攻擊者入侵某個系統(tǒng)，總是由某個主要目的所驅使的。例如炫耀技術，得到企業(yè)機密數(shù)據(jù)，破壞企業(yè)正常的業(yè)務流程等等，有時也有可能在入侵后，攻擊者的攻擊行為，由某種目的變成了另一種目的，例如，本來是炫耀技術，但在進入系統(tǒng)后，發(fā)現(xiàn)了一些重要的機密數(shù)據(jù)，由于利益的驅使，攻擊者最終竊取了這些機密數(shù)據(jù)。

而攻擊者入侵系統(tǒng)的目的不同，使用的攻擊方法也會不同，所造成的影響范圍和損失也就不會相同。因此，在處理不同的系統(tǒng)入侵事件時，就應當對癥下藥，不同的系統(tǒng)入侵類型，應當以不同的處理方法來解決，這樣，才有可能做到有的放矢，達到最佳的處理效果。

對于以往和現(xiàn)在發(fā)生的系統(tǒng)入侵事件，根據(jù)權威機構的統(tǒng)計分析，可以將它們按入侵的主要目的歸納為下列三種主要類型：
1、 以炫耀技術為目的的系統(tǒng)入侵行為。
2、 以得到或破壞系統(tǒng)中機密數(shù)據(jù)為目的系統(tǒng)入侵行為。
3、 以破壞系統(tǒng)或業(yè)務正常運行為目的的系統(tǒng)入侵行為。

本文后面將要講述的內(nèi)容，就是討論應當使用什么樣的方法來快速恢復被上述這三種系統(tǒng)入侵類型入侵了的系統(tǒng)，以及使用什么樣的方法來降低系統(tǒng)入侵帶來的影響范圍和嚴重程度。當然，在開始恢復被入侵系統(tǒng)之前，我們應當確保下列所示的任務已經(jīng)按要求完成：

1、 開啟了系統(tǒng)審核功能。
2、 系統(tǒng)、防火墻及IDS/IPS產(chǎn)生的日志文件已經(jīng)另外保存。
3、 系統(tǒng)和系統(tǒng)中的重要應用程序及數(shù)據(jù)已經(jīng)存在完全備份或相應的增量備份。
4、 已經(jīng)準備好了弱點檢測工具（如X-Scan或Nessus），文件完整性檢測工具（如Rootkit Revealer），系統(tǒng)進程查看（如IceSword或ProceXP）和網(wǎng)絡連接查看工具(如Fport)等必要的第三方軟件，并且保證這些軟件隨時可以使用。
5、 已經(jīng)發(fā)現(xiàn)了系統(tǒng)入侵事件，并且已經(jīng)及時識別了系統(tǒng)入侵事件的真假，以及按入侵的嚴重程度進行了分類。

上面列出來的這些任務不僅是及時發(fā)現(xiàn)系統(tǒng)被入侵的前提條件，而且是成功恢復被入侵系統(tǒng)、降低系統(tǒng)入侵損失的基本條件，我們應當認真細致地完成它們。鑒于目前我國大多數(shù)中小企業(yè)和普通用戶的計算機使用的都是Windows XP操作系統(tǒng)，在本文中，如果沒有特別的說明，所說的系統(tǒng)都是指Windows XP操作系統(tǒng)。

一、 以炫耀技術目的的系統(tǒng)入侵恢復

有一部分攻擊者入侵系統(tǒng)的目的，只是為了向同行或其他人炫耀其高超的網(wǎng)絡技術，或者是為了實驗某個系統(tǒng)漏洞而進行的系統(tǒng)入侵活動。對于這類系統(tǒng)入侵事件，攻擊者一般會在被入侵的系統(tǒng)中留下一些證據(jù)來證明他已經(jīng)成功入侵了這個系統(tǒng)，有時還會在互聯(lián)網(wǎng)上的某個論壇中公布他的入侵成果，例如攻擊者入侵的是一臺WEB服務器，他們就會通過更改此WEB站點的首頁信息來說明自己已經(jīng)入侵了這個系統(tǒng)，或者會通過安裝后門的方式，使被入侵的系統(tǒng)成他的肉雞，然后公然出售或在某些論壇上公布，以宣告自己已經(jīng)入侵了某系統(tǒng)。也就是說，我們可以將這種類型的系統(tǒng)入侵再細分為以控制系統(tǒng)為目的的系統(tǒng)入侵和修改服務內(nèi)容為目的的系統(tǒng)入侵。

對于以修改服務內(nèi)容為目的的系統(tǒng)入侵活動，可以不需要停機就可改完成系統(tǒng)恢復工作，我們應當按下列的方式來處理：

1、建立被入侵系統(tǒng)當前完整系統(tǒng)快照，或只保存被修改部分的快照，以便事后分析和留作證據(jù)。
2、立即通過備份恢復被修改的網(wǎng)頁。
3、在Windows系統(tǒng)下，通過網(wǎng)絡監(jiān)控軟件或“netstat –an”命令來查看系統(tǒng)目前的網(wǎng)絡連接情況，如果發(fā)現(xiàn)不正常的網(wǎng)絡連接，應當立即斷開與它的連接。然后通過查看系統(tǒng)進程、服務和分析系統(tǒng)和服務的日志文件，來檢查系統(tǒng)攻擊者在系統(tǒng)中還做了什么樣的操作，以便做相應的恢復。
4、通過分析系統(tǒng)日志文件，或者通過弱點檢測工具來了解攻擊者入侵系統(tǒng)所利用的漏洞。如果攻擊者是利用系統(tǒng)或網(wǎng)絡應用程序的漏洞來入侵系統(tǒng)的，那么，就應當尋找相應的系統(tǒng)或應用程序漏洞補丁來修補它，如果目前還沒有這些漏洞的相關補丁，我們就應當使用其它的手段來暫時防范再次利用這些漏洞的入侵活動。如果攻擊者是利用其它方式，例如社會工程方式入侵系統(tǒng)的，而檢查系統(tǒng)中不存在新的漏洞，那么就可以不必做這一個步驟，而必需對社會工程攻擊實施的對象進行了解和培訓。

5、 修復系統(tǒng)或應用程序漏洞后，還應當添加相應的防火墻規(guī)則來防止此類事件的再次發(fā)生，如果安裝有IDS/IPS和殺毒軟件，還應當升級它們的特征庫。

6、 最后，使用系統(tǒng)或相應的應用程序檢測軟件對系統(tǒng)或服務進行一次徹底的弱點檢測，在檢測之前要確保其檢測特征庫是最新的。所有工作完成后，還應當在后續(xù)的一段時間內(nèi)，安排專人對此系統(tǒng)進行實時監(jiān)控，以確信系統(tǒng)已經(jīng)不會再次被此類入侵事件攻擊。

如果攻擊者攻擊系統(tǒng)是為了控制系統(tǒng)成為肉雞，那么，他們?yōu)榱四軌蜷L期控制系統(tǒng)，就會在系統(tǒng)中安裝相應的后門程序。同時，為了防止被系統(tǒng)用戶或管理員發(fā)現(xiàn)，攻擊者就會千方百計地隱藏他在系統(tǒng)中的操作痕跡，以及隱藏他所安裝的后門。因而，我們只能通過查看系統(tǒng)進程、網(wǎng)絡連接狀況和端口使用情況來了解系統(tǒng)是否已經(jīng)被攻擊者控制，如果確定系統(tǒng)已經(jīng)成為了攻擊者的肉雞，那么就應當按下列方式來進行入侵恢復：

1、 立即分析系統(tǒng)被入侵的具體時間，目前造成的影響范圍和嚴重程度，然后將被入侵系統(tǒng)建立一個快照，保存當前受損狀況，以更事后分析和留作證據(jù)。

2、 使用網(wǎng)絡連接監(jiān)控軟件或端口監(jiān)視軟件檢測系統(tǒng)當前已經(jīng)建立的網(wǎng)絡連接和端口使用情況，如果發(fā)現(xiàn)存在非法的網(wǎng)絡連接，就立即將它們?nèi)繑嚅_，并在防火墻中添加對此IP或端口的禁用規(guī)則。

3、 通過Windows任務管理器，來檢查是否有非法的進程或服務在運行，并且立即結束找到的所有非法進程。但是，一些通過特殊處理的后門進程是不會出現(xiàn)在Windows任務管理器中，此時，我們就可以通過使用Icesword這樣的工具軟件來找到這些隱藏的進程、服務和加載的內(nèi)核模塊，然后將它們?nèi)拷Y束任務。可

是，有時我們并不能通過這些方式終止某些后門程序的進程，那么，我們就只能暫停業(yè)務，轉到安全模式下進行操作。如果在安全模式下還不能結束掉這些后門進程的運行，就只能對業(yè)務數(shù)據(jù)做備份后，恢復系統(tǒng)到某個安全的時間段，再恢復業(yè)務數(shù)據(jù)。這樣，就會造成業(yè)務中斷事件，因此，在處理時速度應當盡量快，以減少由于業(yè)務中斷造成的影響和損失。有時，我們還應當檢測系統(tǒng)服務中是否存在非法注冊的后門服務，這可以通過打開“控制面板”—“管理工具”中的“服務”來檢查，將找到的非法服務全部禁用。

4、 在尋找后門進程和服務時，應當將找到的進程和服務名稱全部記錄下來，然后在系統(tǒng)注冊表和系統(tǒng)分區(qū)中搜索這些文件，將找到的與此后門相關的所有數(shù)據(jù)全部刪除。還應將“開始菜單”—“所有程序”—“啟動”菜單項中的內(nèi)容全部刪除。

5、 分析系統(tǒng)日志，了解攻擊者是通過什么途徑入侵系統(tǒng)的，以及他在系統(tǒng)中做了什么樣的操作。然后將攻擊者在系統(tǒng)中所做的所有修改全部更正過來，如果他是利用系統(tǒng)或應用程序漏洞入侵系統(tǒng)的，就應當找到相應的漏洞補丁來修復這個漏洞。

如果目前沒有這個漏洞的相關補丁，就應當使用其它安全手段，例如通過防火墻來阻止某些IP地址的網(wǎng)絡連接的方式，來暫時防范通過這些漏洞的入侵攻擊，并且要不斷關注這個漏洞的最新狀態(tài)，出現(xiàn)相關修復補丁后就應當立即修改。給系統(tǒng)和應用程序打補丁，我們可以通過相應的軟件來自動化進行。

6、 在完成系統(tǒng)修復工作后，還應當使用弱點檢測工具來對系統(tǒng)和應用程序進行一次全面的弱點檢測，以確保沒有已經(jīng)的系統(tǒng)或應用程序弱點出現(xiàn)。我們還應用使用手動的方式檢查系統(tǒng)中是否添加了新的用戶帳戶，以及被攻擊做修改了相應的安裝設置，例如修改了防火墻過濾規(guī)則，IDS/IPS的檢測靈敏度，啟用被攻擊者禁用了的服務和安全軟件。

在我們完成以炫耀技術為入侵目的的系統(tǒng)入侵事件后，為了安全起見，我們還應當對系統(tǒng)進行下列的相關操作，進一步保證入侵恢復的成果：
1、修改系統(tǒng)管理員或其它用戶帳戶的名稱和登錄密碼；
2、修改數(shù)據(jù)庫或其它應用程序的管理員和用戶賬戶名稱和登錄密碼；
3、檢查防火墻規(guī)則；
4、如果系統(tǒng)中安裝有殺毒軟件和IDS/IPS，分別更新它們的病毒庫和攻擊特征庫；
5、重新設置用戶權限；
6、重新設置文件的訪問控制規(guī)則；
7、重新設置數(shù)據(jù)庫的訪問控制規(guī)則；
8、修改系統(tǒng)中與網(wǎng)絡操作相關的所有帳戶的名稱和登錄密碼等。

當我們完成上述所示的所有系統(tǒng)恢復和修補任務后，我們就可以對系統(tǒng)和服務進行一次完全備份，并且將新的完全備份與舊的完全備份分開保存。

在這里要注意的是：對于以控制系統(tǒng)為目的的入侵活動，攻擊者會想方設法來隱藏自己不被用戶發(fā)現(xiàn)。他們除了通過修改或刪除系統(tǒng)和防火墻等產(chǎn)生的與他操作相關的日志文件外，高明的黑客還會通過一些軟件來修改其所創(chuàng)建、修改文件的基本屬性信息，這些基本屬性包括文件的最后訪問時間，修改時間等，以防止用戶通過查看文件屬性來了解系統(tǒng)已經(jīng)被入侵。因此，在檢測系統(tǒng)文件是否被修改時，應當使用RootKit Revealer等軟件來進行文件完整性檢測。