腦上。

工作 2:下載惡意程式碼掃描工具和公用程式

您需要辨識要搭配 Windows PE 在電腦上掃描惡意程式碼的工具。Windows PE 不支援使用 .msi 套件安裝到電腦上的工具。此外,電腦上的隨機存取記憶體 (RAM) 大小,將會限制您可使用的掃描工具。

有許多不需要安裝的免費反惡意程式碼工具,您可以在 Windows PE 環境中把這些當做程式檔執行。您也可以從 USB 裝置執行這些工具。

將您要使用的惡意程式碼掃描工具,下載到電腦上的暫存位置。

重要 重要:

有些反惡意程式碼工具需要網路存取權才能執行。因此,當您使用本指引來建立自己的惡意程式碼移除工具之入門套件 CD-ROM 時,只能使用可離線使用的反惡意程式碼工具。建議您閱讀所有選用之離線掃描工具的安裝指示。有些工具可能不相容於某些 Windows 作業系統。

在撰寫本指引時,下列工具均可搭配 Windows PE 在至少含 512 MB RAM 且執行 Windows XP SP2 或 Windows Vista 的電腦上使用:

  • avast!Virus Cleaner (來自 Alwil Software)。此工具可離線使用。此工具的病毒碼會與下載檔的日期一樣新。

  • McAfee AVERT Stinger,來自 McAfee 的獨立病毒掃描器。此工具可離線使用。此工具的病毒碼會與下載檔的日期一樣新。

  • 來自 Microsoft 的惡意軟體移除工具

  • 來自 Spybot Search and Destroy 的 Spybot - Search & Destroy

    附註 附註:

    使用此工具之前,必須先將它安裝在您想要掃描的電腦上,然後從 Spybot 下載最新的病毒碼更新檔。在安裝此工具之後,除非您在安裝期間指定不同路徑,否則會從預設的 X:\Program Files\Spybot – Search & Destroy\spybotsd 啟動。此工具的病毒碼會與下載檔的日期一樣新。有關如何使用此工具的詳細資訊,請參閱 Spybot 網站的教學課程

下列公用程式可以幫助您在移除惡意程式碼的過程中管理電腦:

工作 3:建立惡意程式碼移除工具之入門套件 CD-ROM

若要建立惡意程式碼移除工具之入門套件 CD-ROM,您需要製作該套件的 Windows PE 映像檔、在其中新增工具來修改基本 Windows PE 映像檔、變更磁碟快取大小以提供更多空間給 RAM,然後建立 .iso 映像檔,將已變更的映像檔燒錄到 CD-ROM。您需要定期為 CD-ROM 上的離線掃描工具下載最新的病毒碼更新檔,使它們在偵測惡意程式碼時能夠發揮最大功效。

重要 重要:

開始建立 Windows PE 映像檔之後,一定要不中斷地完成此工作的所有步驟。如果您已下載所要使用的工具,此處理程序大約需要花 30 分鐘才能完成,視系統效能及您是否完全依給定程序完成工作的步驟而定。您的 C 磁碟機上需要有大約 800 MB 的可用空間,才能完成此程序。若需要,請確定您已更新所有磁碟機代號的參照。

若要建立惡意程式碼移除工具之入門套件 CD-ROM:

  1. [開始] [所有程式] [Microsoft Windows AIK] [Windows PE 工具命令提示]

    附註 附註:

    此步驟適用於 Windows XP。如果您在電腦上執行 Windows Vista,請以滑鼠右鍵按一下 [Windows PE 工具命令提示],然後按一下 [以系統管理員身分執行],再按一下 [繼續]

  2. 在命令提示字元中,輸入下列命令並按 ENTER,以建立 Windows PE 的 x86 映像檔副本,並在電腦上設定工作資料夾目錄:

    copype x86 c:\WinPE

  3. 在命令提示字元中,在新目錄 c:\WinPE 中輸入下列命令並按 ENTER,以裝載 WinPE.wim 映像檔,使您可以變更它:

    imagex /mountrw winpe.wim 1 c:\WinPE\Mount

  4. 在命令提示字元中,輸入下列命令並按 ENTER,以存取下列登錄子機碼:

    reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

  5. 在命令提示字元中,輸入下列命令並按 ENTER,以建立 96 MB 的磁碟快取 RAM:

    reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

  6. 在命令提示字元中,輸入下列命令並按 ENTER,以結束此登錄機碼:

    reg unload HKLM\_WinPE_SYSTEM

  7. 在 Mount 資料夾底下,為惡意程式碼掃描工具建立一個目錄 (例如,您可以使用「Tools」做為此資料夾的名稱)。

    mkdir c:\WinPE\mount\Tools

  8. 將您在工作 2 下載的工具檔案複製到剛才建立的 Tools 目錄中。範例:

    copy <tools from the Task 2 directory> c:\WinPE\mount\Tools.

  9. 在命令提示字元中,輸入下列命令並按 ENTER,然後輸入 Yes 並再按一次 ENTER,以繼續處理程序:

    peimg /prep c:\WinPE\Mount

  10. 在命令提示字元中,輸入下列命令並按 ENTER,以儲存變更:

    imagex /unmount c:\WinPE\Mount /commit

  11. 在命令提示字元中,輸入下列命令並按 ENTER,然後輸入 Yes

    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

  12. 在命令提示字元中,輸入下列命令並按 ENTER,以建立 Windows PE 映像檔的 .iso 檔:

    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

  13. 將位於 c:\WinPE\WinPE_Tools.iso 的 .iso 檔燒錄到 CD-ROM,並測試 Windows PE 映像檔,以確認它可以正確執行所有惡意程式碼掃描工具。

    附註 附註:

    Microsoft Virtual PC 2007

惡意程式碼移除工具之入門套件的 CD-ROM 現在已經備妥。如果您的環境需要更頻繁的病毒碼更新作業,建議您將選用的掃描工具保存在 USB 裝置上,以便隨時取代最新的更新檔。

工作 4:使用惡意程式碼移除工具之入門套件掃描電腦

現在,您可以開始使用 Windows PE 映像檔和您選取的工具,來掃描電腦上的惡意程式碼。

若要使用 Windows PE CD-ROM 和工具來掃描電腦:

  1. 將新的 CD-ROM 放在電腦的 CD 光碟機或 DVD 光碟機中,然後確定電腦的開機裝置順序已設定為從此光碟機啟動。

    選項:在電腦的插槽中插入 USB 裝置,確保當您啟動作業系統時已載入該裝置。

    附註 附註:

    有關如何從 Windows PE CD-ROM 開機光磁啟動電腦的詳細資訊,請參閱 Microsoft.com 的 Windows 預先安裝環境概觀。此資源有提供如何設定電腦基本輸出入系統 (BIOS) 開機裝置順序的資訊,以及說明可能防止您從光碟機啟動電腦的其他 BIOS 設定。

  2. 執行您選取的惡意程式碼掃描工具。如果您使用工作 3 的預設組態資訊來建置 Windows PE 映像檔,工具將位於 X:\Tools 中。您可以在命令提示字元中輸入每一個工具的程式檔名稱,以執行列出的工具。

    選項:如果您有插入 USB 裝置,以提供更新過的病毒碼或工具,但您不確定 USB 裝置使用的磁碟機代號,則您可以使用位於 X:\Tools 中的 Drive Manager 來判斷磁碟機代號。

    附註 附註:

    若要執行 Spybot,請參閱 Spybot 的安裝指示,並確保病毒碼程式檔在您將此工具安裝到電腦之後可以執行。

注意 注意:

在受感染的電腦上執行惡意程式碼掃描工具,可能會損害電腦正常啟動的能力。如果主要開機檔案已遭受惡意程式碼感染,則清除過程可能會導致作業系統無法運作。因此,一定要定期備份電腦上的所有重資訊檔案。此外,將這些檔案從備份資源還原到電腦上之後,建議重新掃描電腦,以偵測可能存在於備份檔案中的任何惡意程式碼。


下載

取得惡意程式碼移除工具之入門套件

更新通知

請立即註冊,以獲悉最新資訊和新版本的推出

意見回饋

請將您的寶貴意見或建議傳給我們



顯示: