你被黑了：第一阶段╠╠分析



lawrence abrams：在发现和分析阶段，第一件要做的事情是冻结笔记本电脑，以使感染不被扩散，并且数据和证据不致

被破坏和丢失。在事件中，笔记本是法庭上需要的必要的证据，在分析它硬盘上的任何数据之前，你必须采取正确的步骤。



首先立即拔掉网线，并切断电脑的电源（不要使用系统内置的关机，而是直接切断）。然后，使用字节对字节的拷贝工具，比如encase（http://www.guidancesoftware.com/），ftk imager（http://www.accessdata.com/ftkuser/imager.htm），
winhex（http://www.x-ways.net/winhex/index-m.html）或者可以在helix linux cd（http://www.e-fense.com/helix/index2.html）上
找到的图形界面的dd gui，将硬盘上的数据从被感染的笔记本电脑镜像到备用笔记本电脑上。现在，你拥有了法庭上承认的笔记本电脑拷贝，将原始的笔记本电脑锁定，直到你需要在法庭上出具证据时才能再启动它。



一旦数据被转移到备用笔记本电脑，下一步就是辨认感染的工作。在所描述的问题场景中，我所做的第一步是下载从foundstone
下载fport（http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm），并且再从http://www.spywareinfo.com/~merijn/下载hijackthis，然后在电脑上运行获得大概的情况。fport将给出哪个程序打开了哪个ip端口，hijackthis则将告诉你有哪些程序在随着windows启动而运行。然后使用netstat（http://www.analogx.com/contents/download/network/nsl.htm），你能够看到这台计算机正在尝试连接网络上的其它机器，并感染它们。



kevin beaver：这个用户的电脑很又可能被黑或者感染了某种类型的恶意软件。



tony bradley：在所描述的问题中，描述了一些可疑的活动，但是在场景中只提供了一部分的信息，这很难判断此活动是恶意攻击还是只是一些小问题。



你被黑了：第二阶段╠╠立即响应



lawrence abrams：使用在分析阶段找到的信息，你应该巩固企业_blank">防火墙的规则，禁止被感染机器可能访问的那些端口，将网络分为不同的部分，或者与外部网络隔离。



由于aim（aol即时聊天工具）还能够运行，因此病毒很可能会将自己插入聊天信息中，并希望能够借助此信息传播，当收到消息的人点击其中的连接时，他们就可能中毒了。为减轻这种危险，你需要马上在网络中封掉5190端口（aim使用的端口）。并且马上发一封邮件给所有人，让他们关闭即时聊天软件也是合情合理的，而相对孤立的网络部分，没有被感染的风险。



如果他们被sdbot/rbot
（_gci211699,00.html">http://searchwindowssecurity.techtarget.com/sdefinition/0,290660,sid45_gci211699,00.html）或者其它的恶意后门软件感染，你应该立即封禁出站端口6666和6667，除去从外部irc服务器可能执行的命令。



使用_blank">防火墙日志，你应该能够确定这些机器是否符合你的过滤要求，并且为清除其中的巨大威胁做好准备。粗略的使用类似fport之类的程序扫描对每台电脑都是必要的，它对发现感染非常有用，不过这看起来是一个枯燥的令人畏缩的任务，但它必须执行。



kevin beaver：在这个阶段，你应该按照你们公司的突发事件反应计划进行工作，并按照它包含的每一个步骤详细执行，最终消灭恶意攻击，并从灾难中恢复。突发事件响应团队然后应该确定是否需要求助外部人员，或者在未来进行此项操作。



对╠╠严重的情况是╠╠你们公司并不存在一个突发事件应急计划。这样的话，你应该做的第一件事情不是恐慌，忙的团团转的将每一台机器都关闭。如果用户的工作站上包含有关键的信息（比如，个人的、机密的或其它敏感信息），你至少需要将它的网络连接断开，以最小化带来的损失。



如果有可能招来外频顾问或者法律实施进行正式的调查，你所做的就只是简单的将计算机的电源线拔掉（不要使用系统内置的关机，而是直接切断电源），这是最好的操作过程。这样做的话，没有内存、临时文件或交换文件被篡改（虽然它们可能在这种暴力关机中被损坏），然后使用工具镜像整个磁盘，以便能够进行调查。



tony bradley：我所做的第一件事情是确认防病毒软件现在是否正在运行。我还需要运行microsoft baseline security analyzer (mbsa，_gci1008465,00.html">http://searchwindowssecurity.techtarget.com/tip/1,289483,sid45_gci1008465,00.html)或者类似的工具检查所有需要的补丁是否已经安装。



当连接断线时，使用ping命令ping internet网关的地址和主dns服务器的地址，能够帮助我们确定机器是否仍然能够与它们通信。很又可能是dns服务器出现或者这台机器到dns服务器的连接出现了问题。