有時候就算用上了各種防護措施，你還是無法擺脫惡意軟件的入侵。那么一旦遭遇惡意軟件入侵，你該怎么辦呢？這里將向大家介紹遭遇到惡意軟件后的六個基本應對步驟。

作為一個網絡安全管理人員，我們一直在盡可能地為系統安裝補丁和升級，對系統進行安全測試，建立使用合理的安全策略。不幸的是，盡管我們做了這些工作，但是仍然無法完全避免系統被病毒，蠕蟲或者其他惡意軟件入侵。

在以前的專題中，我介紹過建立事故相應策略的方法，以及應對安全事故所采取的標準步驟。但是安全事故的種類很多，規模和目標也不相同。因此，雖然建立一個全面的安全策略非常重要，對于特定的安全事故，還是要有特定的事故應對計劃。

之所以要撰寫本文，主要是由于目前惡意軟件日益猖獗。一個針對惡意軟件入侵事故的應對計劃并不是針對惡意軟件攻擊行為的，而是考慮如何在攻擊發生后該如何處理。

什么是惡意軟件？

惡意軟件是一種在用戶不知情的情況下植入系統的惡意代碼或程序，它依賴于網絡，可以降低數據或程序的保密性，完整性以及可用性。惡意軟件對于網絡安全有極大的破壞性，而要恢復被惡意軟件感染的系統，人力和財力成本都相當高。

我們可以將惡意軟件威脅分為五大類。以下是每一類的大致介紹：

◆病毒: 這是一種可以自我復制的代碼，它將自身植入到宿主程序或數據文件中。病毒可以攻擊操作系統和應用程序。

◆蠕蟲: 自我復制自我執行的獨立程序。蠕蟲可以自我復制，并且不需要宿主程序或文件。

◆特洛伊木馬: 這是獨立的非自我復制的程序。這類程序看似無害，但內含了惡意操作。木馬程序一般是通過其他攻擊軟件被植入操作系統的。

◆惡意移動代碼: 這種惡意軟件試圖將自身從遠程系統下載到用戶本地系統。攻擊者一般是用這種方式將病毒，蠕蟲或者特洛伊木馬下載到用戶的電腦中。這種惡意代碼利用了系統的默認權限以及系統漏洞獲取控制能力

◆追蹤cookies:這種代碼存在于很多網站上，它通過cookie的形式允許第三方程序追蹤和記錄用戶的上網行為，攻擊者一般聯合利用追蹤cookie和Web漏洞。

以上是幾類主要的威脅用戶和網絡安全的惡意軟件。當這些惡意軟件成功進入了用戶的系統，又該怎么處理呢？以下是六點有效的惡意軟件入侵響應動作：

1.準備工作: 建立針對惡意軟件入侵事件的應輩唄砸約按?理方案。通過典型的惡意軟件對制定的應對策略進行測試，以便確認所制定的方案可以在實戰中應用??br>
2.檢測和分析: 安裝和監視反病毒軟件／反惡意軟件程序。經常閱讀由反病毒軟件廠商提供的惡意軟件預警信息。在可移動存儲設備上保存一份最新的惡意軟件識別和殺除工具，并測試其運行效果。同時采用其他一些分析方式。

3.遏制: 準備關閉服務器／工作站，或者關閉某一服務（如電子郵件，Web服務，或者互聯網接入服務）以便將惡意軟件的危害控制在一定范圍。至于到底該停止哪些服務，則需要根據惡意軟件的性質來決定。盡早采取遏制措施可以防止惡意軟件進一步傳播，將內部網絡或外部網絡的損失降到最低。

4.鏟除: 通過各種可靠的技術將惡意軟件從系統中刪除 。

5.恢復: 恢復受感染系統上的數據的機密性，完整性和可用性，然后撤銷遏制工作。這包括重新連接系統／網絡，利用最新的安全備份文件重新建立受損的系統。事故響應團隊應該對恢復網絡服務的風險進行評估，而這個評估將會左右管理者決定是否以及何時恢復被停止的服務。

6.報告: 在每次惡意軟件入侵事件后總結經驗教訓以避免重復錯誤。調整安全策略和安全軟件設置，增加惡意軟件檢測和預防控制。

結束語

在應對惡意軟件入侵事件時，你可以使用各種檢測和監視工具，但是你仍然需要用戶的協助。你要指導用戶學會如何識別入侵，并教會他們如何在遭受攻擊后實施正確的操作。