[產業經驗] 電腦中毒緊急搶救手冊

雖然端點防護技術以目前來說，算是對端點安全層級最高的防禦技術，但再強的防禦能力，也不可能做到 100% 完全不被入侵。以目前市面上可見的產品來說，能夠在各式攻擊都維持 9 成左右的防禦率，幾乎是不可能的事。事後的病毒移除固然重要，但災難發生時的緊急救援，才是在防毒廠商提供疫苗前的最佳自保之道。

緊急救援大概算是企業 IT 人員最討厭的工作之一，產值最低，但偏偏緊急程度最高。若不迅速排除故障或做資料緊急備份，常會影響企業內的關鍵流程，嚴重時會讓企業損失慘重。系統中開機型病毒要算是 IT 人員最討厭的類型之一，病毒本身不難根除，但麻煩的是資料的救援。

難纏的開機型病毒救援

開機型病毒對一般使用者來說，算是一種難纏的病毒型態，透過啟動磁區 (boot sector) 、磁碟分割表 (partition table) 的感染，讓病毒碼在 BIOS POST 之後，搶在作業系統開機前執行，導致使用者在沒有重建 MBR(Master Boot Record) 的前提下重灌作業系統，永遠都沒有辦法清除病毒。

更有甚者，在開機進入作業系統後再行安裝防毒軟體，也常讓防毒軟體直接遭受感染或綁架，根本無法有效清除。

另一種惱人的情況是，有些開機型病毒發作後，會讓作業系統無法開機啟動，或是在系統登入後隨即登出，根本讓使用者沒有使用作業系統進行救援操作的機會，面對企業使用者千奇百怪的使用行為，根本難以判定使用者的重要資料散佈在哪些磁碟機中，讓 IT 人員即使要刪除磁碟分割表來重灌作業系統，也會變得投鼠忌器，不敢下手。

這時除了拆出使用者的硬碟機，拿到外部用硬碟外接盒或基座進行讀取備份外，一般來說沒有其它特別的方法，除非從外部磁碟機開機，以另外一個作業系統對整個系統進行存取。

解決之道：外部開機救援

對於從外接式儲存設備進行開機這件事，基本上微軟目前正式銷售的 Windows 作業系統根本就不可行，並非技術上做不到，可能是微軟不授權這類應用，除非是用微軟的 WinPE 系統，否則大概只有 Linux 可供選擇了。

以外部開機救援來說，最佳前提當然是開機碟本身是乾淨無毒的作業環境，否則永遠陷入感染的無限循環中。同是 Windows 核心的 WinPE 系統顯然較不符合這樣的條件，因為同是會在 Windows 感染發作的病毒，在 WinPE 上也有可能中毒而不自知。所以，在外部開機作業系統的選擇上，相對安全乾淨多的 Linux 是較好的選擇。

外部開機碟實作

在實務上，我們通常會選擇使用 USB Flash Disk 做為載體，主要考量在於其攜帶的方便性。實作上，要挑選微型的 Linux 版本做為作業系統，以節省磁碟空間及開機時間，因此 Slax 是目前較佳的選擇之一。

為使這支救援碟能夠救援大多數的電腦，支援多樣化的顯示及網路晶片驅動程式是必要的。不僅能正確顯示圖形化使用者介面，最重要的是能夠更新病毒碼。若不具備病毒碼自動更新能力，這支外部開機掃毒用的救援碟隨時時間的推移，效用將愈來愈低。

另外，為使存放於隨身碟上的病毒碼不受感染，使用切割工具將隨身碟切出一個隱藏磁區來儲存病毒碼是必要的。許多病毒的行為是會針對病毒碼本身進行感染，讓防毒引擎無法判別真正的病毒，對於工具上必須接觸廣大中毒電腦的救援碟，病毒碼本身的保護格外重要。

（作/思邦科技產品總監鄒坤霖）

……未完（更多內容請參閱網路資訊雜誌 2009 年 9 月號 214 期）