我们在《管理员应对恶意软件的五个步骤之文档化、诊断》中介绍了如何应对这些恶意软件感染，以及肉鸡移除的两个关键步骤：文档化和诊断。本文继续介绍另外三个关键步骤。

3. 限制

如果你足够了解恶意软件的感染，可以运用一些应急的网络访问控制列表或防火墙规则来阻止恶意软件的入站或出站网络流量，直到将它们清理掉。

你还可以采用白名单的方法，加上本地策略或组策略作为基本工具来对抗恶意软件感染，更可以使用Bit9提倡的“积极安全控制策略”作为高级工具进行对抗。

4. 清除

只是运行一个简单的防病毒扫描是无法将肉鸡移除的。你甚至无法检测到恶意软件的异常行为。即使可以检测，恶意代码也往往与操作系统/注册表相互交织，使主流的杀毒软件不知道如何进行处理。

你所能做的最好的措施之一就是运行多个反恶意软件工具，尤其是像Webroot和Malwarebytes这样的对更高级威胁相对了解的工具。你也可能除了重新安装操作系统之外毫无选择。

此外，在重新安装操作系统时，还要注意数据丢失的风险。在我处理过的项目中，几乎没有任何内部安全评估，也没有找到位于工作站上的敏感信息的备份副本。

5. 补丁更新

对于恶意软件的感染，最大的敌人莫过于用户没有对Java、Adobe和相关的第三方软件进行定期更新。其次是Windows XP即将退休。

问题是，对企业的系统进行更新可以消除威胁，至少可以防止恶意软件的传播。所以现在需要开始考虑第三方软件的补丁管理问题，以至于在真正出现问题时你可以有所防备。

当所有这一切都没有奏效时，你只能寻求专家的帮助。僵尸网络非常难以应付。因为我发现在我的项目里，以及从其它事件了解的信息来看，僵尸网络很像身体的癌症病变。即使网络中还残存一点僵尸信息，很可能就会遭遇第二波感染。应急事件措施以及让专业人士定期对疑似特征的终端进行处理将会让整个组织处于IT安全的保护之中。

去除终端上的恶意软件是尽量减少风险的一个方面。威胁情报(知道要寻找什么，并有足够的信息支持决策)非常关键。这又回到一个基本的管理原则：了解你的网络。虽然它听起来有些无聊，但是当你真正知道什么是“ 正常”时，你就会对异常活动做出正确的判断。

如果你没有工具或流程来获取相应的信息，那就从今天开始吧。要获得终端的控制权，你需要有好的网络分析工具和事件监控工具来同僵尸网络进行对抗。就像我最喜欢的一句话：“知己知彼，百战不殆”。

恶意软件的问题并不会随着时间的流逝有任何好转的迹象。所以对于桌面和网络管理员来说，现在需要提高他们的技能，使之成长为威胁分析师，数据科学家和事件响应者。即使目前这些领域还不会影响他们的工作，但是有朝一日，他们一定会派上用场的。