病毒隔離，刪除和恢復

病毒隔離，刪除和恢復 根據惡意代碼跡象的重要性對其進行適當的分級是很重要的，因爲它們會傳播到其他電腦的系統中。一般情況下，對惡意代碼進行基本的分析可以確定入侵的是哪種惡意代碼，從而也就可以很容易的確定該惡意代碼可能採取的行動。大多數情況下，網絡的管理者並不一定知道內網被感染電腦的具體數量，但是他們可以判斷出感染的規模是大範圍的感染還是僅有很少的系統被感染。

4， 隔離，刪除和恢復

除了以上介紹的一般性的指導，這節將針對惡意代碼的封鎖以及對感染來源線索的收集和處理提供詳細的建議。 

4.1 選擇適當的封鎖策略

由於惡意代碼具有隱蔽和繁殖、傳播快等特性，所以對惡意代碼的及時封鎖可以阻止它傳播擴散，從而造成更大的破壞。如果被感染的系統不是很重要，那麼就應該儘快地斷開它與網絡的物理連接。如果被感染系統所起的作用非常重要，除非保持物理連接所承擔的安全風險遠遠超出了該系統所起作用的重要性，否則建議不要隨便斷開物理連接。如果遇到下面所提到的惡意代碼情況，還需要採取其他措施：

* 使用上節提到的措施：當一個系統被感染時，它極有可能會去感染其他系統，所以在設置封鎖策略的時候一定要防止病毒向其他系統擴散。 

* 鑑別和隔離被感染主機：反病毒軟件的報警系統是一個很好的消息來源，但是並不是每個病毒都能被反病毒軟件探測到的。所以管理員還需要通過其他手段來尋找感染信息。

例如：
- 通過端口掃描來查看是否有木馬在監聽端口
- 使用反病毒掃描和專殺工具來清楚特定的病毒
- 通過查看郵件服務器、防火牆甚至是具體某臺主機的日誌來判斷是否有病毒侵入
- 設置網絡和主機的入侵檢測軟件來識別可能的病毒活動
- 審查運行中的進程是否是合法進程

* 發送未知病毒的樣本給反病毒廠商：有時候，反病毒軟件無法識別已感染的惡意代碼，用戶不通過反病毒廠商升級特徵碼將無法對惡意代碼進行隔離來防止它擴散。這種情況下，用戶應該惡意代碼的樣本提交給反病毒廠商。

* 通過設置郵件服務器和客戶端來阻塞病毒郵件：許多郵件系統都可以通過手動設置來阻塞特定主題，附件名或其他標準來阻塞帶有惡意代碼的郵件。雖然這種方法並不是十分安全有效，但是在沒有相匹配的反病毒特徵碼時，這種方法是對付將要到來的已知病毒最好的方法。 

* 阻塞發送出的訪問：如果惡意代碼向外部發送病毒郵件或是嘗試與外部連接，那麼管理員應該阻塞已感染系統嘗試連接的外部主機的IP地址或是服務

* 關閉郵件服務器：當遇到破壞特別嚴重的惡意代碼的時候，假設這時內網中已經有大量的主機被感染，並且病毒試圖通過郵件傳播出去。這時，郵件服務器可能已經被內網中上百臺電腦發來的病毒郵件搞得完全癱瘓。這種情況下，關閉郵件服務器，防止病毒向外擴散是非常必要的。

* 斷開局域網與因特網的連接：當遇到極爲嚴重的蠕蟲病毒侵襲的時候，局域網可能會因此癱瘓。有時情況嚴重，外網的蠕蟲還可以使局域網與因特網連接的網關完全癱瘓。一般遇到這種情況，特別是如果局域網已經因爲蠕蟲完全無法同因特網取得聯繫時，最好斷開局域網與因特網的連接，這樣可以保護局域網內的系統不會遭到外網蠕蟲的侵襲；如局域網已經被蠕蟲感染，這樣做也可以防止蠕蟲感染其他網絡的系統和造成網絡擁塞。 

確定局域網中被感染和存在漏洞的主機需要通過複雜的動態運算。如果網絡中所有的電腦都開着，並且連在網中，那麼清除惡意代碼就會變的相對簡單一些。但是，實際情況中可能存在被感染的主機沒有開機，或是遷移到其他網絡中，或是電腦雖然開着，但是用的人已經離開了辦公室等情況。存在漏洞的主機儘管在使用者不在時是關閉的，但是它很可能一開機就被病毒感染。確定被感染和存在漏洞的主機不能僅僅依賴於我們的參與。無論如何，單位或組織也沒有足夠的人力和時間去對每臺主機進行手動檢查，特別是當這裏有很多人是使用移動電腦或是在家裏通過使用與工作單位連接的計算機終端來進行遠距離工作時。在出現大規模的惡意代碼爆發時，組織或是單位必須慎重考慮這些情況，從而採用最有效的封鎖策略。 

4.2 感染來源線索的收集和處理

儘管收集這些線索是可能的，但是這並沒有多大用處，因爲惡意代碼既可以自動傳播，也可以通過被感染用戶傳播。所以，確定病毒的來源是非常困難並且費時間的工作。但是，收集病毒樣本用於以後的測試在某些情況下是非常有用的。

4.3 殺除與恢復

反病毒軟件可以有效的鑑定和清除惡意代碼；儘管有的被感染文件是無法清除的（這些文件可以被刪除或用未被感染的備份文件覆蓋；對與一個程序來說，被感染程序可以卸載重裝。）。這樣，即使病毒爲它的操縱者竊取了管理員級的權限，它也將無法執行操作者接下來的指令，在這種情況下，用戶可以用未被感染的備份文件來恢復系統，或是重新安裝。然後應該採取措施保護系統使它不會在輕易地被同一種惡意代碼感染。