《防諜三部曲》1.早期偵測，降低傷害

處理間諜程式，首先應該要先確定目前電腦遭到間諜程式潛伏的狀況。在個人端或家用電腦上，我們固然可以安裝知名品牌的單機反間諜軟體，掃描本機電腦；在企業端為數眾多的員工電腦，要快速大量部署這些軟體，恐怕會造成一些問題，因此可能需要其他迂迴的方式調查間諜程式的分布，從分析異常網路流量的原因，進而定位到可疑的電腦，會是一個比較可行的方式。

防諜首部曲－從網路流量觀察危害
如果你懷疑公司的員工電腦已經遭到間諜程式植入，例如經常接到他們抱怨電腦或網路突然變慢、或是有廣告視窗阻礙操作，我們可以透過一些企業解決方案來監控間諜程式活動，以Websense為例，它可以監視網路進出的流量，藉由系統產生的報表，管理者可以發現間諜程式感染程度較嚴重的電腦，再到該部電腦利用反間諜軟體掃描即可。

如果只是想單純偵測，不想節外生枝，組合國際和Webroot網站均提供免費線上掃描服務，可分析目前的威脅等級，但無移除功能，同時也不能設定掃描位置，如需清除，需仰賴專用的移除工具或透過反間諜軟體處理。

達友科技資訊安全顧問林皇興表示，95%的間諜程式都是以HTTP Tunnel方式傳訊到網路，有些透過443埠或IRC、即時通訊，一般防火牆無法看出端倪，因為無法監控到應用層（第7層），無法辨識連線的應用程式與傳輸內容，即使防火牆有大量記錄檔，透過報表工具分析出來的結果，只能獲得一些與主機連線、IP等資訊，很難判斷是否為間諜程式行為。某些入侵防禦系統含有間諜程式資料庫，能協助進一步辨識網路流量。

閘道端網址分類庫能協助偵測
惡意網站是散播間諜程式的主要管道，有些具有網址過濾的閘道端防禦解決方案能涵蓋間諜程式網站，Websense的網址分類庫即包含有害網站處理，安全加值組可再提供惡意、釣魚和詐欺、鍵盤側錄、駭客軟體（即間諜程式）等4類網站。

8e6 R3000的網址分類庫也包含與間諜程式相關的可疑網址，同時能辨識利用即時通訊與P2P通訊弱點連外的間諜程式，假如連線被引導至已知的間諜程式來源，R3000會自動在個人端跳出阻擋的警告頁面，並送出TCP Reset命令取消連線，防止機密或隱私資料外洩。

反間諜軟體偵測最周全
即使你是技術高手，也無法從間諜程式倖免，資安專家大多建議從專屬工具下手，免費的Lavasoft Ad-Aware SE Personal和微軟AntiSpyware都頗受好評。如需更強大的功能，你在臺灣可以透過廠商購買Ad-Aware、Webroot SpySweeper、CA eTrust PestPatrol Anti-Spyware。

反間諜軟體生來就是專門用來對付間諜程式的剋星，可以專心處理各種相關的間諜程式威脅，如同防毒軟體，可提供定期的掃描檔案/資料夾、系統登錄檔、記憶體等，及常駐記憶體的即時掃描。完成掃描後，反間諜軟體會分析攔截到的間諜程式風險等級，或提供線上間諜程式百科全書相關訊息的連結，以協助使用者決定是否移除。

進階的系統與網頁瀏覽器設定還原或保護工具，也是反間諜軟體的特色之一，對付首頁綁架、篡改搜尋引擎與我的最愛等瀏覽器設定。反間諜軟體還能檢視目前IE外掛元件與處理程序狀態，以便及早發現異常。

防毒整合反間諜軟體，提升偵測能力
間諜程式除了洩密、妨礙操作外，有些已經懂得結合病毒大量擴散、自我複製的特性，擴大影響層面，因此今年新版防毒，無不戮力整合更多反間諜軟體勢力。

McAfee率先針對企業版防毒推出反間諜軟體的選購擴充模組，趨勢在OfficeScan 7.0首度推出針對企業環境的反間諜軟體強化處理能力，而賽門鐵克Antivirus 10.0和Client Security 3.0也包含更完整的間諜程式偵測與移除處理能力。

Sophos和Kaspersky持不同看法。他們目前只處理惡意的間諜程式，不阻擋廣告程式。但即使Kaspersky不認同特別處理間諜程式的做法，他們仍決定從善如流，下一代防毒介面仍會提供防護間諜程式的選項。文⊙李宗翰