如何保护被入侵的计算机并防范攻击者

这个问题其实是两个问题。

为了应对这一安全事件，您必须收集可用的证据，然后保护计算机安全。

找到可以在法庭上使用的证据可能很困难。事实上，如果你向法官（或公司负责人）辩护，他们可能会试图证明：

• 你无法证明这些信息是真实的，而且你并没有伪造它。
• 这些“入侵”都属于公司最终安全政策的范围（顺便说一句，你应该已经看过并签署了该政策）。这是表示你接受这些行为的一种方式。

解决办法是让一名经过认证的人员（专业律师？？）对您的计算机进行审计，然后发布可在法庭上使用的法律报告。为此，您必须继续照常行事，以便收集数据。死后也可以进行审计，但很可能不会产生任何可用的结果，主要是因为计算机是您的，并且您对它具有完全访问权限。

所以如果你想要任何证据，你需要寻求法律顾问的帮助，他们可以建议你该怎么做。但我确信这种投资不值得。

关于这个问题的安全部分：信任一台已知受感染的计算机并不容易。除非您可以评估计算机上所有文件的完全恢复情况（验证您的系统是否为正版 - 您检查此系统的工具是否为正版），否则您永远无法确定没有后门或恶意软件感染的痕迹。因此，下一个最好的办法是完全清除并重新安装操作系统。您先离线安装，然后使用最新更新在线安装。然后，您需要采取一些措施来避免再次破坏系统。

为了保护自己，你必须首先问自己这个问题：“我信任谁”。如果你不信任你的公司，那么你为什么要安装他们的软件、访问他们的服务器呢？我假设你需要设置 VPN 访问才能使用工作所需的工具。使用 VPN 基本上就是在说“我确实信任我所连接的这个网络”。你可以把它看作是你自己家庭网络的扩展。如果你不信任该网络上的内容，你需要隔离你的环境。

您有一些解决方案，它们的区别主要在于便利性和/或价格。您可以：

• 购买一台仅用于工作目的的新电脑。
• 使用虚拟机程序（Virtualbox等）设置虚拟环境
• 在计算机的第二个磁盘上设置第二个环境。

无论你选择哪种方式，你都必须确保计算机隔离。更准确地说，你应该确保：

• 无法从您的安全环境（网络过滤、访问规则）访问您网络上的其他计算机
• 您无法从安全环境（例如断开连接的硬盘）访问计算机上的其他数据

所以，基本上，不要授予您不想共享的访问权限。

如果您的计算机受到攻击，您就不能信任它。它可能在骗您。因此，您需要能够从您信任的系统收集证据。例如，以混杂模式运行的透明路由器。最明显的证据可能是数据包捕获。日志可能很有用；给日志加上时间戳会很好。

如果您确实获得了一些确凿的证据，请准备好与您的计算机告别。您可能有很多机会篡改证据，而这对您不利。有一件事可能有助于最大限度地减少您篡改犯罪现场的能力，那就是执法部门“标记并装袋”……将您的计算机运送到计算机取证实验室，他们需要数周时间才能找出任何东西。

如果这超出了你的专业范围，你可能需要找别人帮忙。事实上，找一个公正的人可能会对你的案子有帮助。然而，这也可能是一笔费用。

所有这些可能都假设攻击者不如您试图捕捉（即：记录）攻击者行为的聪明。如果您所做的只是捕获数据包并创建日志，但它们没有显示任何攻击迹象，那么您对自己没有任何好处（即使攻击确实发生了）。例如，如果攻击不是通过网络发生的，那么使用防火墙做一些疯狂的事情可能对您没有任何帮助。

如果您能够做到这一点（拥有技术专长和设备，或有足够的资金购买此类设备），现在制作驱动器映像可能会对以后有所帮助。驱动器映像可能有助于显示到底发生了什么变化。但是，如果他们已经安装了监控软件，那么即使是您的第一个映像也可能被感染，这会限制这种方法的实用性。

如果你想阻止他们，你肯定不希望你的 Microsoft Windows 计算机加入 Active Directory 域。很多人不明白这一点；加入 Active Directory 域可能有助于你访问公司资源。这也让他们对计算机拥有很大的控制权。

如果他们使用破解的防火墙来“监视”您，查看您访问的网站，那么您在计算机上所做的任何事情都无济于事。您可以更换整个计算机，而恶意防火墙设备仍然能够监视新计算机。如果问题是他们进入您的家中，将您的键盘换成一个可以记录您的击键的键盘，并使用内置天线将您的击键传输到您家外的键盘，那么更换防火墙将无济于事。（并且，在您仍在使用键盘的情况下擦除硬盘并重新安装操作系统也无济于事。）如果他们使用隐藏在您家中办公室的摄像头来监视您，更换您的所有计算机技术可能……无济于事。成功防御攻击的正确方法将取决于他们所做的一切。

可以给出很多建议；有些可能有用，但很多可能没用。由于攻击可能发生的方式大约是十六乘以无穷大，我无法推荐任何明确的行动方案来保证成功；尤其是当您提供的细节如此模糊时。