你被黑了：第一階段――分析



Lawrence Abrams：在發(fā)現(xiàn)和分析階段，第一件要做的事情是凍結筆記本電腦，以使感染不被擴散，并且數(shù)據(jù)和證據(jù)不致

被破壞和丟失。在事件中，筆記本是法庭上需要的必要的證據(jù)，在分析它硬盤上的任何數(shù)據(jù)之前，你必須采取正確的步驟。



首先立即拔掉網(wǎng)線，并切斷電腦的電源（不要使用系統(tǒng)內置的關機，而是直接切斷）。然后，使用字節(jié)對字節(jié)的拷貝工具，比如EnCase（http://www.guidancesoftware.com/），F(xiàn)TK Imager（http://www.accessdata.com/ftkuser/imager.htm），
WinHex（http://www.x-ways.net/winhex/index-m.html）或者可以在Helix Linux CD（http://www.e-fense.com/helix/index2.html）上
找到的圖形界面的dd gui，將硬盤上的數(shù)據(jù)從被感染的筆記本電腦鏡像到備用筆記本電腦上�，F(xiàn)在，你擁有了法庭上承認的筆記本電腦拷貝，將原始的筆記本電腦鎖定，直到你需要在法庭上出具證據(jù)時才能再啟動它。



一旦數(shù)據(jù)被轉移到備用筆記本電腦，下一步就是辨認感染的工作。在所描述的問題場景中，我所做的第一步是下載從Foundstone
下載Fport（http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm），并且再從http://www.spywareinfo.com/~merijn/下載HijackThis，然后在電腦上運行獲得大概的情況。Fport將給出哪個程序打開了哪個IP端口，HijackThis則將告訴你有哪些程序在隨著Windows啟動而運行。然后使用Netstat（http://www.analogx.com/contents/download/network/nsl.htm），你能夠看到這臺計算機正在嘗試連接網(wǎng)絡上的其它機器，并感染它們。



Kevin Beaver：這個用戶的電腦很又可能被黑或者感染了某種類型的惡意軟件。



Tony Bradley：在所描述的問題中，描述了一些可疑的活動，但是在場景中只提供了一部分的信息，這很難判斷此活動是惡意攻擊還是只是一些小問題。



你被黑了：第二階段――立即響應



Lawrence Abrams：使用在分析階段找到的信息，你應該鞏固企業(yè)_blank">防火墻的規(guī)則，禁止被感染機器可能訪問的那些端口，將網(wǎng)絡分為不同的部分，或者與外部網(wǎng)絡隔離。



由于AIM（AOL即時聊天工具）還能夠運行，因此病毒很可能會將自己插入聊天信息中，并希望能夠借助此信息傳播，當收到消息的人點擊其中的連接時，他們就可能中毒了。為減輕這種危險，你需要馬上在網(wǎng)絡中封掉5190端口（AIM使用的端口）。并且馬上發(fā)一封郵件給所有人，讓他們關閉即時聊天軟件也是合情合理的，而相對孤立的網(wǎng)絡部分，沒有被感染的風險。



如果他們被SDBot/RBot
（_gci211699,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci211699,00.html）或者其它的惡意后門軟件感染，你應該立即封禁出站端口6666和6667，除去從外部IRC服務器可能執(zhí)行的命令。



使用_blank">防火墻日志，你應該能夠確定這些機器是否符合你的過濾要求，并且為清除其中的巨大威脅做好準備。粗略的使用類似Fport之類的程序掃描對每臺電腦都是必要的，它對發(fā)現(xiàn)感染非常有用，不過這看起來是一個枯燥的令人畏縮的任務，但它必須執(zhí)行。



Kevin Beaver：在這個階段，你應該按照你們公司的突發(fā)事件反應計劃進行工作，并按照它包含的每一個步驟詳細執(zhí)行，最終消滅惡意攻擊，并從災難中恢復。突發(fā)事件響應團隊然后應該確定是否需要求助外部人員，或者在未來進行此項操作。



對――嚴重的情況是――你們公司并不存在一個突發(fā)事件應急計劃。這樣的話，你應該做的第一件事情不是恐慌，忙的團團轉的將每一臺機器都關閉。如果用戶的工作站上包含有關鍵的信息（比如，個人的、機密的或其它敏感信息），你至少需要將它的網(wǎng)絡連接斷開，以最小化帶來的損失。



如果有可能招來外頻顧問或者法律實施進行正式的調查，你所做的就只是簡單的將計算機的電源線拔掉（不要使用系統(tǒng)內置的關機，而是直接切斷電源），這是最好的操作過程。這樣做的話，沒有內存、臨時文件或交換文件被篡改（雖然它們可能在這種暴力關機中被損壞），然后使用工具鏡像整個磁盤，以便能夠進行調查。



Tony Bradley：我所做的第一件事情是確認防病毒軟件現(xiàn)在是否正在運行。我還需要運行Microsoft Baseline Security Analyzer (MBSA，_gci1008465,00.html">http://searchwindowssecurity.techtarget.com/tip/1,289483,sid45_gci1008465,00.html)或者類似的工具檢查所有需要的補丁是否已經(jīng)安裝。



當連接斷線時，使用ping命令ping Internet網(wǎng)關的地址和主DNS服務器的地址，能夠幫助我們確定機器是否仍然能夠與它們通信。很又可能是DNS服務器出現(xiàn)或者這臺機器到DNS服務器的連接出現(xiàn)了問題。