第五章 病毒防护与处置

第五章 病毒防护与处置

5.1 病毒与木马基础知识

随着单位办公信息化水平的提升，终端、服务器与互联网的连接日益紧密，病毒、木马、蠕虫等恶意程序成为威胁单位网络安全、数据安全的主要隐患之一。此类恶意程序可通过多种途径侵入单位终端，窃取办公数据、破坏系统正常运行、瘫痪核心业务，甚至导致单位敏感信息泄露，造成不可挽回的损失。作为网络维护人员，需先掌握病毒与木马的基础知识，明确其定义、分类、区别及攻击逻辑，才能有效开展防护与处置工作。

5.1.1 定义、分类与区别

在单位网络防护场景中，常见的恶意程序主要包括病毒、木马、蠕虫、勒索病毒、间谍软件，它们虽都具有破坏性和隐蔽性，但在定义、传播方式、攻击目的上存在显著差异，明确这些差异是精准防护的前提，以下结合单位办公场景，进行简要阐述。

5.1.1.1 各类恶意程序的定义

1.计算机病毒（Computer Virus）：编制或插入到计算机程序中，破坏计算机功能、损坏数据，影响计算机使用且能自我复制的一组指令或程序代码，核心特征是自我复制能力，需依附其他文件存在。

2.木马（Trojan Horse）：隐藏在正常程序中，具有欺骗性的恶意程序，核心特征是隐蔽性和伪装性，无自我复制能力，需诱导用户主动操作（下载、安装、运行）才能传播，核心目的是窃取信息、控制终端。

3.蠕虫（Worm）：可自主复制、无需依附其他文件即可传播的恶意程序，核心特征是自主传播能力，无需用户操作，可利用网络漏洞、网络共享等途径自动扩散，易导致网络拥堵、系统瘫痪。

4.勒索病毒（Ransomware）：以勒索钱财为目的的恶意程序，属于木马的特殊分支，核心特征是加密性和勒索性，感染后加密用户重要文件，通过勒索获取解密密钥，对单位核心数据威胁极大。

5.间谍软件（Spyware）：用于秘密收集用户信息的恶意程序，核心特征是窃取性和隐蔽性，不直接破坏系统，主要隐藏在正常软件中，收集用户办公信息、网络行为数据并发送给攻击者。

5.1.1.2 按传播方式、危害程度的分类

结合单位办公场景，对上述恶意程序按传播方式和危害程度分类，便于网络维护人员针对性制定防护策略，分类如下：

1. 按传播方式分类

（1）存储介质传播类：主要通过U盘、移动硬盘、光盘等可移动存储介质传播，是单位内网最常见的传播方式，涵盖大部分病毒、部分U盘木马，多通过人员拷贝文件扩散。

（2）网络传播类：无需依赖存储介质，通过互联网、单位内网传播，速度快、范围广，包括邮件传播（恶意附件）、恶意链接传播（微信、QQ、网页）、漏洞传播（系统、软件漏洞）、软件捆绑传播（正常软件捆绑恶意程序）。

（3）人机交互传播类：依赖用户疏忽大意，通过诱导用户主动操作传播，常见于木马、勒索病毒、间谍软件，如伪装成单位通知、系统更新提示诱导点击。

2. 按危害程度分类

（1）高危恶意程序：对单位网络、终端、数据造成严重危害，可能导致业务瘫痪、数据泄露、重大经济损失，需重点防范，包括勒索病毒、远程控制木马、蠕虫、数据窃取类木马/间谍软件。

（2）中危恶意程序：对终端造成一定危害，不影响核心业务，主要降低办公效率，包括普通病毒、广告类间谍软件、轻度木马（仅窃取非核心信息）。

（3）低危恶意程序：危害较小，主要占用终端资源、弹出少量广告，无实质性危害，如部分捆绑的广告插件、低风险恶意脚本。

5.1.1.3 病毒与木马的核心区别及各自危害

病毒与木马是单位终端最常见的两种恶意程序，常被混淆，核心区别及危害如下，便于网络维护人员快速识别、精准处置：

1. 核心区别

（1）自我复制能力：病毒具备自我复制能力，可自动扩散；木马无自我复制能力，需用户主动操作传播。

（2）存在形式：病毒需依附其他文件（可执行文件、文档）存在，无法独立运行；木马可独立存在，伪装成正常程序运行。

（3）攻击目的：病毒核心目的是破坏系统、损坏文件；木马核心目的是窃取信息、控制终端，不直接破坏系统。

（4）隐蔽性：病毒隐蔽于正常文件中（依附性）；木马伪装成正常程序（伪装性），运行后后台秘密工作，更难被发现。

2. 各自危害

（1）病毒对单位终端、服务器的危害：破坏系统正常运行（卡顿、死机、无法启动）；损坏办公文档、数据库文件（无法打开、篡改、丢失）；通过自我复制扩散至整个内网，导致内网瘫痪；部分病毒窃取敏感信息，引发信息泄露风险。

（2）木马对单位终端、服务器的危害：窃取敏感信息（账号密码、核心数据、办公文档），为攻击者提供内网入口；远程控制终端/服务器，执行恶意操作、植入其他恶意程序；隐蔽性强，不易被发现，往往造成损失后才被察觉。

5.1.2 传播途径与攻击原理

结合单位办公场景，恶意程序的传播途径围绕人员办公行为（邮件收发、U盘使用、软件下载、网页浏览）展开，攻击原理贴合单位终端和服务器运行环境，掌握这些内容，可从源头防范恶意程序入侵。

5.1.2.1 常见传播途径

单位办公场景中，恶意程序的传播途径主要分为4类，其中U盘拷贝、邮件附件是最常见途径，需重点防范，具体如下：

1. 邮件附件传播（最常见途径之一）

单位人员日常收发大量工作邮件，攻击者利用这一场景，伪装成单位内部人员（领导、同事、行政）、客户、合作伙伴，发送带有恶意附件的邮件，诱导人员点击下载，进而感染终端。

具体场景示例：攻击者伪装成单位领导，发送标题为"关于XX项目的紧急通知""XX会议纪要（机密）"的邮件，附件命名为"通知.docx.exe""会议纪要.pdf.exe"（伪装成文档，实际为可执行文件），人员点击后，木马或病毒立即感染终端；或发送带有宏病毒的Word文档附件，人员打开后宏病毒自动运行，感染终端；邮件正文中插入恶意链接，伪装成"下载附件""查看详情"，点击后自动下载恶意程序。

此类传播途径隐蔽性强、范围广，一名人员点击附件，恶意程序可能快速扩散至整个内网。

2.U 盘拷贝传播（内网传播主要途径）

单位人员经常使用U盘、移动硬盘拷贝办公文件、传输数据，这是恶意程序在单位内网传播的主要途径，尤其影响行政部、财务部、设计部等经常使用U盘的部门。

具体场景示例：人员将感染病毒/木马的U盘（从家里电脑、外部设备拷贝文件后）插入单位终端，U盘上的恶意程序自动复制到终端；终端感染后，插入U盘会导致U盘被感染，进而通过U盘拷贝扩散至其他终端；部分U盘木马会修改U盘自动运行配置，插入其他终端后自动运行恶意程序，实现快速传播。

3. 恶意链接传播

攻击者通过微信、QQ、企业微信、短信、网页广告等渠道，发送恶意链接，伪装成正常工作链接、福利链接、系统通知链接，诱导人员点击，进而下载安装恶意程序。

具体场景示例：通过企业微信发送"单位福利领取链接""考勤查询链接"，点击后跳转到恶意网页，自动下载木马；人员浏览网页时，弹出"电脑存在病毒，点击立即查杀""Office更新"等虚假提示，点击后下载恶意程序；将恶意链接伪装成"项目资料下载链接"，发送到人员群，点击后下载带有恶意程序的压缩包，解压运行后感染终端。

4. 软件捆绑传播

人人员作中需下载安装办公软件、设计软件、工具软件（PS、PDF阅读器、压缩软件等），攻击者将恶意程序捆绑在正常软件中，用户安装正常软件时，恶意程序被自动安装，隐蔽性强，人员往往无意中安装。

具体场景示例：从非官方网站下载PDF阅读器，安装包捆绑间谍软件，安装后间谍软件后台收集人员浏览记录、办公信息；下载Excel、Word插件时，捆绑木马程序，安装后窃取办公账号密码；破解版软件（破解版PS、办公软件）中捆绑病毒/木马，人员为节省成本安装后，导致终端感染。

5.1.2.2 核心攻击原理（植入、隐藏、窃取、破坏）

无论哪种恶意程序，攻击过程均遵循"植入→隐藏→执行恶意操作（窃取/破坏）"的核心逻辑，结合单位终端和服务器环境，具体攻击原理如下：

1. 植入阶段：突破终端防护，植入恶意程序

植入是攻击的第一步，核心是突破单位终端防护体系（杀毒软件、防火墙），将恶意程序植入终端/服务器，主要有两种方式：

（1）利用用户操作植入：通过诱导用户点击邮件附件、打开恶意链接、安装捆绑软件、插入感染U盘等操作，绕过防护体系，例如人员关闭杀毒软件实时防护，点击运行带病毒文件，导致恶意程序植入。

（2）利用漏洞植入：攻击者利用操作系统、办公软件、服务器软件、杀毒软件的漏洞，无需用户操作，自动侵入终端/服务器，植入恶意程序。例如利用Windows远程代码执行漏洞，远程向服务器发送恶意代码，植入木马/蠕虫；利用Office宏漏洞，制作恶意宏文档，用户打开后自动植入病毒。

单位场景中，部分终端未及时更新系统补丁、软件版本过低，或人员随意关闭防护，导致恶意程序更容易植入。

2. 隐藏阶段：规避检测，长期驻留

恶意程序植入后，为避免被杀毒软件、网络维护人员发现，会采取多种隐藏方式，长期驻留终端，为后续恶意操作做准备：

（1）文件隐藏：将恶意程序设置为隐藏属性，修改文件名伪装成系统文件（如system.exe）、办公文件，放置在系统目录（C:\Windows\System32），不易被发现。

（2）进程隐藏：运行后隐藏自身进程，或注入系统进程（explorer.exe、svchost.exe）、办公软件进程（word.exe），规避任务管理器、杀毒软件检测。

（3）注册表隐藏：修改系统注册表，添加恶意启动项，确保终端开机后自动运行，同时隐藏启动项，避免被维护人员发现。

（4）代码加密：对恶意程序代码进行加密、加壳处理，隐藏真实内容，规避杀毒软件病毒库识别和静态分析工具检测。

3. 执行恶意操作阶段：窃取信息、破坏系统

恶意程序隐藏驻留后，根据攻击目的，执行"窃取信息"或"破坏系统"操作，部分恶意程序会同时执行两类操作：

（1）窃取信息操作（主要针对木马、间谍软件、部分病毒）：核心是获取单位敏感信息，包括键盘记录（获取账号密码、聊天记录）、屏幕截取（获取办公界面、敏感数据）、文件窃取（复制办公文档、数据库文件并发送给攻击者）、网络行为监控（收集浏览、邮件收发记录）。

（2）破坏系统操作（主要针对病毒、蠕虫、勒索病毒）：核心是破坏终端/服务器正常运行，包括文件破坏（感染、篡改、删除办公文档、数据库）、系统破坏（修改系统文件、注册表，导致卡顿、死机、无法启动）、网络破坏（蠕虫占用带宽，导致网络拥堵、核心服务器瘫痪）、数据加密（勒索病毒加密核心数据，进行勒索）。

4. 扩散阶段：扩大攻击范围（针对病毒、蠕虫）

具有自我复制能力的病毒、蠕虫，在执行恶意操作的同时，会自动复制自身，通过网络共享、U盘拷贝、邮件系统、漏洞等途径，扩散至单位内网其他终端/服务器，形成大规模感染，扩大危害范围。例如蠕虫感染一台终端后，自动扫描内网其他终端漏洞，侵入后复制自身运行，快速扩散至整个内网。

5.2 病毒防范与查杀（奇安信杀毒软件为例）

单位终端和服务器的病毒防范与查杀，是终端防护的核心工作，奇安信杀毒软件（企业版）具有批量部署、实时防护、精准查杀、病毒库自动更新等功能，适配单位批量终端管理需求。本节以该软件为例，详细讲解安装配置、常规查杀操作、主动防范策略，确保网络维护人员能够快速上手、落地执行。

5.2.1 软件安装与配置

奇安信杀毒软件（企业版）的安装与配置，需结合单位批量终端部署需求，实现统一安装、统一配置、统一管理，确保所有终端防护功能正常运行，形成全方位防护体系。本节详细讲解安装流程、初始化设置、病毒库更新、版本升级及管理员权限配置。

5.2.1.1 安装前期准备

安装前需做好环境检查、安装包准备工作，避免安装故障，确保适配单位终端环境，具体如下：

1. 环境检查

（1）硬件环境检查：确保终端满足软件最低配置要求，避免运行卡顿、无法正常工作，最低配置如下：

• CPU：Intel Core i3及以上，或AMD同等性能处理器；

• 内存：4GB及以上（终端）、8GB及以上（服务器）；

• 磁盘空间：至少10GB空闲磁盘空间（用于安装软件、存储病毒库、查杀日志）；

• 网络环境：终端需连接单位内网，确保能够访问奇安信企业版控制台、病毒库更新服务器。

（2）软件环境检查：

• 操作系统：支持Windows 10、Windows 11、Windows Server 2016、Windows Server 2019等系统，确保系统已安装最新补丁，避免漏洞导致安装失败或运行异常；

• 卸载其他杀毒软件：终端若已安装360杀毒、金山毒霸等其他杀毒软件，需先卸载，避免冲突，卸载后重启终端，清除残留文件。

2. 安装包准备

（1）获取安装包：从奇安信官方网站或单位内部服务器，下载奇安信杀毒软件（企业版）.exe安装包，确保版本最新、来源正规，避免下载被篡改的安装包，防止终端感染恶意程序；

（2）批量部署准备：终端数量≥10台时，建议使用奇安信企业版控制台，通过远程推送批量安装，提高部署效率；终端数量较少时，采用手动安装。

5.2.1.2 安装流程

结合单位终端数量，提供两种安装流程，适配不同部署需求，步骤详细可落地：

1. 手动安装流程

（1）双击下载好的安装包，弹出安装向导窗口，点击"下一步"；

（2）阅读用户许可协议，勾选"我接受许可协议中的条款"，点击"下一步"；

（3）选择安装路径，默认路径为"C:\Program Files\QiAnXin\Antivirus"，建议修改为非系统盘（如D:\QiAnXin\Antivirus），避免占用系统盘空间，影响系统运行，选择后点击"下一步"；

（4）选择安装组件，默认勾选"实时防护""病毒查杀""病毒库更新""系统修复"等核心组件，无需修改，点击"下一步"；

（5）点击"安装"，开始安装，期间显示安装进度，耗时约5-10分钟，请勿关闭安装窗口、重启终端；

（6）安装完成后，勾选"立即启动奇安信杀毒软件""立即更新病毒库"，点击"完成"，终端自动启动软件并更新病毒库；

（7）启动后弹出激活窗口，输入单位奇安信企业版激活码（从服务商处获取），点击"激活"，激活成功后即可正常使用。

2. 批量部署流程

奇安信企业版控制台可实现终端统一管理、批量安装，适合单位大规模部署，具体流程如下：

（1）部署控制台：在单位核心服务器上，安装奇安信企业版控制台，配置IP地址、端口，确保能够访问内网所有终端；

（2）添加终端：在控制台"终端管理"功能中，通过IP地址段、主机名批量添加内网所有终端，确保终端与控制台正常通信；

（3）推送安装包：在控制台"软件部署"功能中，上传安装包，设置安装参数（安装路径、组件、激活码），选择需安装终端，点击"推送安装"；

（4）安装监控：实时查看终端安装进度，对安装失败终端，查看原因（网络不通、终端未开机、权限不足），解决后重新推送；

（5）激活验证：所有终端安装完成后，控制台自动激活软件，无需手动输入激活码，可在控制台查看所有终端激活状态，确保全部激活。

5.2.1.3 初始化设置（贴合单位场景）

软件安装完成后，需进行初始化设置，适配单位办公场景，确保防护功能正常开启，同时避免影响人员办公（误杀正常文件、弹窗干扰），具体设置如下：

1. 基础设置

（1）打开奇安信杀毒软件，点击主界面右上角"设置"（齿轮图标），进入设置界面；

（2）通用设置：勾选"开机自动启动"（确保终端开机后实时防护），取消"开机后显示主界面"（避免干扰办公），设置"退出密码"（防止人员随意退出，建议使用单位统一管理员密码）；

（3）界面设置：选择"简洁模式"，减少弹窗干扰，仅保留核心防护功能。

2. 查杀设置

（1）默认查杀模式：设置为"智能查杀"，兼顾查杀效果和办公效率，避免全量查杀导致终端卡顿；

（2）误杀排除：将单位常用办公软件、业务软件、系统文件添加到"信任列表"，例如Office安装目录、单位业务系统目录、常用办公插件目录，避免误杀；

（3）查杀提醒：设置"查杀完成后仅显示通知，不弹出弹窗"，既确保维护人员了解结果，又不干扰人员办公。

3. 批量终端统一设置（企业版控制台）

对于批量终端，通过控制台统一设置，无需逐台操作，提高管理效率：

（1）在控制台"策略管理"中，创建"终端防护策略"；

（2）在策略中，设置通用设置、查杀设置、防护设置（与手动设置一致），添加常用文件、软件到信任列表；

（3）将策略应用到所有终端，控制台自动同步设置，确保所有终端防护标准一致。

5.2.1.4 病毒库更新与软件版本升级

病毒库和软件版本的及时更新，是确保精准查杀最新恶意程序的关键，网络维护人员需定期检查，确保所有终端均为最新状态，具体操作如下：

1. 病毒库更新

病毒库包含已知恶意程序特征码，奇安信每天多次更新，新增特征码，确保查杀最新恶意程序：

（1）手动更新（少量终端）：打开软件，点击主界面"病毒库更新"，软件自动连接更新服务器，下载安装最新病毒库，更新失败则检查网络，排除问题后重新更新；

（2）自动更新（推荐所有终端）：在设置界面"病毒库更新"中，勾选"自动更新病毒库"，设置更新频率（建议每小时检查一次）、更新时间段（人员非办公时间，如凌晨1-3点），设置"更新失败后自动重试"（3次），确保更新成功；

（3）批量终端更新管理（控制台）：在控制台"病毒库管理"中，查看所有终端病毒库版本，对未更新终端手动推送更新指令，或设置自动更新策略，查看更新日志，排查更新失败终端问题。

2. 软件版本升级

奇安信定期推出新版本，优化防护功能、修复漏洞，需及时升级，提升防护效果：

（1）手动升级（少量终端）：打开软件，点击主界面"软件升级"，自动检查新版本，点击"立即升级"，下载安装后重启软件，升级期间请勿关闭软件、重启终端；

（2）自动升级（推荐所有终端）：在设置界面"软件升级"中，勾选"自动检查并升级软件版本"，设置升级时间段（非办公时间），设置"升级失败后自动重试"；

（3）批量终端升级（控制台）：在控制台"软件升级"中，查看所有终端软件版本，对未升级终端手动推送升级指令，或设置自动升级策略，查看升级日志，排查失败原因并重新升级。

5.2.1.5 管理员权限配置

单位场景中，为避免人员随意修改设置、关闭防护，导致防护失效，需配置管理员权限，实现分级管理，具体如下：

1. 权限分级设置（企业版控制台）

支持"超级管理员""普通管理员""终端用户"三级权限，适配分级管理需求：

（1）超级管理员：拥有所有权限，可配置控制台参数、管理所有终端、修改软件设置、推送安装/升级指令、查看所有日志，适合维护负责人；

（2）普通管理员：拥有部分权限，可查看终端防护状态、推送查杀指令、查看日志，无法修改控制台参数、关闭防护，适合日常维护人员；

（3）终端用户：无管理员权限，仅能查看本机防护状态、手动发起查杀，无法修改设置、关闭防护、退出软件，适合普通人员。

2. 终端权限限制

（1）设置退出密码：在软件设置中开启"退出密码"，人员退出软件需输入管理员密码，避免随意退出；

（2）禁止修改设置：通过控制台策略，禁止终端用户修改任何软件设置，确保防护设置统一；

（3）禁止关闭防护：通过控制台策略，禁止终端用户关闭实时防护、U盘防护、邮件防护等核心功能，确保终端始终处于防护状态。

3. 权限管理注意事项

（1）管理员密码设置复杂（字母+数字+特殊符号），每3个月更换一次，避免泄露；

（2）严格分配权限，仅给维护人员分配对应管理员权限，普通人员不分配任何管理员权限；

（3）定期检查权限使用情况，排查权限滥用、密码泄露问题，及时调整配置。

5.2.2 常规查杀操作

常规查杀是病毒防范的重要环节，网络维护人员需定期组织终端查杀，指导人员日常查杀，及时清除恶意程序，避免扩散。本节详细讲解奇安信杀毒软件的三种扫描操作、隔离区管理、日志查看、系统修复步骤，贴合单位办公场景，确保操作可落地。

5.2.2.1 快速扫描（日常快速排查）

快速扫描针对终端核心目录、常用文件、内存、启动项等易感染区域，扫描速度快（1-5分钟），不影响人员办公，适合日常快速排查，建议人员每天开机后、下班前各进行一次，维护人员每天检查扫描情况。

1. 手动快速扫描操作（终端本地）

（1）打开奇安信杀毒软件主界面，点击"快速扫描"按钮，立即开始扫描；

（2）扫描过程中，显示扫描进度、已扫描文件数量、发现威胁数量，人员可正常办公，无需等待；

（3）扫描完成后，未发现威胁则显示"未发现威胁，您的电脑很安全"；发现威胁则自动隔离，弹出提示（威胁名称、类型、感染路径），点击"立即处理"，自动清除或隔离威胁。

2. 批量终端快速扫描（企业版控制台）

（1）在控制台"终端管理"中，勾选需扫描终端（可全选）；

（2）点击"查杀管理"→"快速扫描"，设置扫描时间（非办公时间，如中午休息、凌晨），点击"确认推送"；

（3）扫描完成后，在控制台查看结果（终端扫描状态、威胁数量、详情），对发现威胁的终端，远程推送处理指令，自动清除威胁。

5.2.2.2 全盘扫描（定期全面排查）

全盘扫描针对终端所有磁盘、文件，扫描范围广、查杀精准，能发现快速扫描无法检测的恶意程序，但速度较慢（30分钟-1小时，取决于磁盘大小、文件数量），适合定期全面排查，建议每周组织一次（如周五下班前），避免影响办公。

1. 手动全盘扫描操作（终端本地）

（1）打开软件主界面，点击"全盘扫描"，弹出提示"全盘扫描耗时较长，建议在空闲时间进行"，点击"确认"开始扫描；

（2）扫描过程中，可暂停扫描（处理紧急工作），后续可继续；显示扫描进度、已扫描文件/磁盘、威胁数量；

（3）扫描完成后，显示结果（威胁数量、名称、类型、感染路径）；

（4）威胁处理：提供"清除""隔离""忽略"三种方式，建议优先"清除"（彻底删除），清除失败则"隔离"（禁止运行），不建议"忽略"；

（5）处理完成后，点击"完成"，若软件提示重启，重启终端确保威胁彻底清除。

2. 批量终端全盘扫描（企业版控制台）

（1）在控制台"终端管理"中，勾选所有终端；

（2）点击"查杀管理"→"全盘扫描"，设置扫描时间（周末、夜间，如周六凌晨），勾选"扫描完成后自动处理威胁"（选择"清除"或"隔离"），点击"确认推送"；

（3）实时查看扫描进度，对扫描缓慢、失败的终端，排查原因（关机、磁盘占用过高）；

（4）扫描完成后，查看扫描报告，对未处理成功的威胁，手动远程处理；

（5）提醒人员重启终端（若需要），确保系统恢复正常。

5.2.2.3 自定义扫描（重点区域排查）

自定义扫描可选择特定目录、文件扫描，适合重点区域、重点文件排查，例如U盘插入后扫描、异常目录扫描、核心办公文件目录定期扫描，操作灵活，针对性强。

手动自定义扫描操作（终端本地）：

（1）打开软件主界面，点击"自定义扫描"，弹出自定义扫描窗口；

（2）点击"添加目录"，选择需扫描目录（U盘盘符、办公文件目录、下载目录），可添加多个；需扫描特定文件则点击"添加文件"，选择目标文件；

（3）勾选"扫描子目录"（需扫描子目录时）、"扫描压缩文件"（需扫描压缩包时），点击"开始扫描"；

（4）扫描过程中显示进度、已扫描文件、威胁数量，扫描完成后，按全盘扫描的方式处理威胁；

（5）常用场景示例：

• U盘扫描：人员插入U盘后，打开自定义扫描，添加U盘盘符，勾选"扫描压缩文件"，快速排查U盘恶意程序；

• 核心文件目录扫描：添加单位办公文件共享目录、财务数据目录，定期扫描，重点防范数据泄露；

• 异常目录扫描：发现某终端某目录文件异常（如文件打不开、名称异常），添加该目录扫描，排查恶意程序。

5.2.2.4 隔离区管理

隔离区用于存放被杀毒软件检测到的威胁文件，隔离后文件无法运行，避免继续危害终端，网络维护人员需定期管理隔离区，确保威胁彻底清除，具体操作如下：

1. 隔离区查看：打开奇安信杀毒软件，点击主界面"隔离区"，查看隔离文件（名称、威胁类型、感染路径、隔离时间、所属终端）；

2. 隔离文件处理：

（1）彻底删除：对确认是恶意程序的文件，选中后点击"删除"，彻底清除，无法恢复；

（2）恢复文件：若发现误判（正常文件被隔离），选中后点击"恢复"，将文件恢复至原路径，同时添加到信任列表，避免再次被隔离；

（3）批量处理：批量终端的隔离区文件，可通过控制台"隔离区管理"，统一查看、删除、恢复，提高管理效率；

3. 定期清理：建议每周清理一次隔离区，删除确认的恶意文件，释放磁盘空间，避免隔离区文件过多占用资源。

5.2.2.5 病毒查杀日志查看

查杀日志记录终端所有查杀操作（扫描类型、时间、结果、威胁详情），便于网络维护人员追溯查杀情况、排查问题，具体查看方法如下：

1. 终端本地日志查看：

（1）打开奇安信杀毒软件，点击主界面"日志"，选择"查杀日志"；

（2）查看日志详情，包括扫描时间、扫描类型（快速/全盘/自定义）、扫描文件数量、发现威胁数量、威胁名称、处理方式、处理结果；

（3）可按时间、威胁类型筛选日志，便于快速查找特定记录，例如筛选近7天的全盘扫描日志。

2. 批量终端日志查看（企业版控制台）：

（1）在控制台"日志管理"中，选择"查杀日志"；

（2）可按终端、时间、扫描类型、威胁等级筛选日志，查看所有终端的查杀情况；

（3）支持日志导出（Excel格式），便于统计、存档，例如每月导出一次查杀日志，整理防护报告。

5.2.2.6 查杀后的系统修复步骤

恶意程序感染终端后，可能修改系统文件、注册表，导致系统运行异常（卡顿、弹窗、功能失效），查杀完成后，需进行系统修复，恢复系统正常运行，具体步骤如下：

1. 利用奇安信软件系统修复功能：

（1）打开奇安信杀毒软件，点击主界面"系统修复"，软件自动扫描系统异常（系统文件损坏、注册表异常、启动项异常、漏洞等）；

（2）扫描完成后，显示异常项，勾选所有异常项，点击"立即修复"，修复过程中请勿关闭软件、重启终端；

（3）修复完成后，若提示重启终端，点击"立即重启"，确保修复生效。

2. 手动修复（针对复杂异常）：

（1）系统文件修复：若修复功能无法修复系统文件，运行"cmd"（以管理员身份），输入命令"sfc /scannow"，回车后系统自动扫描并修复损坏的系统文件；

（2）注册表修复：若注册表异常，通过奇安信软件"注册表修复"功能，或导入备份的注册表（单位需定期备份终端注册表），避免手动修改注册表导致系统故障；

（3）启动项修复：若终端开机异常，打开任务管理器"启动"选项，禁用恶意启动项、无用启动项，或通过奇安信软件"启动项管理"功能，恢复正常启动项。

3. 批量终端系统修复（控制台）：

在控制台"终端管理"中，勾选需要修复的终端，点击"系统修复"，推送修复指令，批量修复系统异常，无需逐台手动操作，提高修复效率。

5.2.3 主动防范策略

主动防范是病毒防护的核心，相较于事后查杀，主动防范能从源头避免恶意程序入侵，降低感染风险。本节讲解奇安信杀毒软件各类主动防护功能的配置方法，同时制定单位批量终端病毒防范标准化方案，确保防护全覆盖、无死角。

5.2.3.1 各类主动防护功能配置（奇安信软件）

奇安信杀毒软件提供实时防护、U盘防护、邮件防护、网页防护等多种主动防护功能，需全部开启并合理配置，适配单位办公场景：

1. 实时防护配置（核心防护）

实时防护实时监控终端文件、进程、注册表等，及时拦截恶意程序，是最基础的主动防护，配置方法如下：

（1）打开奇安信杀毒软件，点击"设置"→"实时防护"；

（2）勾选所有实时防护项：文件实时防护（监控文件创建、修改、删除，拦截恶意文件）、进程实时防护（监控进程创建、运行，拦截恶意进程）、注册表实时防护（监控注册表修改，拦截恶意篡改）、内存实时防护（监控内存中的恶意代码，及时拦截）；

（3）防护级别设置：设置为"中级"，兼顾防护效果和办公效率，避免高级别防护导致正常软件运行异常；

（4）批量配置：通过控制台"策略管理"，在终端防护策略中开启实时防护，统一设置防护级别，应用到所有终端。

2.U 盘防护配置（针对内网传播）

针对U盘拷贝传播这一内网主要传播途径，配置U盘防护，拦截U盘携带的恶意程序，具体操作：

（1）打开软件设置→"U盘防护"；

（2）勾选"U盘插入自动扫描"（U盘插入终端后，自动进行快速扫描，拦截恶意程序）；

（3）勾选"禁止U盘自动运行"（禁用U盘自动运行功能，避免U盘木马自动启动）；

（4）勾选"U盘文件监控"（实时监控U盘文件操作，拦截恶意文件写入、运行）；

（5）例外设置：添加单位专用U盘（如管理员用于部署软件的U盘）到例外列表，避免扫描影响工作效率。

3. 邮件防护配置（针对邮件传播）

拦截邮件中的恶意附件、恶意链接，防范邮件传播恶意程序，配置方法：

（1）打开软件设置→"邮件防护"；

（2）勾选"邮件附件扫描"（扫描所有邮件附件，拦截恶意附件，支持Outlook、企业邮箱等常用邮件客户端）；

（3）勾选"邮件链接扫描"（扫描邮件正文中的链接，识别恶意链接，提醒用户不要点击）；

（4）设置隔离规则：将检测到的恶意附件、恶意链接自动隔离，同时发送提醒给用户和网络维护人员，便于及时处理。

4. 网页防护配置（针对恶意链接传播）

拦截恶意网页、恶意链接，防范人员浏览网页时感染恶意程序，配置方法：

（1）打开软件设置→"网页防护"；

（2）勾选"网页恶意代码拦截"（拦截网页中的恶意脚本、恶意代码，避免自动下载恶意程序）；

（3）勾选"恶意链接拦截"（拦截浏览器访问的恶意链接，弹出提醒，禁止访问）；

（4）勾选"广告拦截"（拦截网页广告，减少广告插件带来的恶意程序风险）；

（5）例外设置：添加单位常用办公网页（如企业OA、业务系统网页）到例外列表，避免拦截影响正常办公。

5.2.3.2 单位批量终端病毒防范标准化方案

结合单位办公场景，制定批量终端病毒防范标准化方案，明确责任、流程、配置标准，确保所有终端防护统一、规范，具体方案如下：

1. 责任分工

（1）网络维护负责人（超级管理员）：负责整体防护方案制定、控制台配置、权限管理、防护效果监督，定期审核防护日志，处理重大病毒感染事件；

（2）日常网络维护人员（普通管理员）：负责终端防护策略推送、病毒库更新、软件升级、常规查杀组织、日志查看、异常排查，指导人员处理常见防护问题；

（3）普通人员：负责本机日常快速扫描、U盘插入后扫描，不随意点击陌生邮件附件、恶意链接，不下载非官方软件，发现终端异常及时上报维护人员。

2. 配置标准（所有终端统一执行）

（1）软件配置：安装奇安信杀毒软件（企业版），开启所有主动防护功能（实时防护、U盘防护、邮件防护、网页防护），设置防护级别为中级；

（2）更新配置：病毒库每小时检查一次更新，软件版本自动升级（非办公时间），确保病毒库、软件版本均为最新；

（3）查杀配置：快速扫描每天2次（开机后、下班前），全盘扫描每周1次（周五18:00，非办公时间），自定义扫描按需进行（U盘插入、异常目录）；

（4）权限配置：终端用户无管理员权限，无法修改软件设置、关闭防护、退出软件，退出密码统一管理；

（5）信任列表配置：统一添加单位常用办公软件、业务系统、办公目录到信任列表，避免误杀。

3. 日常防护流程

（1）每日防护：维护人员检查所有终端病毒库更新情况、快速扫描完成情况，排查未更新、未扫描终端，督促人员完成；人员开机后进行快速扫描，插入U盘后进行自定义扫描，下班前再次快速扫描；

（2）每周防护：维护人员组织所有终端全盘扫描，清理隔离区，查看查杀日志，排查异常终端；检查软件版本升级情况，确保所有终端升级到位；

（3）每月防护：维护人员导出查杀日志、更新日志，整理防护报告，分析感染风险，优化防护策略；检查管理员权限配置，更换管理员密码；备份终端注册表、核心数据，防范病毒导致的数据丢失。

4. 人员操作规范

（1）禁止插入非单位专用U盘、移动硬盘，确需插入外部存储介质，需先进行自定义扫描，确认无恶意程序后再使用；

（2）禁止点击陌生邮件附件、陌生链接，收到可疑邮件（发件人不明、标题异常、附件可疑），及时上报维护人员，不随意打开；

（3）禁止从非官方网站下载软件、插件，确需下载，从官方网站或单位内部服务器下载，安装时仔细查看安装选项，取消捆绑软件安装；

（4）禁止关闭杀毒软件防护功能、退出杀毒软件，发现软件异常（无法启动、防护关闭），及时上报维护人员；

（5）发现终端异常（卡顿、死机、文件打不开、弹窗异常），立即停止操作，上报维护人员，不自行处理，避免恶意程序扩散。

5.3 未知病毒分析与处置

未知病毒（未被杀毒软件病毒库收录的恶意程序）具有隐蔽性强、查杀难度大、危害未知等特点，一旦感染单位终端/服务器，可能造成严重损失。本节讲解未知病毒的识别特征、分析流程与工具、应急处置方案，结合奇安信软件功能和实操，帮助维护人员快速识别、分析、处置未知病毒，防止扩散。

5.3.1 未知病毒识别特征

未知病毒虽未被病毒库收录，但会表现出特定的行为特征、代码特征，结合奇安信杀毒软件的未知病毒检测功能，可快速识别，具体识别特征如下：

5.3.1.1 行为特征（终端异常表现）

未知病毒运行后，会导致终端出现异常行为，维护人员和人员可通过这些异常，初步判断存在未知病毒：

1. 进程异常：终端任务管理器中出现陌生进程，进程名称伪装成系统进程（如svchost.exe、explorer.exe），但占用CPU、内存过高；进程无法结束，结束后立即重启；多个相同名称的陌生进程同时运行。

2. 资源占用异常：终端CPU、内存、磁盘占用率突然飙升，即使没有运行大型软件，也出现卡顿、死机、响应缓慢等情况；磁盘读写频繁，后台有大量未知文件读写操作，甚至出现磁盘空间快速减少（可能是病毒加密文件、复制自身导致）。

3. 文件异常：终端中出现陌生文件（名称杂乱、无后缀或后缀异常，如.exe、.bat、.dll等），且无法删除、删除后自动恢复；正常办公文件（Word、Excel、PDF等）被篡改、加密（文件名后缀变化，如添加.enc、.lock），无法正常打开；系统文件、常用软件文件被替换，导致软件无法启动、系统报错。

4. 网络异常：终端后台有未知网络连接，大量数据向外发送（可能是窃取数据并传输给攻击者）；网络带宽被异常占用，导致办公网络卡顿；终端自动连接陌生IP地址、访问陌生网站，且无法禁止。

5. 系统异常：终端开机异常缓慢、频繁蓝屏、自动重启；系统注册表被篡改，出现陌生启动项，开机后自动运行未知程序；桌面图标异常、任务栏异常，部分系统功能（如控制面板、任务管理器）无法正常打开；系统提示缺少系统文件、报错代码异常。

6. 软件异常：奇安信杀毒软件等防护工具无法正常启动、实时防护自动关闭，且无法重新开启；常用办公软件（Office、PDF阅读器等）运行异常，频繁崩溃、弹出异常弹窗；软件图标被篡改，启动后运行陌生程序。

5.3.1.2 代码特征（技术层面识别）

从技术层面，网络维护人员可通过简单工具查看恶意程序的代码特征，辅助识别未知病毒，核心特征如下，无需深入代码开发，重点关注可直观观察的特征：

1. 加壳加密特征：未知病毒为规避检测，通常会对代码进行加壳、加密处理，表现为文件大小异常（相较于正常程序偏大）、无法通过常规工具查看代码内容，奇安信杀毒软件会提示"可疑加壳程序""未知加密文件"。

2. 代码冗余特征：未知病毒代码通常包含大量冗余代码（无实际功能，仅用于混淆检测），且代码结构混乱，无规范的程序逻辑，与正常软件的代码结构有明显区别。

3. 敏感 API 调用特征：未知病毒会调用系统敏感API（应用程序接口），用于实现隐藏、窃取、破坏功能，如调用键盘记录API、屏幕截取API、文件加密API、网络传输API等，可通过工具（如Process Monitor）查看程序的API调用记录，发现异常调用行为。

4. 无签名特征：正常软件通常会有数字签名（用于验证软件合法性），而未知病毒无数字签名，或使用伪造的数字签名，奇安信杀毒软件会提示"无有效数字签名""签名异常"。

5.3.1.3 奇安信软件未知病毒检测提示

奇安信杀毒软件（企业版）具备未知病毒检测功能（基于行为分析、人工智能检测），当检测到未知病毒时，会出现以下提示，维护人员可快速识别：

1.弹出"可疑程序提醒"，提示"发现未知可疑程序，已拦截运行"，并显示程序路径、进程名称；

2.杀毒软件日志中出现"未知威胁""可疑行为"记录，标注威胁等级（高危、中危）、行为描述（如"可疑文件写入""未知网络连接"）；

3.实时防护模块提示"拦截未知恶意程序"，自动隔离可疑文件，并建议进一步分析；

4.企业版控制台会批量提示终端"存在未知可疑程序"，可查看所有终端的未知病毒检测情况，统一处置。

5.3.2 未知病毒分析流程与工具

未知病毒分析的核心目的是明确其危害、行为逻辑、传播途径，为后续处置提供依据，分析流程遵循"样本收集→静态分析→动态分析→结果总结"的逻辑，结合单位场景选择简易、可落地的工具，无需复杂的专业设备，具体流程与工具如下：

5.3.2.1 分析前期准备（关键步骤，避免扩散）

分析未知病毒前，需做好隔离和环境准备，防止病毒扩散至单位内网其他终端，同时保护分析环境安全，具体准备工作：

1. 终端隔离：将检测到未知病毒的终端，立即断开内网连接（拔掉网线、关闭无线连接），禁止与其他终端、服务器通信，避免病毒扩散；若终端为核心业务终端，需先备份核心数据（通过离线存储介质，备份后立即断开存储介质），再进行隔离。

2. 分析环境准备：搭建专用分析环境（建议使用虚拟机，如VMware），虚拟机需断开网络，安装奇安信杀毒软件（关闭实时防护，仅用于样本检测）、常用分析工具，避免分析过程中病毒感染物理机或内网。

3. 样本收集：从隔离终端中，收集未知病毒样本（可疑文件、进程对应的可执行文件），将样本复制到离线存储介质（如专用U盘），再导入分析环境，收集时需记录样本路径、发现时间、终端异常表现，便于后续分析。

4. 工具准备：结合单位维护人员技术水平，选择简易、实用的分析工具，无需专业逆向分析工具，核心工具如下：

（1）奇安信杀毒软件（企业版）：用于样本初步检测、行为分析、隔离样本；

（2）Process Monitor：用于查看样本的进程行为、文件操作、网络连接、API调用，直观观察病毒行为；

（3）WinHex：用于查看样本文件的十六进制代码，辅助识别加壳、加密特征；

（4）IDA Pro（简易使用）：用于查看样本的代码结构，识别敏感API调用（仅需基础操作，无需深入逆向）；

（5）注册表编辑器：用于查看样本对系统注册表的修改，识别恶意启动项。

5.3.2.2 核心分析流程

遵循"静态分析→动态分析"的顺序，先通过静态分析初步判断样本特征，再通过动态分析观察实际行为，降低分析难度，具体流程：

1. 静态分析（不运行样本，避免病毒激活）

静态分析的核心是不运行病毒样本，通过工具查看样本的基础信息、代码特征、文件属性，初步判断样本类型和潜在危害，具体操作：

（1）基础信息查看：右键点击样本文件，查看属性（大小、创建时间、修改时间、数字签名），若文件无数字签名、创建时间异常（如与系统安装时间不符）、大小异常，可初步判断为可疑样本；

（2）奇安信样本检测：将样本导入奇安信杀毒软件，进行自定义扫描，查看检测结果，即使未识别为已知病毒，若提示"可疑程序""加壳程序"，需重点关注；同时利用奇安信"样本分析"功能，查看样本的初步行为描述（如是否有文件加密、网络传输行为）；

（3）代码特征查看：用WinHex打开样本，查看十六进制代码，若代码中包含大量乱码（加壳加密特征）、包含敏感字符串（如"加密""窃取""远程控制""IP地址"），可判断样本具有恶意行为；用IDA Pro打开样本，查看代码结构，识别是否调用敏感API（如键盘记录、屏幕截取相关API）；

（4）关联分析：结合样本发现路径、终端异常表现，判断样本可能的传播途径（如通过U盘传播、邮件传播），初步推测其攻击目的（如窃取数据、加密文件、控制终端）。

2. 动态分析（运行样本，观察实际行为）

动态分析需在隔离的虚拟机环境中进行，运行样本后，通过工具观察其实际行为，明确其危害和操作逻辑，具体操作（全程记录行为，便于后续处置）：

（1）环境准备：启动虚拟机，断开网络，关闭虚拟机中的防护工具（避免拦截样本运行），打开Process Monitor、注册表编辑器，做好记录准备；

（2）样本运行：将样本复制到虚拟机中，双击运行样本（若样本无法直接运行，可能是加壳或需要特定条件，可暂不强制运行，重点结合静态分析结果）；

（3）行为观察与记录：

• 进程行为：通过Process Monitor查看样本运行后产生的进程，记录进程名称、PID、CPU/内存占用，观察是否有新的陌生进程生成、进程是否无法结束；

• 文件操作：查看样本对虚拟机文件的操作，记录是否创建、修改、删除文件，是否加密正常文件，是否复制自身到系统目录、启动目录；

• 注册表操作：通过注册表编辑器，查看样本是否修改注册表、添加恶意启动项（重点查看HKEY_CURRENT_USER\Software\Microsoft\Window

s\CurrentVersion\Run路径），记录修改内容；

• 网络行为：虽然虚拟机断开网络，但可查看样本是否尝试建立网络连接、调用网络API，记录其尝试连接的IP地址、端口（便于后续拦截）；

• 系统行为：观察虚拟机是否出现异常（卡顿、蓝屏、弹窗），记录样本对系统功能的影响。

3. 分析结果总结

分析完成后，整理分析结果，明确以下核心信息，为后续应急处置提供依据：

（1）样本基础信息：样本路径、文件名称、大小、是否加壳加密、是否有数字签名；

（2）病毒行为特征：进程行为、文件操作、注册表修改、网络连接、系统影响；

（3）传播途径推测：结合样本发现场景、行为特征，推测其可能的传播途径（如U盘、邮件、恶意链接）；

（4）危害等级判断：根据行为特征，判断危害等级（高危：加密文件、窃取核心数据、远程控制；中危：窃取非核心信息、占用资源；低危：仅存在恶意行为，无实质性危害）；

（5）处置建议：结合分析结果，提出针对性的处置方法（如清除样本、修复系统、拦截相关IP、排查其他终端）。

5.3.2.3 工具使用注意事项（单位场景重点）

1.所有分析操作必须在隔离环境（虚拟机）中进行，严禁在单位正常终端、服务器上运行未知病毒样本，避免病毒扩散；

2.分析工具的安装、使用需符合单位网络安全管理规定，工具需从官方网站下载，避免工具本身携带恶意程序；

3.分析过程中，全程记录分析结果（截图、文字记录），便于后续追溯、总结经验，同时便于向单位领导、奇安信服务商反馈，获取技术支持；

4.若维护人员技术有限，无法完成深入分析，可将样本提交给奇安信服务商，由专业人员进行分析，同时暂停对感染终端的操作，避免扩大危害。

5.3.3 未知病毒应急处置方案

未知病毒的应急处置遵循"隔离→清除→修复→排查→防范"的核心逻辑，结合奇安信杀毒软件功能，快速处置感染终端，防止病毒扩散，恢复终端正常运行，具体步骤可落地、可操作，适配单位批量终端管理需求：

5.3.3.1 第一步：紧急隔离（遏制扩散，核心步骤）

发现未知病毒感染终端后，立即采取隔离措施，切断病毒传播路径，避免扩散至内网其他终端、服务器，具体操作：

1. 终端隔离：立即断开感染终端的内网连接（拔掉网线、关闭无线网卡），禁止终端接入单位内网、互联网；若终端为核心业务终端，需先通过离线存储介质备份核心数据（备份后立即断开存储介质，避免备份介质被感染），再断开网络。

2. 存储介质隔离：若感染终端曾使用过U盘、移动硬盘等存储介质，立即将这些存储介质插入隔离的虚拟机中，进行全面扫描，确认是否被感染；若已感染，立即隔离存储介质，禁止插入其他终端。

3. 内网排查：通过奇安信企业版控制台，查看与感染终端有过网络连接、文件传输的其他终端，重点排查同部门、同网段终端，查看是否出现相同异常行为，若有，立即隔离相关终端。

4. 通知提醒：及时通知单位所有人员，告知当前未知病毒的异常表现（如进程异常、文件加密），提醒人员发现终端异常立即上报，不随意插入U盘、点击陌生链接，避免感染。

5.3.3.2 第二步：样本清除（彻底删除，避免残留）

在隔离环境中，对感染终端进行样本清除，确保彻底删除病毒样本及相关残留文件，避免病毒重启后复活，具体操作：

1. 终止恶意进程：打开感染终端的任务管理器，找到未知病毒对应的进程（结合分析结果，识别陌生进程、高占用进程），右键点击"结束任务"，若无法结束，通过Process Monitor强制终止进程（结束进程对应的PID）。

2. 删除样本文件：根据分析结果，找到病毒样本所在路径（如系统目录、下载目录、U盘目录），删除样本文件；同时删除样本生成的相关文件（如复制的自身文件、加密后的文件备份），删除时若提示"无法删除"，可先终止相关进程，再进行删除。

3. 清理注册表残留：打开注册表编辑器，找到样本添加的恶意启动项（重点查看HKEY_CURRENT_USER\Software\Microsoft\Windows\Current

Version\Run路径），删除恶意启动项；同时删除样本修改的其他注册表项（结合分析记录），避免病毒开机自动运行。

4. 奇安信深度查杀：打开奇安信杀毒软件，对感染终端进行全盘深度扫描，勾选"扫描压缩文件""扫描隐藏文件"，彻底查杀残留的病毒样本、恶意文件；扫描完成后，查看隔离区，删除所有可疑文件，确保无残留。

5. 重启验证：清除完成后，重启感染终端，查看是否还有异常行为（进程异常、资源占用异常），若无异常，说明清除成功；若仍有异常，重复上述步骤，或联系奇安信服务商获取技术支持。

5.3.3.3 第三步：系统修复（恢复正常，避免隐患）

未知病毒可能修改系统文件、注册表，导致终端运行异常，清除样本后，需进行系统修复，恢复终端正常运行，具体操作（结合奇安信软件功能）：

1. 奇安信系统修复：打开奇安信杀毒软件，点击"系统修复"，软件自动扫描系统异常（系统文件损坏、注册表异常、启动项异常），勾选所有异常项，点击"立即修复"，修复完成后重启终端。

2. 手动修复（针对复杂异常）：

（1）系统文件修复：以管理员身份运行"cmd"，输入命令"sfc /scannow"，回车后系统自动扫描并修复损坏的系统文件；若修复失败，可导入备份的系统文件，或使用系统还原功能（需提前开启系统还原）。

（2）软件修复：若常用办公软件、业务软件因病毒感染无法正常运行，重新安装软件，或修复软件（通过软件自带的修复功能）；若软件文件被篡改，替换为正常版本的文件。

（3）数据恢复：若病毒加密、删除了核心办公数据，先尝试通过奇安信数据恢复功能恢复数据；若无法恢复，使用单位备份的离线数据，恢复核心数据，确保业务正常开展。

5.3.3.4 第四步：内网排查（全面扫描，防止遗漏）

清除感染终端的病毒后，需对单位整个内网进行全面排查，防止有其他终端被感染但未被发现，具体操作：

1. 批量终端扫描：通过奇安信企业版控制台，对所有终端进行全盘扫描，勾选"未知病毒检测"功能，重点扫描与感染终端有过关联的终端（同部门、同网段、有文件传输记录），查看是否发现可疑样本。

2. 服务器排查：对单位核心服务器（文件服务器、邮件服务器、业务服务器）进行重点扫描，查看是否有未知病毒感染、异常进程、陌生文件，确保服务器安全（服务器感染可能导致整个内网瘫痪）。

3. 网络设备排查：检查单位路由器、交换机等网络设备，查看是否有异常网络连接、陌生IP地址接入，排查是否有病毒通过网络设备扩散，若有，及时阻断相关连接。

4. 存储介质排查：对单位所有U盘、移动硬盘等存储介质，进行全面扫描，确认是否被感染，感染的存储介质需彻底查杀后，方可重新使用。

5.3.3.5 第五步：后续防范（优化策略，避免复发）

未知病毒处置完成后，需优化单位终端防护策略，弥补防护漏洞，避免再次感染，具体措施：

1. 病毒库与软件升级：立即更新所有终端、服务器的奇安信病毒库，确保病毒库为最新（包含未知病毒特征码，奇安信会快速收录新发现的未知病毒特征）；同时升级奇安信软件版本、操作系统补丁、办公软件版本，修复漏洞，避免病毒利用漏洞植入。

2. 优化防护配置：通过奇安信企业版控制台，优化终端防护策略，开启"未知病毒检测""行为分析"功能，提高未知病毒识别率；加强U盘防护、邮件防护、网页防护，拦截可疑文件、恶意链接。

3. 人员培训：组织人员开展网络安全培训，讲解未知病毒的识别特征、传播途径、防范方法，提醒人员不随意插入外部存储介质、不点击陌生邮件附件和链接、不下载非官方软件，发现终端异常立即上报。

4. 定期备份：完善单位数据备份机制，定期备份核心办公数据、系统文件、注册表，采用离线备份+云端备份结合的方式，防止病毒加密、删除数据后无法恢复。

5. 定期排查：建立未知病毒定期排查机制，每周通过奇安信控制台查看终端未知病毒检测记录，每月组织一次内网全面扫描，及时发现潜在隐患，提前处置。

5.3.3.6 处置注意事项

1.应急处置过程中，全程记录操作步骤、分析结果、处置情况，便于后续追溯、总结经验，同时便于向单位领导汇报；

2.若未知病毒危害较大（如加密核心数据、远程控制终端），立即联系奇安信服务商，获取专业技术支持，避免自行处置导致损失扩大；

3.处置完成后，不可立即将感染终端接入内网，需先进行多次扫描、验证，确认无异常后，方可重新接入内网；

4.严禁将未知病毒样本传播给非相关人员，严禁用于未经授权的测试，避免病毒扩散，违反单位网络安全管理规定；

5.定期组织应急演练，让维护人员熟悉未知病毒处置流程，提高应急处置能力，确保突发感染时能够快速响应、高效处置。

5.4 恶意代码分析工具

除奇安信杀毒软件外，单位网络维护人员还需掌握部分常用恶意代码分析工具的基础使用方法，辅助未知病毒分析、恶意程序排查，本节重点介绍IDA Pro（简易使用）及其他常用工具，贴合单位维护场景，无需深入专业逆向分析，重点掌握基础操作和核心功能。

5.4.1 IDA Pro（恶意代码分析核心工具）

IDA Pro是一款专业的恶意代码逆向分析工具，可查看恶意程序的代码结构、函数调用、API调用，辅助判断病毒行为逻辑，单位维护人员无需掌握复杂的逆向分析技术，重点掌握基础操作，用于辅助识别未知病毒。

5.4.1.1 软件安装

1. 安装准备：从官方网站下载IDA Pro最新版本，确保版本适配Windows系统（单位终端常用系统），安装包来源正规，避免下载被篡改的安装包；

2. 安装流程：双击安装包，按照安装向导提示，选择安装路径（建议非系统盘），勾选核心组件（IDA Pro 32-bit、IDA Pro 64-bit），完成安装；

3. 初始化设置：安装完成后，启动IDA Pro，选择默认语言（中文），设置默认分析选项（无需修改，保持默认），即可正常使用。

5.4.1.2 基础操作

单位维护人员使用IDA Pro，主要用于查看恶意样本的代码结构、识别敏感API调用，辅助分析未知病毒，核心基础操作如下：

1. 加载样本：启动IDA Pro，点击"File"→"Open"，选择未知病毒样本文件（.exe、.dll等），弹出加载选项，保持默认，点击"OK"，IDA Pro自动加载样本并进行初步分析，分析完成后进入主界面。

2. 查看代码结构：主界面左侧为"函数窗口"，显示样本的所有函数；右侧为"反汇编窗口"，显示样本的反汇编代码（将机器码转换为可读的汇编代码），维护人员无需理解全部代码，重点关注敏感函数、API调用。

3. 识别敏感 API 调用：在反汇编窗口中，查找敏感API调用（如键盘记录API、屏幕截取API、文件加密API、网络传输API），例如：

• 键盘记录相关API：GetKeyboardState、keybd_event；

• 屏幕截取相关API：BitBlt、CreateDC；

• 文件加密相关API：CryptEncrypt、CryptDecrypt；

• 网络传输相关API：send、recv、connect；

若样本中包含这些敏感API调用，可初步判断其具有窃取、加密、远程控制等恶意行为。

4. 查看字符串：点击"View"→"Strings"，打开字符串窗口，查看样本中包含的字符串，若出现敏感字符串（如IP地址、端口、"加密""窃取""密码"），可辅助判断病毒的攻击目的、传播途径。

5. 保存分析结果：分析完成后，点击"File"→"Save"，保存分析项目，便于后续查看、追溯；同时可截图反汇编窗口、字符串窗口，用于分析报告整理。

5.4.1.3 使用注意事项

1.IDA Pro仅用于单位授权的恶意代码分析、未知病毒排查，严禁用于未经授权的测试、攻击等违规违法活动；

2.加载样本时，需在隔离环境（虚拟机）中进行，避免样本运行感染物理机；

3.维护人员无需深入学习逆向分析技术，重点掌握基础操作，辅助识别敏感API调用、字符串，结合其他工具完成分析；

4.若遇到复杂样本，无法通过IDA Pro初步分析，可提交给奇安信服务商，由专业人员进行深入分析。

5.4.1.4 实战应用实例

假设我们获得一个未知勒索病毒样本encryptor.exe，需通过IDA Pro分析其核心逻辑。

步骤 1 ：初步观察

• 使用Detect It Easy查看，发现样本使用UPX加壳。
• 先用upx -d脱壳，得到脱壳后的样本encryptor_unpacked.exe。

步骤 2 ：加载样本

• 在IDA Pro中打开脱壳后的样本，等待自动分析完成。
• 按Shift+F12查看字符串，发现以下可疑字符串：

C:\Users\Public\Documents\*.docx

RSA_PUBLIC_KEY_BEGIN

http://malicious.xyz/upload

Your files have been encrypted!

步骤 3 ：定位关键函数

• 双击http://malicious.xyz/upload，跳转到数据区，按Ctrl+X查看交叉引用，发现被sub_401550函数引用。
• 进入sub_401550，在图形视图中观察逻辑，发现其调用了InternetOpen、InternetConnect、HttpOpenRequest等网络API，确定为C2通信函数。

步骤 4 ：分析加密逻辑

• 继续在字符串窗口找到RSA_PUBLIC_KEY_BEGIN，交叉引用定位到sub_4012A0。
• 分析该函数：发现其调用了CryptAcquireContext、CryptImportKey、CryptEncrypt等CryptoAPI函数，确定为文件加密函数。
• 跟踪参数：sub_4012A0接收一个文件路径参数，内部打开文件、生成随机密钥、用RSA公钥加密随机密钥、最后写入文件尾部。

步骤 5 ：提取 IOC （入侵指标）

• 从代码中提取硬编码的C2域名malicious.xyz。
• 找到勒索信息中可能包含的联系方式、比特币地址等。
• 记录加密文件的后缀（如.encrypted），用于后续恢复尝试。

步骤 6 ：辅助防御

• 将提取的IOC提交给防火墙和终端防护系统进行封锁。
• 根据加密逻辑分析是否存在解密可能性（如是否保留了密钥）。

通过IDA Pro的静态分析，我们无需运行样本即可掌握其行为，为清除和防御提供依据。

5.4.2 其他常用辅助工具

结合单位维护场景，除IDA Pro外，以下辅助工具操作简单、实用性强，可辅助未知病毒分析、恶意程序排查，维护人员快速上手即可使用：

5.4.2.1 Process Monitor（进程行为监控工具）

1. 核心功能：实时监控终端的进程行为、文件操作、网络连接、注册表修改、API调用，直观查看恶意程序的运行行为，便于识别未知病毒；

2. 基础操作：启动软件后，点击"Capture"（捕获）按钮，开始监控；若需筛选特定进程，点击"Filter"（筛选），输入进程名称或PID，筛选出目标进程的行为记录；监控完成后，可保存日志，用于后续分析；

3. 单位场景应用：主要用于未知病毒动态分析，观察病毒运行后的进程行为、文件操作、网络连接，记录病毒的具体行为，为清除、处置提供依据。

5.4.2.2 WinHex（文件分析工具）

1. 核心功能：查看文件的十六进制代码、二进制数据，识别文件的加壳、加密特征，辅助判断未知病毒样本；

2. 基础操作：启动软件，打开未知病毒样本文件，查看十六进制代码，若代码中包含大量乱码（加壳加密特征）、敏感字符串，可初步判断为恶意样本；同时可查看文件的头部信息，判断文件类型（是否为可执行文件、恶意脚本）；

3. 单位场景应用：用于静态分析未知病毒样本，辅助识别加壳加密特征、敏感信息，结合其他工具完成样本分析。

5.4.2.3 奇安信样本分析平台（在线工具）

1. 核心功能：奇安信提供在线样本分析平台，可上传未知病毒样本，平台自动进行静态分析、动态分析，生成分析报告，包含样本行为、危害等级、处置建议；

2. 基础操作：登录奇安信样本分析平台（需单位授权），上传未知病毒样本，等待分析完成，查看分析报告，获取样本相关信息；

3. 单位场景应用：适合维护人员技术有限的情况，无需手动分析，通过平台快速获取样本分析结果，为应急处置提供依据。

5.4.2.4 密码破解工具：John the Ripper

1. 功能概述

John the Ripper（简称John）是一款开源密码破解工具，支持多种哈希算法（如MD5、SHA、NTLM、bcrypt等），可用于检测单位内部弱口令。

2. 适用场景（授权测试）

• 检测人员是否使用弱密码，评估密码策略强度。
• 在渗透测试中破解获取的哈希值，验证账号安全性。

3. 基本使用方法

1. 安装 ：
   • Linux：sudo apt install john（Debian/Ubuntu）或sudo yum install john（RHEL/CentOS）。
   • Windows：从官网下载预编译版本，解压后使用。
2. 准备哈希文件 ：
   • 从系统提取哈希（仅限授权测试）：
     • Windows：使用mimikatz或pwdump提取NTLM哈希，保存为hashes.txt。
     • Linux：从/etc/shadow中提取密码字段，保存为hashes.txt。
3. 运行破解 ：
   • 简单字典攻击：

john --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt

• • 增量模式（暴力破解）：

john --incremental hashes.txt

• • 指定格式：

john --format=nt hashes.txt # 针对NTLM哈希

1. 查看结果：

john --show hashes.txt

显示已破解的密码和对应的账户。

4. 常用参数

• --wordlist=<文件>：指定字典文件。
• --format=<名称>：指定哈希格式（如nt、md5、sha512）。
• --rules：启用字典变形规则（如单词后加数字）。
• --incremental：使用暴力破解模式（需指定字符集）。
• --session=<名称>：保存当前进度，便于中断后恢复。

5. 合规要求

• 仅限授权测试：必须在单位明确授权下进行，不得私自破解他人密码。
• 用于内部评估：可将John作为自检工具，定期测试域用户弱口令，并通知用户修改。
• 结果保密：破解出的密码仅用于安全整改，严禁泄露。

5.4.3 工具使用总结

单位网络维护人员在病毒分析、未知病毒处置过程中，无需掌握复杂的工具操作，重点结合奇安信杀毒软件，搭配Process Monitor、WinHex、IDA Pro（简易使用）等工具，即可完成基础的未知病毒识别、分析、处置；工具的使用需遵循单位网络安全管理规定，仅用于授权范围内的防护工作，严禁违规使用。