微软公司视消费者的安全问题为头等大事，致力于整合软件、服务和最佳实践来保护消费者的系统。

虽然许多组织已经开发了防病毒软件，但恶意软件（例如，计算机病毒、蠕虫和特洛伊木马）仍在继续感染着世界各地的计算机系统。要应对恶意软件的突发并进行善后恢复，是一个复杂的过程，它包括感染确认、事件响应、恶意软件分析、系统恢复、恢复后的处理等多个重要的步骤。

控制恶意软件攻击的传播即对突发事件进行正确响应之后，必须花些时间了解突发事件的本质并对恶意软件进行更详细的分析。不执行该步骤可能增加再次感染的可能性,而不了解恶意软件的工作方式将无法确保系统已被清理并免遭未来的攻击。

理想情况下，企业安全小组的成员将使用专用的应用程序和实用程序集（可用于自动收集所需信息）执行对恶意软件的分析。微软公司为主动防御新兴安全和网络安全威胁所进行的创新不仅强化了现有产品，更添加了全新特性使消费者可以控制自己的防护和安全级别。这样以来，他们尽可体验技术优势，放心使用因特网资源，因为他们的系统已经受到保护。以下步骤将帮助企业IT安全小组了解一次攻击的本质。

检查活动进程和服务

受感染的系统可能在其内存中引入了新进程，建议使用Windows任务管理器或专用的进程列表工具比如PsTools 和 Process Explorer 进行，后者可以从 Sysinternals Web 站点 http://www.sysinternals.com获得，通过它们不仅可以查看图像文件的路径，而且还能看见过程树。

分析本地注册表

由于完成的系统注册表是大型的复杂数据存储，因此在完成攻击恢复进程后创建整个系统注册表的副本以进行详细分析将很有好处。

所有Windows版本包含的备份实用程序可用于备份和恢复整个注册表。如果已经使用备份定期备份硬盘，则可以轻松地在这些备份中包含注册表。要使用备份应用程序备份注册表，请在选择要包含在备份集中的驱动器、文件和文件夹时选择“系统状态”。

检查恶意软件和损坏的文件

大多数恶意软件将修改计算机硬盘上的一个或多个文件，而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统，就可以将受感染的系统直接与通过该映像创建的全新系统进行比较。

如果该选项不可用，则另一个确定哪些文件已被更改的方法是对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索，可以使用Windows搜索工具进行搜索。

检查用户和组

某些恶意软件攻击将尝试评估系统上现有用户的特权，或在拥有管理员特权的组中添加新账户。检查以下这些异常设置:

·旧用户账户和组;

·不适合的用户名;

·包含无效用户成员身份的组;

·无效的用户权限;

·最近提升的任何用户或组账户特权;

·最后，确认所有管理器组成员均有效。

使用本地用户和组，Microsoft管理控制台（MMC）管理单元检查添加到本地管理员组的任何异常设置，还应检查本地计算机的安全日志中是否存在任何异常条目。例如，“账户管理”类别条目（如事件636）指示已将新成员添加到本地组。这些日志还将为您提供更改发生的日期和时间。

如果检查的系统是Windows服务器，则还应使用Active Directory用户和组MMC管理单元检查域组成员关系。

检查共享文件夹及打开的网络端

恶意软件的另一个常见症状是使用共享文件夹传播感染，使用计算机管理MMC管理单元，或通过命令行使用NetShare命令检查受感染系统上的共享文件夹的状态。

许多恶意软件攻击尝试削弱已遭破坏的系统，以便将来更容易进行攻击。一个通常使用的技术是打开主机上的网络端口，恶意软件攻击者随后将使用这些端口获取该主机的其他路由。

另外，网络协议分析器工具可用于创建受感染主机传入和传出数据的网络流量日志。网络跟踪文件应保存为信息文件集的一部分，以便能进一步分析。