這篇筆記出現的主要原因是用來提醒 DR 自己,因為 DR 幫人處理中毒問題時(這裡所稱的「毒」泛指所有惡意軟體,也就是 malware),有時還是會忘東忘西,忘記這個、忘記那個的。於是決定寫篇筆記好好提醒一下自己,免得忽略了一些重要的步驟。 因此,基本上這篇筆記是很個人且粗略的,所以別問 DR 為什麼不寫得詳細一點,例如判斷病毒程式的方法等。而以下的步驟之所以沒有標號碼,是因為這沒有一定的先後順序。 接下來,進入正題吧: 【詢問詳細的問題症狀】 免得弄了老半天卻沒解決對方所碰到的問題。 【立即檢查執行中的程序】 如果沒有攜帶特別工具,可以使用最基本的工作管理員(taskmgr),另外也可使用 tasklist 與 killtask 指令。 【檢查所有磁碟下的隱藏檔】 這主要是針對隨身碟的惡意軟體。 【檢查系統啟動程序】 若無工具,可以使用最基本的系統設定公用程式(msconfig),也順便將不需要的啟動程序關閉。 【檢查系統服務】 利用 msconfig 以及管理工具(compmgmt.msc) 【對於可疑、未確認的檔案進行線上檢查】 可先比對發佈者以及日期,然後利用 Google 查驗來源或使用 VirusTotal 線上掃毒網站。 【檢查 AT 排程命令】 檢查是否有惡意軟體利用 AT 定時執行命令。 【清除所有暫存檔】 若無特別工具,使用最基本的磁碟清理工具(cleanmgr),可以直接將位於暫存目錄的病毒清掉。 【檢查系統事件紀錄】 使用事件檢視器(eventvwr.msc) 【用軟體進行登錄檔掃描】 可利用多種工具,詳見:Windows 惡意軟體常見狀況排除集錦。 【評估所使用的防毒軟體】 如果沒安裝防毒軟體,就找一個裝上,如果已安裝的防毒軟體在 www.virus.gr 上的掃毒率評測低於 90% - 就換掉。呃,倒也不是說那些低於 90% 的有多差,不過既然之前的擋不了,那換一個 rank 較高的一定是保險得多。 換裝防毒軟體後,立刻利用防毒軟體的即時掃描能力再一次確認執行中的程序是否正常。 【檢查作業系統本身的安全狀況】 檢查是正版還是來路不明的整合版、檢查自動更新是否開啟、檢查瀏覽器的版本、檢查 Service Pack 是否安裝以及安裝的版本,檢查上述事項後再依狀況做補強。 【安全宣導】 瞭解可能的中毒原因,然後好好給使用者「教育」一番…… →Back to DarkRanger.no-ip.org |