对入侵系统的彻底营救

攻击者侵入系统，总是由一个主要的目的。例如，显示技术，企业机密数据，破坏企业正常的业务流程等等，有时可能入侵后，攻击，一些成为另一个目的，例如，是炫耀，但在进入系统，发现了一些重要的机密数据，由于攻击者的利益驱动，导致机密数据被盗。

而攻击者入侵系统的目的不同，使用的攻击方式也会不同，影响范围和损失也不尽相同，因此，在处理不同的系统入侵事件时，应对症下药。不同类型的系统入侵应该通过不同的处理方法来解决，以便有针对性地达到最佳效果。

对于过去和现在的系统入侵事件，根据权威的统计分析，根据入侵的主要目的，可以将其分为三种主要类型。

1。以炫耀技术为目标的系统入侵行为。

2，为了获取或销毁系统中的机密数据，以此作为系统入侵的目的。

三.系统的入侵行为旨在破坏系统或业务的正常运作。

本文后面的内容是讨论应该使用什么方法快速恢复被上述三个系统入侵的系统，以及如何减少系统入侵的程度和严重性。当然，在我们开始恢复入侵系统之前，我们应该确保以下任务是按要求完成的：

1、打开系统审核功能。

2，系统、防火墙和IDS生成的日志文件已被保存。

三.系统和系统中已经有重要的应用程序和数据的完全备份或相应的增量备份。

4，准备好检测工具的弱点（如漏洞扫描或Nessus），文件完整性检查工具（如rootkit，探宝器）系统过程视图（如冰刃或procexp）和网络连接查看工具（如Fport）和其他必要的第三方软件，确保软件可用于任何时间。

5。系统入侵事件已被发现，系统入侵事件的真实性和错误性已被及时识别，并根据入侵的严重程度进行分类。

上述任务不仅为系统及时入侵提供了必要条件，而且是成功地恢复入侵系统，减少系统入侵的基本条件。我们应该完成他们的认真和仔细。事实上，在中国的大部分普通用户和中小企业使用的是Windows XP操作系统的观点，在本文中，如果没有特别说明，所有提到的系统是Windows XP操作系统。

首先，系统入侵恢复展示了技术目的。

一些攻击者攻击系统只显示他们的优秀的网络技术同行或他人，或做系统的入侵是为了测试一个系统bug。此类系统入侵事件，攻击者会留下一些证据体系中的证明他是这个系统的一个成功的侵袭，有时他的入侵结果公布在互联网上的论坛，例如攻击者的入侵是一个Web服务器，他们将改变网站通过网站信息的主页，你已经侵入系统，或安装一个后门，使系统入侵他的鸡，然后公开出售或在某些论坛公布，宣布自己已经侵入系统。也就是说，我们可以付而将这类系统的侵入和控制入侵并修改服务内容系统的目的系统的入侵。

对于修改服务内容的系统入侵活动，系统恢复可以在不停机的情况下完成。

1，建立完整的入侵系统快照，或只保存修改后的部分快照，以便事后分析和保留证据。

2，通过备份立即恢复修改后的网页。

3、在Windows系统下，通过网络监控软件或netstat ndash；an命令查看当前系统的网络连接；如果我们发现异常的网络连接，应立即断开它。然后，通过检查系统进程、服务和分析系统和服务的日志文件，我们可以检查什么样的操作系统攻击者在系统中完成，从而使相应的回收。

4。通过系统日志文件的分析，或通过漏洞检测工具了解攻击者入侵系统的漏洞，如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的，那么，它应该寻找相应的系统或应用程序的补丁来修复它，如果没有修补这些漏洞，我们应该用其他手段来阻止入侵活动临时再利用这些漏洞，如果攻击者利用其它方式，如社会工程，侵入系统，有没有新的检查系统漏洞，那么就不需要做这一步，我们必须了解和培养对象的社会工程ATT实施零食。

5，在修复系统或应用程序漏洞之后，我们应该添加相应的防火墙规则以防止此类事件再次发生。如果我们安装IDS和防病毒软件，我们应该升级它们的特性库。

6，最后，使用系统或相应的应用程序检测软件对系统或服务进行彻底的弱点检测。在测试之前，我们必须确保其检测特性库是最新的，在完成所有工作之后，我们应该安排对系统进行实时监控，以确保系统不再受到此类入侵的攻击。

如果攻击者攻击系统控制系统成为一只鸡，然后，为了能够长期控制系统，就会在系统中安装相应的后门程序。同时，为了防止用户或系统管理员发现，攻击者将尽一切可能隐藏在系统操作痕迹和隐藏他安装后门。因此，我们只能看到系统是否受攻击者通过查看系统进程，使用网络连接状态和端口。如果我们决定系统已成为攻击者的肉鸡，我们应该采取以下方式入侵恢复。

1，分析具体时间，及时攻破系统，影响范围和严重程度的原因，然后将入侵系统创建快照，保存损坏的情况，还保留分析和证据之后。

它已经建立在网络连接和端口2中，使用网络连接监控软件或端口监控软件测试系统的使用，如果发现非法互联网连接，他们会立即断开所有，并在防火墙规则中添加此IP或禁用端口。

是的，有时我们不能通过这些方式终止一些后门程序的进程。然后我们只能暂停营业，进入安全模式，如果我们不能完成这些借壳的操作过程在安全模式，我们只能备份业务数据，系统恢复到一个安全的时间段，然后恢复业务数据，业务中断将造成的，所以处理速度应尽快减少冲击和业务中断造成的损失。有时候，我们也应该检测是否有系统服务后门服务违法登记。这可以通过打开控制面板，管理工具mdash；，，服务，服务，和检查所有非法服务。


4、当寻找借壳进程和服务，我们会记录所有发现的过程和服务的名称，然后搜索这些文件在系统注册表和系统分区，并删除所有相关数据的后门。你也应该采取开始菜单mdash；所有程序mdash；启动所有的菜单项的内容被删除。

5。分析系统日志，了解攻击者入侵系统的方式和系统中的操作方式，然后对攻击者在系统中进行的所有修改进行纠正。如果他使用系统或应用程序漏洞侵入系统，他应该找到相应的漏洞修补程序来修复漏洞。

如果没有修补这个漏洞，你应该使用其它安全手段，例如通过防火墙来阻止一些网络连接的IP地址，暂时通过这些漏洞，防止攻击，并不断关注这个漏洞的最新状态，相关的补丁应该立即修改后，给系统打补丁和应用，我们可以通过相应的软件。

6, after completing the system repair work, we should also use vulnerability detection tools to conduct a comprehensive vulnerability detection for the system and application program to ensure that no system or application vulnerabilities appear.We also use the way of manual inspection system is added to the new user account, and modify the corresponding attack installation settings, such as modifying the firewall filtering rules, the sensitivity of IDS/IPS, enabled services and security software to disable the attacker.

在完成了系统的入侵事件后，为了展示安全性，我们还应该对系统进行相关的操作，进一步保证入侵恢复的结果。

1。修改系统管理员或其他用户帐户的名称和登录密码。

2。修改数据库或其他应用程序的管理员和用户帐户名和登录密码。

三.检查防火墙的规则；

4。如果在系统中安装了防病毒软件和IDS，它们的病毒库和攻击特性库将分别更新。

5。重设用户权限；

6，重新设置文件的访问控制规则；

7。重新设置数据库的访问控制规则。

8。修改与网络操作有关的所有帐户的名称和登录密码。

当我们完成上述所有的系统恢复和修复任务时，我们可以对系统和服务进行完全备份，并分别保存新的完整备份和旧的完整备份。

什么是这里要注意的是：一个入侵活动旨在控制系统中，攻击者会试图隐藏自己的用户。此外他们的修改或删除系统和防火墙，和他相关的日志文件的操作，聪明的黑客会修改其创建并通过一些软件修改基本属性信息的文件，这些基本的属性包括文件的最后访问时间，修改时间，防止用户对系统的理解已经通过查看文件属性的损害。因此，当测试的系统文件被修改，RootKit Revealer和其他的软件可以用来检验文件的完整性。

两。系统入侵恢复是为了获取或破坏系统中的机密数据。

现在，企业IT资源中最有价值的，当然是存在于这些设备中的各种机密数据，目前，大多数攻击者都是为了获取企业机密数据而进行的系统入侵活动，以便通过出售这些被盗机密数据获得非法利益。

如果企业的机密数据直接存储在系统分区中的文件夹中的文件，而不进行加密保护的文件夹或其他安全措施，攻击者侵入系统，你可以很容易地得到这些机密数据。然而，目前大量的中小企业仍在使用这样的文件保存不安全，这将方便攻击者。

然而，目前大多数中小企业正在将数据存储到专用存储设备上。此外，存放机密数据使用这些存储设备通常用于进一步的安全措施，使用硬件防火墙。因此，如果攻击者侵入系统，如果我们想在这些存储设备获取机密数据，我们必须进一步攻击这些设备，或使用网络嗅探器获得在局域网内部传输机密数据。

对于一些中小型企业来说，机密数据可以看作是一种生活，如客户档案、生产计划、新产品研究档案和新产品库。如果这些数据被泄露给竞争对象，就有可能导致被入侵企业的破产，为了尽量减少入侵造成的数据丢失，即使在数据库被攻破之前，我们也应该防止入侵的发展。

试想一下，如果我们发现系统在所有机密数据泄露或被完全删除时被攻破，那么，即使我们通过这些备份和恢复删除的数据，但是，由于机密数据泄漏所造成的损失仍然没有减少，因此，我们必须及时发现这个系统入侵事件。只有当攻击者没有获取或删除机密数据时，我们的恢复工作才会有意义。

当然，它是否可以失去的机密数据，在系统被入侵，仍恢复工作要做。得到或破坏系统的入侵活动的目的的机密数据，我们仍然可以将入侵活动的什么阶段，那么这类入侵已不分或破坏机密数据的入侵活动已经被破坏或机密数据的两种主要类型的入侵活动。

1。恢复尚未接收或销毁机密数据的入侵系统。

如果我们发现系统已经被攻破，并且通过对系统日志的分析，或者通过对攻击者数据库的直接观察，为后续的入侵活动，已经得知机密数据没有被攻击者窃取，刚刚进入系统。然后，我们可以按照以下方法来处理这种入侵：如果在处理此类系统不允许系统宕机时处理入侵事件的业务规则，那么就应该用这种方式处理它：

（1）、立即找到网络连接和断开与源的攻击，并防止它通过添加防火墙规则。通常，当我们首先断开与攻击源的网络连接，攻击者会立即觉察到它，迅速消失，以防止自己被跟踪回来。因此，如果我们要抓住攻击者，让他受到法律的惩罚，在攻击者的前提知道攻击不会影响数据库中数据的保密性，我们可以做系统的当前状态的快照，分析和证据后用来做的事情，然后使用IP软件反狩猎追踪攻击者发现并断开其网络。

但是，我们要注意的是，反向追踪会对正常的系统业务产生影响。同时，如果黑客被发现，他们会进行最后一次战斗，会破坏系统并逃跑，所以在追击时必须注意安全防范措施，大多数企业只希望尽快恢复系统的正常运行，减少入侵损失。因此，断开与攻击源的网络连接是处理该漏洞的最佳方法。


（2）为入侵系统的当前状态设置快照，以便在事后分析和保留证据。

（4）修改数据库管理员帐户名和登录密码，为操作数据的用户重新创建新帐号和密码，修改数据库访问规则。

对于系统恢复工作的剩余部分，可以通过恢复系统入侵恢复模式来恢复系统，以达到控制系统的目的。

2。恢复已获取或删除机密数据的入侵系统

如果我们发现系统已经被入侵，攻击者已经得到或删除全部或部分在系统中的机密数据，所以我们现在需要做的不是试图挽救丢失的数据，但保护不受影响的数据。由于这类系统的入侵已经特别严重的入侵，我们的第一个行动是断开与攻击源的网络连接尽快。

如果系统允许关闭处理这样严重的系统入侵事件，我们可以直接拔下网络电缆的方式，切断入侵系统和网络之间的直接连接。当系统仍然不允许停止处理，必须连接到系统的网络攻击源连接通过网络连接的监控软件，然后断开，并添加相应的规则，在防火墙的拦截与攻击源的网络连接。这样做的目的是防止系统入侵的进一步恶化，为了保护其他数据没有被影响。

在断开与攻击源的连接之后，我们应该立即分析数据丢失的程度和严重性，知道哪些数据没有受到影响，然后立即备份或隔离不受影响的数据。对于丢失数据的系统入侵事件，我们还可以总结以下三类：

（1）数据被盗。

当我们发现数据检测数据库是否已被删除或修改，但是通过系统日志、防火墙日志的分析，了解攻击者访问数据库，打开数据库表，或有一份本数据库表，你只能确定攻击者窃取数据并没有其他活动。在这点，首先要使系统恢复到正常状态，根据介绍的方法之前，然后修复系统漏洞和数据库应用程序的漏洞，并检测他们。发现没有问题后，我们将分别进行完整备份，您还应该修改系统管理员和数据库管理员帐户的名称和登录密码，所有操作与前面提到的一样，只是数据库的恢复。

（2）对数据进行修改。

如果我们在分析数据库损坏，我们发现攻击者并没有打开数据库表，但添加和修改表中的相关内容，通过数据库命令。然后，我们必须找出所有的未经授权的数据表相关的行，然后将它们删除它们。如果你修改了一个行业，内容为例，申请驾驶执照的政府机构，教育机构的毕业证书，或其他种类的许可证相关单位处理，那么攻击者将修改对外界公布的内容，说明这些攻击者修改或添加的内容是无效的，以免造成不必要的社会影响。其他系统和数据库的恢复过程中的一个和数据被盗的方式是一样的。

（3）数据被删除。

如果我们正在分析数据库的损坏，我们发现攻击者不仅获得了机密数据，而且还删除了系统中相应的数据库表，所以当我们切断与网络的连接时，我们应该立即恢复删除的数据。

当我们通过备份恢复被删除的数据时，我们必须在恢复之前确定系统入侵的具体时间，以便我们知道备份何时可用。这是因为如果我们设置数据库的每日增量备份，当攻击者删除内容时，非法修改的数据库也会备份。因此，入侵后的增量备份不可用。同样，如果数据库在系统入侵期间被完全备份，则完全备份不可用。

如果允许我们停止处理，我们可以删除硬盘访问系统、其他系统，然后通过文件恢复软件来恢复被删除的文件，但是，删除数据库表中的内容，我们只能通过将纸质文档留给自己慢慢修正。

在这里我们可以知道备份并不能解决所有的系统入侵问题，但它仍然是恢复正常系统最快、最有效的方法，通过这一点，我们也知道及时发现系统在入侵系统中入侵的秘密数据是多么重要。

三。以破坏系统或业务正常运行为目的的系统入侵恢复

当攻击者侵入系统时，系统的目的是使系统或系统的正常业务不能正常运行。如果我们发现它不及时，当这种系统成功攻击时，它将导致意外的关闭事件和意外的业务中断。

在处理此类系统入侵事件时，不再需要考虑系统是否需要停止处理的问题。由于系统不再正常运行，考虑到这些是多余的。最重要的是尽快恢复系统，对于这些类型的事件，也有以下几类，处理每一类的方法也有点不同。

1。系统正常运行，但业务中断。

此类系统入侵事件，我们可以不停的正常运行直接向系统通过在线备份恢复业务，但回收确定具体时间对系统的入侵之前，什么时间的备份可以使用，然后根据论文的相关系统入侵恢复前面的方式来恢复系统和业务的正常状态。

一个公司没有冗余的系统，如果系统业务在当时正常运行的迫切需要，它可以直接应用在备份和恢复业务运作正常，但在修复系统或应用程序漏洞之前的情况下，必须实时监控系统的运行状况，包括网络连接状态，系统的过程中，通过提高IDS / IPS的检测力度，增加临时安全防护系统的防火墙规则检测。

2。系统没有正常运行，但系统中与业务相关的内容没有被破坏。

在这一点上，我们的首要任务是恢复系统的正常运行，尽快，但要确保业务相关系统中的数据不被破坏。如果业务相关的重要数据不在系统分区，我们中断系统从网络后，我们可以恢复系统迅速向正常状态通过其他保存系统备份。这是最快的解决方案。

然而，如果业务相关的数据存储在全部或部分的系统分区，那么，为了防止业务数据的完整性，我们首先应该通过WinPE光盘系统启动WinPE系统，然后备份重要数据相关的所有其他独立的存储设备，然后在系统分区备份和恢复操作。

如果我们发现一个完整的备份系统是不可用的，我们只能保证和商业损失情况的重要数据，恢复为新的操作系统安装系统的正常运行，然后安装业务应用程序，来恢复整个系统的正常运行。然而，由于该方法是一种新安装的操作系统，如果没有特别的要求，我们应该在我们的系统连接到网络进行相应的安全防范措施和完整的备份的系统和应用程序。


对于系统恢复工作的剩余部分，可以通过恢复系统入侵恢复模式来恢复系统，以达到控制系统的目的。

三.系统不能正常运行，系统中的业务已被破坏。

在这一点上，我们首先恢复系统的正常运行在第二方式，然后重新安装业务相关的应用系统中，并试图恢复相关业务数据进行备份，系统恢复工作的其余部分，该系统可以通过恢复系统入侵恢复模式控制系统目的恢复。

当系统或业务受损后，操作、影响和损失都是这样的，我们的目标是，试图加快业务系统并恢复正常的运行速度，减少它们停止运行的时间，减少系统因停机造成的影响，造成业务的丢失或中断。

在入侵系统恢复过程中，对于一些特殊的业务和业务在生命和死亡，如电子邮件服务器，由于邮件服务器是为员工和客户提供的邮件服务器，如果邮件服务器是残疾人，势必影响正常的业务往来。因此，邮件服务器的入侵恢复之前，下面的工作应该是在本文前面介绍的方法使用完成：

（1）启用临时邮箱。如果受影响的邮件服务器是企业本身，则可以申请邮寄服务器提供商，如新浪、163和其他邮箱。

（2）然后尽快通知供应商和合作伙伴的临时邮箱信息。

（3）在完成这些工作之后，我们可以对邮件服务器系统的入侵进行相应的入侵恢复处理。恢复方式与本文所述方法相同。

四、后分析

在成功完成任何类型的系统入侵类型处理之后，我们必须完成与之相关的另一件重要事情。即事后分析系统入侵事件和事件处理过程。

事后分析是建立在大量文件的基础上的。因此，在处理入侵系统的过程中，我们应该记录事件处理的所有操作和内容，并描述如何恢复入侵系统的过程。在每次入侵恢复之前，我们需要构建受损系统当前状态的快照。其中一个目的是事后进行入侵分析。

通过对入侵系统的分析，可以了解入侵的程度和严重程度，以及处理入侵的时间、人力和物力，另一方面，通过对入侵的分析，可以了解攻击者入侵系统的方式。

通过了解攻击者入侵的各种方式，我们可以从他们身上学到相应的预防措施，并为我们的安全工作提供了宝贵的经验，这样我们就知道如何处理类似的系统入侵活动后。这也改变了非在安全政策规范的内容，或添加相应的安全策略，使安全策略可以适应各个时期的安全要求。

同样，在每个系统的入侵事件的过程进行了详细的分析，使我们能够了解自己或团队在系统入侵事件的事件处理时的操作是否正确，是否不必要的操作，是否产生的人为错误，这些错误是如何产生的，并提高了操作的有用信息的处理效率等对。通过入侵恢复过程后过程的分析，我们可以增加相应的事件响应能力，并能找出不规范的内容在事件响应计划，并作出相应的修正。

经过对系统入侵事件及其恢复过程，所有结论应书面记录并报告给上级。同时，结果应该被发送到每个事件响应小组成员或不同部门的各部门的领导人，以防止此类系统入侵事件再次发生如果有必要的话，它也可以通知发生的合作伙伴和客户和处理事件，以帮助防止此类系统入侵事件，或通知系统或应用程序供应商，使他们能够产生相应的漏洞补丁尽快。

至于媒体是否能够披露系统的入侵和事件处理，企业可以根据实际情况自行决定。有时，及时发布这些内容可以提高企业对企业的信心。

本文讨论了与系统入侵恢复有关的一些内容。由于文章和新的攻击事件的限制，本文不可能详细解释所有系统入侵类型的恢复方式，但无论发生什么样的系统入侵事件，如果我们做正确的事情，我们只能减少系统入侵带来的损失。