通常律師和醫生在出席Party時不喜歡告訴別人他們自己的職業，只要有人聽說他們的身份，就會咨詢醫療或者法律方面的事情。而現在，如果你說你在計算機安全領域工作，在你為周圍同樣會很多人向你咨詢安全相關信息。

　　經常會出現這種情況，當信息安全專業人員需要執行一些快速修復工作時，發現沒有合適的工具集。為了解決這個問題，我們在本月的應用指南中將討論如何建立一個用于修復被感染的計算機的便攜式軟件工具箱?；ヂ摼W上有大量免費的非常有用的系統分析工具和反惡意軟件工具。我建議管理員下載這些軟件并且把這些軟件刻錄到CD光盤上，最好是寫在價格很便宜的1GB優盤。然后隨身攜帶這個優盤，這樣你就可以像一個信息安全的超級英雄那樣在災難中把人們挽救過來。

　　第一件武器：殺毒和反間諜軟件

　　首先，你需要能夠掃描系統、檢測和刪除系統中惡意軟件的殺毒和反間諜軟件工具。我最喜歡的免費殺毒掃描軟件是ClamAV。這是Sourcefire在2007年8月收購的一種殺毒工具。不過，應定期下載病毒特征庫并更新。

　　對于反間諜軟件，我最喜歡的免費工具包括Lavasoft AB公司的Ad-Aware、Spybot Search和Destroy以及趨勢科技的HijackThis。雖然許多商業廠商都購買許多這類產品，但是只要這種軟件是免費的、高質量的和保持更新的，使用這種軟件就沒有什么錯誤。

　　第二件武器：機器分析器

　　對Windows系統進行深入分析的最佳資源之一是微軟在2006年7月收購的Sysinternals。我希望許多Sysinternals工具最終將集成到Windows系統中。但是，在此之前，下載這些工具是很有幫助的。下面是一些重要的Sysinternals工具。

　　?Process Explorer(進程瀏覽器)實際上就是一種Windows任務管理器。它顯示全部運行的進程，指出它們的層次關系以及它們裝載的動態鏈接庫。

　　?Filemon和Regmon分別使用文件系統和注冊表記錄所有的相互作用，并且能夠實時完成這些任務。

　　?流進程監視器，Sysinternals工具中新增加的一種工具，基本上是把上述三種工具集成在了一起，詳細說明一臺機器上運行的全部進程。

　　?Autoruns程序顯示一個系統在啟動時或者用戶登錄時自動開始運行的全部程序。因為間諜軟件經常修改自動啟動目錄或者注冊表，這個程序對于分析一臺機器的啟動狀態是非常重要的。

　　?TCPView以圖片方式提供TCP和UDP端口使用情況，把每一個端口與它正在使用的流程關聯起來。

　　?Strings在屏幕上顯示一個文件的字符串。粗心的惡意軟件作者把字符串留在他們的代碼中。這種字符串經常是ASCII字符串。要讓Sysinternals程序查找ASCII字符串，而不是系統默認的Unicode字符串。運行這個程序時要使用-a這個參數。

　　?最后使用RootkitRevealer查找rootkit，確定一個系統在什么時候提供有關哪一個文件或者注冊鍵出現的錯誤信息。

　　使用這些工具收集到的信息，再加上用搜索引擎搜索一下具體的進程、動態鏈接庫和文件名，能夠幫助識別在一臺計算機上的惡意活動。

　　第三件武器：微軟基準安全分析器(MBSA)

　　微軟的這個免費的方便診斷工具能夠查看Windows計算機的數百項設置，確定其安全狀態和提出建議。MBSA能夠披露補丁已經過期可能讓惡意軟件感染等安全漏洞。我還建議你們攜帶一個名為Netcat的網絡安全工具。這種工具能夠在TCP連接或者UDP端口上發送任意數據。Netcat能夠移動文件(如MBSA或者ClamAV等工具生成的報告)或者存檔遠程訪問(shell access)。

　　第四件武器：LADS

　　Frank Heyne公司的這個免費軟件工具可以查找基于NTFS的文件系統中的附加數據流(ADSes)。附加數據流是默認的隱藏文件，黑客有時候利用這種文件隱藏其惡意。Windows Vista操作系統新增加的一個選項能夠使用內置的“dir”命令加上“/r”參數顯示數據流。由于Windows Vista以前版本的系統仍在使用，LADS這樣的工具應該是你的工具箱中的另一個重要工具。

　　第五件武器：VMware播放器/VMware安全瀏覽設備

　　VMware播放器是一種免費的虛擬化應用程序。這種軟件能夠讓客戶機在Windows計算機上運行。VMware安全瀏覽設備包括一個免費的配置火狐瀏覽器的Ubuntu操作系統。

　　有時候，互聯網訪問需要下載一個額外的工具。如果手頭沒有其它機器，VMware就可以安裝到機器上，運行這個虛擬機就可以訪問互聯網。

　　一旦你建立了消滅惡意軟件的USB武器庫，你一定要把這個優盤設置為只讀模式。許多優盤有只讀訪問的硬件開關，打開這個開關，因為我們不希望惡意軟件感染我們的武器庫。所以我一般不購買沒有硬件支持只讀訪問的優盤。

　　最后，不要讓這些工具僅僅局限于一個優盤分析工具。你可以根據你的需求增加其它組件。但是，不要向這個優盤下載你不知道用途的工具。不正確地運行一個工具可能會給機器造成更大的破壞。你要在實驗室里用實驗的機器練習使用這些工具，認真思考每一個工具如何能夠幫助你修復一臺被感染的機器。只需很少的計劃和大量的練習，一個消滅惡意軟件的優盤就可以很好地為你服務。