惡意程式碼移除工具之入門套件

規劃因應之道

佈日期: 2007 年 7 月 10 日

您必須做最壞的打算，才能算有完整的規劃。如果所有防護措施都遭到攻擊破壞，您必須確保所共事的人員知道該怎麼做。當遭受嚴重攻擊時，及時因應的能力足以扭轉局面。

規劃因應之道時請務必了解，對惡意程式碼問題的過度反應，所造成的破壞力與真正蔓延幾乎一樣！請規劃快速而慎重的因應之道，使得對同事的影響減至最少。

本頁內容

建立事件因應計劃
準備離線掃描的套件

建立事件因應計劃

建立事件因應計劃，來描述萬一可疑的惡意程式碼蔓延時需要採取的行動，這是組織需要事先準備的重要步驟。當發生惡意程式碼蔓延事件時，此計劃應協助指示所有受影響的人員採取最佳行動。其目的在於使攻擊造成的影響降至最低，並傳達事先已規劃的事件因應處理程序，讓員工可以遵循。例如，完善的計劃應該能夠因應典型事件的一連串動作，如下所示：

1. 當員工發現電腦螢幕出現異常狀況時，呼叫內部技術支援人員。

2. 技術支援人員檢查電腦並撥打產品支援電話。

3. 產品支援人員會回應並完成一個簡短的診斷測試，然後視問題的嚴重性來清除系統或重建系統。

整個回應處理程序可能要花費數小時才能完成，因此要備妥計劃，將惡意程式碼進一步擴散的風險降至最低，直到處理程序完成為止，這點很重要。比方說，如果支援人員經由訓練，會在電腦上執行防毒軟體並拔除可疑電腦的網路纜線，直到產品支援人員抵達為止，如此的初始因應之道即可避免該電腦感染其他電腦。

在規劃事件因應計劃時，通常您需要考量兩種狀況：

• 個別感染

• 大規模蔓延.還好這種狀況較不常見。大規模蔓延有可能對組織造成嚴重破壞。通常，只有在人員紛紛報告許多個別感染，且有類似的徵兆時，才會發現此狀況。

事件因應計劃可同時涵蓋這兩種狀況，因為大規模蔓延的因應處理程序，是因應個別感染的延伸。一般而言，大規模蔓延的因應之道需要您暫時隔離組織的網路，以停止攻擊進一步擴散，並讓技術支援人員有時間清除受感染的系統。在某些情況下，在組織的電腦重新連上網路之前，需要通知網路管理員或扮演該角色的人員變更防火牆或路由器設定。比方說，如果惡意程式碼使用特定網路連接埠來感染電腦，在防火牆封鎖此連接埠可防止感染的擴散，同時也能讓其他網路通訊作業繼續進行。

重要:

如果在使用此套件清除電腦之後，您仍然偵測到惡意程式碼的存在，則建議您關閉電腦，而且在 5 到 10 個工作天內不要使用，或等到防毒軟體提供者發出病毒碼更新檔為止。然後您可以使用此套件下載最新的病毒碼，並重新掃描電腦，以便有效地解決此問題。

有關如何安排及研擬事件因應計劃的詳細資訊，請參閱下列資源：

• 防毒措施深入探索指南

• Microsoft TechNet 上的 Responding to IT Security Incidents

• (僅適用於事件因應資訊) Securing Windows 2000 Server Guide 的第 3 章 "Understanding the Security Risk Management Discipline"

• Microsoft Operations Framework (MOF)Service Management Functions Incident Management

• 來自 Microsoft Press 的 Windows Security Resource Kit

回到頁首

準備離線掃描的套件

本節提供建議、支援規格和一組簡短的工作及指示，供您準備 Windows 預先安裝環境 (Windows PE) 套件。您可以結合此套件與一組工具，對組織中的電腦執行惡意程式碼的離線掃描。

Windows PE 可以為 Windows 作業系統提供強大的準備及安裝工具。利用 Windows PE，您可以從卸除式磁碟啟動 Windows，以提供資源來解決用戶端電腦上的 Windows 問題。如需 Windows PE 的詳細資訊，請下載 Windows Preinstallation Environment Technical Overview

未支援的工具和技術

Windows PE 不支援下列工具和技術：

• Internet Explorer® 7。

• 使用 Microsoft Windows 安裝程式 (.msi 檔) 的應用程式。

必要條件

以下是準備 Windows PE 套件的作業系統和功能需求：

• Windows Vista® 或 Windows XP® Service Pack 2 (SP2)。

• DVD 燒錄器和軟體，用來寫入 CD-ROM。

• 992 MB 的電腦硬碟可用空間，用來下載 Windows PE .img 檔。

  附註:

  對套件使用預設指令檔時，要在電腦的 C 磁碟機存放的開機映像檔還需要 800 MB 的可用空間。

• Microsoft .NET Framework 2.0 版和 MSXML，用來執行 Windows 安裝程式。

您可以使用下列資源來符合上述需求：

• Microsoft .NET Framework 2.0 版可轉散發套件 (x86)

• Microsoft Core XML Services (MSXML) 6.0

如需 32 位元和 64 位元系統需求的詳細資訊，請參閱：

• Windows Preinstallation Environment Overview

工作概觀

請完成下列工作，準備好您的惡意程式碼移除入門套件，以執行離線掃描：

• 工作 1：安裝 Windows 自動化安裝套件 (AIK)

• 工作 2：下載惡意程式碼掃描工具和公用程式

• 工作 3：建立惡意程式碼移除工具之入門套件 CD-ROM

• 工作 4：使用惡意程式碼移除工具之入門套件掃描電腦

工作 1：安裝 Windows 自動化安裝套件 (AIK)

此處理程序的第一件工作，是取得 Windows 自動化安裝套件 (AIK)。此套件包括要安裝在您電腦上的 Windows PE 和其他檔案。根據預設，此套件會以映像檔 (*.img) 安裝在任何您選擇的系統磁碟機上。

附註:

AIK 可以支援 Windows Vista 和 Windows XP SP2。

若要在電腦上安裝 AIK：

1. 從 Microsoft 下載中心的 Windows 自動化安裝套件 (AIK) 頁面上下載 AIK。

   附註:

   AIK 的 .img 檔的大小是 992 MB。因此，您可能需要花費一些時間下載檔案，這要看您連線到 Microsoft 下載中心的速度而定。

2. 將 AIK 的 .img 檔燒錄到 DVD。

   附註:

   如果您的 DVD 燒錄軟體無法辨識 ".img" 檔，請在該下載項目的 [另存新檔] 對話方塊中，展開 [存檔類型] 下拉式清單，將檔案類型變更為 [所有檔案]，並將副檔名從 .img 變更為 .iso，然後重試將該檔案燒錄到 DVD。

3. 在您建立的 AIK DVD 上，按兩下 StartCD.exe，將 AIK 安裝到您的電腦上。

工作 2：下載惡意程式碼掃描工具和公用程式

您需要辨識要搭配 Windows PE 在電腦上掃描惡意程式碼的工具。Windows PE 不支援使用 .msi 套件安裝到電腦上的工具。此外，電腦上的隨機存取記憶體 (RAM) 大小，將會限制您可使用的掃描工具。

有許多不需要安裝的免費反惡意程式碼工具，您可以在 Windows PE 環境中把這些當做程式檔執行。您也可以從 USB 裝置執行這些工具。

將您要使用的惡意程式碼掃描工具，下載到電腦上的暫存位置。

重要:

有些反惡意程式碼工具需要網路存取權才能執行。因此，當您使用本指引來建立自己的惡意程式碼移除工具之入門套件 CD-ROM 時，只能使用可離線使用的反惡意程式碼工具。建議您閱讀所有選用之離線掃描工具的安裝指示。有些工具可能不相容於某些 Windows 作業系統。

在撰寫本指引時，下列工具均可搭配 Windows PE 在至少含 512 MB RAM 且執行 Windows XP SP2 或 Windows Vista 的電腦上使用：

• avast!Virus Cleaner (來自 Alwil Software)。此工具可離線使用。此工具的病毒碼會與下載檔的日期一樣新。

• McAfee AVERT Stinger，來自 McAfee 的獨立病毒掃描器。此工具可離線使用。此工具的病毒碼會與下載檔的日期一樣新。

• 來自 Microsoft 的惡意軟體移除工具

• 來自 Spybot Search and Destroy 的 Spybot - Search & Destroy

  附註:

  使用此工具之前，必須先將它安裝在您想要掃描的電腦上，然後從 Spybot 下載最新的病毒碼更新檔。在安裝此工具之後，除非您在安裝期間指定不同路徑，否則會從預設的 X:\Program Files\Spybot – Search & Destroy\spybotsd 啟動。此工具的病毒碼會與下載檔的日期一樣新。有關如何使用此工具的詳細資訊，請參閱 Spybot 網站的教學課程

下列公用程式可以幫助您在移除惡意程式碼的過程中管理電腦：

• Freeware Utilities by Alex Nolan 網站的 Drive Manager。此工具會辨識不同磁碟機類型，例如硬碟機、CD/DVD 光碟機、USB 磁碟機及網路磁碟機，並且會列出其內容以供分析。此工具可離線使用。

• Freeware Utilities by Alex NolanSystem Spec

工作 3：建立惡意程式碼移除工具之入門套件 CD-ROM

若要建立惡意程式碼移除工具之入門套件 CD-ROM，您需要製作該套件的 Windows PE 映像檔、在其中新增工具來修改基本 Windows PE 映像檔、變更磁碟快取大小以提供更多空間給 RAM，然後建立 .iso 映像檔，將已變更的映像檔燒錄到 CD-ROM。您需要定期為 CD-ROM 上的離線掃描工具下載最新的病毒碼更新檔，使它們在偵測惡意程式碼時能夠發揮最大功效。

重要:

開始建立 Windows PE 映像檔之後，一定要不中斷地完成此工作的所有步驟。如果您已下載所要使用的工具，此處理程序大約需要花 30 分鐘才能完成，視系統效能及您是否完全依給定程序完成工作的步驟而定。您的 C 磁碟機上需要有大約 800 MB 的可用空間，才能完成此程序。若需要，請確定您已更新所有磁碟機代號的參照。

若要建立惡意程式碼移除工具之入門套件 CD-ROM：

1. [開始][所有程式][Microsoft Windows AIK][Windows PE 工具命令提示]

   附註:

   此步驟適用於 Windows XP。如果您在電腦上執行 Windows Vista，請以滑鼠右鍵按一下 [Windows PE 工具命令提示]，然後按一下 [以系統管理員身分執行]，再按一下 [繼續]

2. 在命令提示字元中，輸入下列命令並按 ENTER，以建立 Windows PE 的 x86 映像檔副本，並在電腦上設定工作資料夾目錄：

   copype x86 c:\WinPE

3. 在命令提示字元中，在新目錄 c:\WinPE 中輸入下列命令並按 ENTER，以裝載 WinPE.wim 映像檔，使您可以變更它：

   imagex /mountrw winpe.wim 1 c:\WinPE\Mount

4. 在命令提示字元中，輸入下列命令並按 ENTER，以存取下列登錄子機碼：

   reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

5. 在命令提示字元中，輸入下列命令並按 ENTER，以建立 96 MB 的磁碟快取 RAM：

   reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

6. 在命令提示字元中，輸入下列命令並按 ENTER，以結束此登錄機碼：

   reg unload HKLM\_WinPE_SYSTEM

7. 在 Mount 資料夾底下，為惡意程式碼掃描工具建立一個目錄 (例如，您可以使用「Tools」做為此資料夾的名稱)。

   mkdir c:\WinPE\mount\Tools

8. 將您在工作 2 下載的工具檔案複製到剛才建立的 Tools 目錄中。範例：

   copy <tools from the Task 2 directory> c:\WinPE\mount\Tools.

9. 在命令提示字元中，輸入下列命令並按 ENTER，然後輸入 Yes 並再按一次 ENTER，以繼續處理程序：

   peimg /prep c:\WinPE\Mount

10. 在命令提示字元中，輸入下列命令並按 ENTER，以儲存變更：

    imagex /unmount c:\WinPE\Mount /commit

11. 在命令提示字元中，輸入下列命令並按 ENTER，然後輸入 Yes

    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

12. 在命令提示字元中，輸入下列命令並按 ENTER，以建立 Windows PE 映像檔的 .iso 檔：

    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

13. 將位於 c:\WinPE\WinPE_Tools.iso 的 .iso 檔燒錄到 CD-ROM，並測試 Windows PE 映像檔，以確認它可以正確執行所有惡意程式碼掃描工具。

    附註:

    Microsoft Virtual PC 2007

惡意程式碼移除工具之入門套件的 CD-ROM 現在已經備妥。如果您的環境需要更頻繁的病毒碼更新作業，建議您將選用的掃描工具保存在 USB 裝置上，以便隨時取代最新的更新檔。

工作 4：使用惡意程式碼移除工具之入門套件掃描電腦

現在，您可以開始使用 Windows PE 映像檔和您選取的工具，來掃描電腦上的惡意程式碼。

若要使用 Windows PE CD-ROM 和工具來掃描電腦：

1. 將新的 CD-ROM 放在電腦的 CD 光碟機或 DVD 光碟機中，然後確定電腦的開機裝置順序已設定為從此光碟機啟動。

   選項：在電腦的插槽中插入 USB 裝置，確保當您啟動作業系統時已載入該裝置。

   附註:

   有關如何從 Windows PE CD-ROM 開機光磁啟動電腦的詳細資訊，請參閱 Microsoft.com 的 Windows 預先安裝環境概觀。此資源有提供如何設定電腦基本輸出入系統 (BIOS) 開機裝置順序的資訊，以及說明可能防止您從光碟機啟動電腦的其他 BIOS 設定。

2. 執行您選取的惡意程式碼掃描工具。如果您使用工作 3 的預設組態資訊來建置 Windows PE 映像檔，工具將位於 X:\Tools 中。您可以在命令提示字元中輸入每一個工具的程式檔名稱，以執行列出的工具。

   選項：如果您有插入 USB 裝置，以提供更新過的病毒碼或工具，但您不確定 USB 裝置使用的磁碟機代號，則您可以使用位於 X:\Tools 中的 Drive Manager 來判斷磁碟機代號。

   附註:

   若要執行 Spybot，請參閱 Spybot 的安裝指示，並確保病毒碼程式檔在您將此工具安裝到電腦之後可以執行。

注意:

在受感染的電腦上執行惡意程式碼掃描工具，可能會損害電腦正常啟動的能力。如果主要開機檔案已遭受惡意程式碼感染，則清除過程可能會導致作業系統無法運作。因此，一定要定期備份電腦上的所有重資訊檔案。此外，將這些檔案從備份資源還原到電腦上之後，建議重新掃描電腦，以偵測可能存在於備份檔案中的任何惡意程式碼。

下載

取得惡意程式碼移除工具之入門套件

更新通知

請立即註冊，以獲悉最新資訊和新版本的推出

意見回饋

請將您的寶貴意見或建議傳給我們

回到頁首