+设为首页 +添加到收藏夹
如果你在机构里实施终端用户支持,你多半会熟悉当用户的电脑不能启动或发生问题时,它们会不分青红皂白的说“我想我被黑了!”。其中有一些情况确实如此,需要立即响应,但另外一些只是用户反应过度的小毛病。为了帮助你在用户真正被黑时辨别与寻找故障,请查看下面的篇章。我们将请三位windows安全专家介绍有关终端用户问题分析与可能采取何种行动的知识,随后,你可以到我们的论坛阅读别人碰到问题后的解决办法,也可以分享你自己的想法。
【相关文章:NAT 例】 【扩展阅读:各种License规范的异同】 用户的问题 【扩展信息:http://www.myfaq.com】 “我是一个拥有超过500台运行windows 2000与windows xp操作系统的终端用户的it管理员,我们的一个用户经历的问题是:她的internet连接不明不白的突然断线,当她重启计算机后,每一项工作看起来都在正常运行,与平时没有什么两样,但片刻之后,她的internet连接就再度断掉。有趣的是,她注意到在她不能访问e-mail时,她的aol即时聊天服务仍然能够正常运行。我们已经运行netstat命令,注意到在她的机器中存在许多不明的开放连接,使用着某些确定的端口。这个特殊的用户使用的是笔记本电脑,她经常在家中进行工作,因此我们不能确认所有的更新已经安装。难道她的电脑被黑了?” 专家的意见 对于此类问题,可以采取四个步骤进行解决。 第一阶段:分析 根据用户给出的信息,判断用户的电脑是否被黑。 第二阶段:立即响应 如果某台工作站被黑,那么在24小时之内,你要进行怎样的工作才能够防止进一步的破坏? 第三阶段:恢复 在关键性的24小时过去之后,你要怎么做才能够挽回windos操作系统,让它恢复到原来的状况下工作。 第四阶段:预防 怎样才能够避免在未来被黑? 下面,我们将具体介绍这四个步骤,也就是将专家们各自的处理方法综合起来。你被黑了:第一阶段?d?d分析
lawrence abrams:在发现与分析阶段,第一件要做的事情是冻结笔记本电脑,以使感染不被扩散,并且数据与证据不致被破坏与丢失。在事件中,笔记本是法庭上需要的必要的证据,在分析它硬盘上的任何数据之前,你必须采取正确的步骤。 首先立即拔掉网线,并切断电脑的电源(不要使用系统内置的关机,而是直接切断)。然后,使用字节对字节的拷贝工具,比如encase(http://www.guidancesoftware.com/),ftk imager(http://www.accessdata.com/ftkuser/imager.htm), ... 下一页