Cập nhật kỹ năng dọn dẹp phần mềm độc hại


11

Tôi đã thấy một số trang web cung cấp 'Đại học phần mềm độc hại', các lớp đào tạo về loại bỏ phần mềm độc hại. Bạn có nghĩ rằng thỉnh thoảng cập nhật các kỹ năng loại bỏ phần mềm độc hại (hoặc kho vũ khí) không? Làm thế nào để bạn trở nên hiệu quả hơn trong việc đối phó với mối đe dọa đang phát triển, rất phức tạp này?

Câu trả lời:


32

Bạn không "làm sạch phần mềm độc hại". Bạn cấp các máy và bắt đầu lại. Bất cứ điều gì ít hơn là một dịch vụ cho khách hàng của bạn và yêu cầu rắc rối.

Theo như đối phó với "mối đe dọa", bạn không cho phép người dùng chạy với tài khoản cấp Quản trị viên (trên Windows) và bạn không cài đặt phần mềm không đáng tin cậy (càng nhiều càng tốt). Nó có vẻ khá đơn giản với tôi. Khách hàng của tôi và tôi không gặp vấn đề gì với phần mềm độc hại.


11
Downvote, hả? Hãy tiếp tục-- hạ tôi xuống. Tôi vẫn đúng. nụ cười "Dọn sạch phần mềm độc hại" là liên minh bụi rậm. Sau khi một bên thứ ba độc hại tấn công máy tính của bạn, việc giữ một hệ điều hành và phần mềm ứng dụng không đáng tin cậy xung quanh là một ý tưởng tồi.
Evan Anderson

4
+1 để nói thẳng. Tuy nhiên, tôi nghĩ thật tốt khi hiểu cách thức hoạt động của phần mềm độc hại - vì vậy một số khóa đào tạo đáng tin cậy từ những người như Mark Russinovich hoặc Sans có thể đáng để thực hiện.
Ben Dunlap

1
Vậy làm thế nào để bạn xác định phần mềm độc hại? Bạn có thực sự ủng hộ việc cài đặt lại hệ điều hành bởi vì bạn có một cái gì đó vô hại như thế này? viruslist.com/en/viruses/encyclopedia?virusid=18321 Tôi có thể hiểu việc cài đặt lại nếu bạn ký hợp đồng với một số phần mềm độc hại bất chính hơn .....
Josh Brower

2
Tôi ủng hộ việc cân bằng hệ điều hành và chỉ khôi phục các tệp dữ liệu từ bản sao lưu nếu bạn quan tâm đến tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu được xử lý bởi một máy tính chạy mã bên thứ ba độc hại. Nếu một tác giả phần mềm độc hại chỉ cần làm cho phần mềm của họ có vẻ ngoài đơn giản để khiến bạn tin rằng máy đó "sạch" sau khi bạn sửa đổi nó, đó là những gì tác giả phần mềm độc hại sẽ làm.
Evan Anderson

1
+1 cho việc học một cách khó khăn.
cop1152

6

Ngoài các thực tiễn sysadmin về việc không cho phép người dùng chạy các tài khoản cấp quản trị viên và như vậy, rất nhiều trách nhiệm thuộc về bạn để luôn cập nhật về các mối đe dọa trong tự nhiên. Đọc các cảnh báo rằng cửa sổ bật lên khi một mối đe dọa mới được tìm thấy. Có chính sách cập nhật cho phần mềm của bạn.

Không có gì có thể phá hủy bảo mật nhanh hơn người dùng xác định, vì vậy hãy giáo dục họ về sự nguy hiểm của việc nhấp vào liên kết ngẫu nhiên trong e-mail hoặc cài đặt ứng dụng trừ khi họ chắc chắn về nguồn (v.v.), đảm bảo nói với họ rằng đây là an toàn của mạng và máy tính gia đình của họ.

Nếu bạn luôn cập nhật tin tức và thông tin cho người dùng của bạn, thì bạn sẽ giảm đáng kể mức độ tiếp xúc của mình.


5

Theo như "đào tạo phần mềm độc hại", chỉ riêng cái tên này đã hơi quá lời - tiếp thị thông tin để truyền cảm hứng cho nhiều niềm tin. Có lẽ tôi quá hoài nghi, nhưng tôi cảm thấy rằng bất kỳ "chủ đề phần mềm độc hại" cụ thể nào sẽ bị lỗi thời trước khi lớp học diễn ra.

Chắc chắn, một số kỹ năng cơ bản được áp dụng, nhưng nếu quản trị viên (hoặc công nghệ hỗ trợ) chưa biết những điều đó, tôi muốn họ định dạng máy (vì lý do Evan Anderson chỉ ra) thay vì cơ hội về kỹ năng làm sạch của họ .


4

Autorun và Process Explorer từ Sysiternals (hiện thuộc sở hữu của MS) là những người bạn tốt nhất của bạn. 1-2 lần nhiễm trùng tôi thấy một tuần mà người dùng đã mở tệp đính kèm hoặc truy cập trang không nên có và AV (cập nhật!) Chưa hoàn thành chặn nó, thường có thể được dọn sạch 30m-1h nỗ lực chỉ với hai tiện ích này. Việc này khá đơn giản và sau vài lần dọn dẹp đầu tiên của bạn, bạn sẽ có một sở trường để biết những gì cần phải bị giết / loại bỏ để loại bỏ phần mềm độc hại.

Điều đó nói rằng, cứ sau một thời gian, bạn sẽ chạy qua một mẩu phần mềm độc hại không phải do một kẻ ngốc viết ra, vì vậy nếu bạn không thể thực hiện bất kỳ bước tiến nào sau 30 phút, thì đã đến lúc xóa / tải lại hoàn toàn.

Hãy nhớ rằng, điều này phù hợp hơn với SMB khi phần cứng không được chuẩn hóa. Nếu bạn đã có một hình ảnh hệ thống và các tập tin của người dùng được sao lưu, sẽ nhanh hơn để xóa / tải lại ở dấu hiệu nhiễm trùng đầu tiên.


Tôi tự coi mình khá thành thạo với procexp và autorun. Lần trước tôi đã sử dụng các công cụ này để loại bỏ vi-rút mọi thứ trông có vẻ sạch sẽ, nhưng hóa ra máy tính vẫn truyền tin nhắn rác - đủ để IP của chúng tôi được đưa vào một số danh sách đen của SMTP. Cách duy nhất để chắc chắn về một hộp sạch là xây dựng lại.
Nic
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.