【TechTarget中国原创】问:只能在安全模式下移除的恶意软件,在XP正常模式下运行定期每日杀毒扫描的时候要注意什么?
答:主要的是检测。记住,警觉是最强大的安全工具。我认为这个问题和几年前争论的IDS/IPS是同一类型。在2003年中期,Gartner Inc.发布了一份报告,称入侵检测技术已经不流行了。虽然报告中的观点是正确的(例如,IDS不能阻止任何事情)但是报告没有考虑到这种技术的警觉性的一方面。
尽管如此,这个问题必须从两个方面回答:检测和移除。
对于检测来说,在企业环境中定期运行杀毒软件是很好的选择,但是它不是识别恶意软件的唯一方法。定期查看IDS日志中的网络层面的攻击。最后,安全部门应该开始进行新的定期活动,网络的出口和入口可以在特定的时间内捕获全面的信息包。对于有大量网络使用的大型网络,这不用很长时间。在捕获了流量后,安全部门应该识别不同的网络连接并检查连接是否有效。
目的是在环境中找到出现错误的多个检测点。这包括在正常模式的系统中运行的杀毒软件。对于这个问题,我想要强调有些核心层面的rootkit可以运行核心以隐藏行踪。
现在说说移除,有些版本的恶意软件,例如Sality,移除可以允许安全模式的注册密钥。所以安全模式不总是安全的。对于有些病毒或蠕虫,进入Helix等Linux环境是最好的选择,因为Windows操作系统已经不可信了。最后,在正常模式中运行杀毒软件可以移除大量恶意软件,所以它对企业仍然有价值。
拥有安全部门已经接受了培训的多个选择是最好的。攻击者当然也非常灵活。