收藏
下载资源

日常病毒分析及处理

上传人:第*** 文档编号:57702426 上传时间:2018-10-24 格式:PPT 页数:70 大小:2.13MB
返回 下载 相关 举报
日常病毒分析及处理_第1页
第1页 / 共70页
日常病毒分析及处理_第2页
第2页 / 共70页
日常病毒分析及处理_第3页
第3页 / 共70页
日常病毒分析及处理_第4页
第4页 / 共70页
日常病毒分析及处理_第5页
第5页 / 共70页
点击查看更多>>
资源描述

《日常病毒分析及处理》由会员分享,可在线阅读,更多相关《日常病毒分析及处理(70页珍藏版)》请在金锄头文库上搜索。

1、日常病毒分析及处理,09年7月4日,目标,掌握反病毒知识 熟悉反病毒工具的使用 培养现场反病毒应急响应能力,课程进度,1.病毒概述1.1 当前面临的威胁1.2 当前病毒流行的趋势 2.病毒感染过程和行为2.1 病毒的传播方式2.2 病毒自启动方式 3.常用的病毒处理方法3.1 疑似病毒现象3.2 进行系统诊断 3.3 病毒清除方法3.4 常用的工具介绍 4.典型的病毒案例分析 5.防病毒现场演练,1.1 当前面临的威胁,随着互联网的发展,我们的企业和个人用户在享受网络带来的快捷和商机的同时,也面临无时不在的威胁: 病毒 PE 蠕虫 WORM 木马 TROJ 后门 BKDR 间谍软件 SPY 其

2、他以上统称为恶意代码。,1.2 当前病毒流行的趋势,范围:全球性, 如WORM_MOFEI.B等病毒速度:越来接近零日攻击,如worm_zotob.a等病毒方式:蠕虫、木马、间谍软件联合,如Lovgate等病毒,课程进度,1.病毒概述1.1 当前面临的威胁1.2 当前病毒流行的趋势 2.病毒感染过程和行为2.1 病毒的传播方式2.2 病毒自启动方式 3.常用的病毒处理方法3.1 疑似病毒现象3.2 进行系统诊断 3.3 病毒清除方法3.4 常用的工具介绍 4.典型的病毒案例分析 5.防病毒现场演练,2.病毒感染的一般过程,病毒感染的一般过程大致分为:通过某种途径传播,进入目标系统 自我复制,并

3、通过修改系统设置实现随系统自启动 激活病毒负载的预定功能,如, 打开后门等待连接,发起DDOS攻击,进行键盘记录等,2.1 病毒的传播方式,传播方式主要有: 电子邮件 网络共享 P2P 共享 系统漏洞,2.1 病毒的传播方式,电子邮件HTML正文可能被嵌入恶意脚本, 邮件附件携带病毒压缩文件 利用社会工程学进行伪装,增大病毒传播机会 快捷传播特性例子,WORM_MYTOB等病毒,2.1 病毒的传播方式,网络共享 病毒会搜索本地网络中存在的共享,如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测,获得完全访问权限病毒自带口令猜测列表 将自身复制到网络共享文件夹中通常以游戏,C

4、DKEY等相关名字命名 利用社会工程学进行伪装,诱使用户执行并感染。例子,WORM_SDBOT 等病毒,2.1 病毒的传播方式,P2P共享软件将自身复制到P2P共享文件夹通常以游戏,CDKEY等相关名字命名 通过P2P软件共享给网络用户 利用社会工程学进行伪装,诱使用户下载例子,WORM_PEERCOPY.A等病毒,2.1 病毒的传播方式,系统漏洞由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞. 病毒往往利用系统漏洞进入系统, 达到传播的目的。 常被利用的漏洞RPC-DCOM 缓冲区溢出 (MS03-026)Web DAV (MS03-007

5、)LSASS (MS04-011)(Local Security Authority Subsystem Service)例子,WORM_MYTOB 、WORM_SDBOT等病毒,2.1 防止病毒入侵,针对病毒传播渠道趋势产品应用 利用防病毒软件阻挡电子邮件中的可执行文件。例如趋势科技的ScanMail产品,2.1 防止病毒入侵,针对病毒传播渠道趋势产品应用 使用OPP阻断病毒通过共享及漏洞传播,2.1 防止病毒入侵,及时更新windows补丁,修补漏洞强化密码设置的安全策略,增加密码强度加强网络共享的管理增强员工病毒防范意识,2.2 病毒自启动方式,修改注册表将自身添加为服务将自身添加到启动

6、文件夹修改系统配置文件其他非常规手法,2.2 病毒自启动方式,注册表启动项 文件关联项 系统服务项 BHO项,2.2 病毒自启动方式,注册表启动 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下: RunServices RunServicesOnce Run RunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下: Run RunOnce RunServices以上这些键一般用于在系统启动时执行特定程序。,2.2 病毒自启动方式,文件关联项 HKEY_C

7、LASSES_ROOT下: exefileshellopencommand =“%1“ %*“ comfileshellopencommand =“%1“ %*“ batfileshellopencommand =“%1“ %*“ htafileShellOpenCommand =“%1“ %*“ piffileshellopencommand =“%1“ %*“ 病毒将“%1 %*“改为 “virus.exe %1 %*“ virus.exe将在打开或运行相应类型的文件时被执行,2.2 病毒自启动方式,病毒常修改的Bat文件%windows%winstart.bat该文件在每次系统启动时执行

8、,只要在该文件中写入欲执行的程序,该程序即可在系统启动时自动执行。Autoexec.bat 在DOS下每次自启动,2.2 病毒自启动方式,启动文件夹启动: 当前用户的启动文件夹可以通过如下注册表键获得:SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项公共的启动文件夹可以通过如下注册表键获得:SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项病毒可以在该文件夹中放入欲执行的程序, 或直接修改其值指向

9、放置有要执行程序的路径。,课程进度,1.病毒概述1.1 当前面临的威胁1.2 当前病毒流行的趋势 2.病毒感染过程和行为2.1 病毒的传播方式2.2 病毒自启动方式 3.常用的病毒处理方法3.1 疑似病毒现象3.2 进行系统诊断 3.3 病毒清除方法3.4 常用的工具介绍 4.典型的病毒案例分析 5.防病毒现场演练,3.1 疑似病毒现象,经常出现系统错误或系统崩溃 系统反应变慢,网络拥塞 陌生进程或服务 可疑的打开端口 可疑的自启动程序 病毒邮件,3.2 进行系统诊断,趋势科技提供SIC 工具(system information collector)进行系统的诊断,并收集系统信息,包括 网络

10、共享 网络连接 注册表自启动项 已注册的系统服务 当前进行列表 引导区信息等其他工具:HijackThis,3.3 病毒清除方法,标识病毒文件和进程中止病毒进程或服务 使用windows自带的任务管理器 使用第三方的进程管理工具,如process explorer或是pstools。,3.3 病毒清除方法,恢复注册表的设定根据病毒修改的具体情况,删除或还原相应的注册表项。您可以从趋势科技网站的以下链接中查找病毒相关的信息: http:/ regedit.exe您可以用以下命令运行:command /c copy %WinDir%regedit.exe | 提示:如果您不确信找到的键值是不是属

11、于该病毒的,您可以写信给趋势科技的技术人员寻求进一步的信息。,3.3 病毒清除方法,恢复系统配置文件的设定 检查 Win.ini 配置文件的 windows 节中的项:如: windowsload= virus.exerun = virus.exe 检查 System.ini 配置文件的 boot 节中的项:如: bootShell=Explorer.exe virus.exe删除病毒相关的部分.,3.4 常用工具介绍,工具: SIC,HijackThis 系统诊断 Process Explorer 分析进程 TCPView 分析网络连接 Regmon,InstallRite 监视注册表 Fi

12、lemon,InstallRite 监视文件系统 WinPE,3.4.1 InstallRite,InstallRite功能:跟踪文件系统的变化 跟踪注册表的变换注:若恶意程序带有RootKit功能,请重启后进入安全模式再分析系统变化(如灰鸽子某些变种)局限性: 解决方法 无法跟踪进程树的变化 Process Explorer 无法跟踪网络连接和端口情况 TCP Viewer,3.4.1 InstallRite 演示,3.4.1 InstallRite 演示,3.4.2 Process Explorer,Process Explorer 功能:用来查看系统中正在运行的进程列表 可以查看有些隐藏

13、的进程 可以查看某个进程的具体信息 可以搜索引用某个dll文件的所有进程动态刷新列表 多用于查看带RootKit功能,进程隐藏,内存驻留的恶意程序,3.4.2 Process Explorer 演示,3.4.3 TCP View,TCP View 功能:查看系统的网络连接信息(远程地址,协议,端口号) 查看系统的网络连接状况(发起连接,已连接,已断开) 查看进程打开的端口动态刷新列表 多用于查看 蠕虫,后门,间谍等恶意程序,3.4.3 TCP View 演示,3.4.4 Regmon,Regmon主要功能:监视系统中注册表的操作:如 注册表的打开,写入,读取,查询,删除,编辑等多用于监视病毒的

14、自启动信息和方式.,3.4.4 Regmon 演示,3.4.5 Filemon,Filemon主要功能:监视文件系统的操作:如 建立文件,打开文件,写文件,读文件,查询文件信息等多用于查找Dropper的主体程序.,3.4.5 Filemon 演示,3.4.6 WinPE,微软在2002年7月22日推出了Windows PreInstallation Environment(简称WinPE)按微软官方对它的定义是:“Windows预安装环境(WinPE)是带有限服务的最小Win32子系统,基于以保护模式运行的Windows XP Professional内核。,3.4.6 WinPE,WinP

15、E可用于清除有些顽固的PE病毒(文件感染型)有时在 Windows环境下, 用杀毒软件无法彻底清除文件感染型病毒或关键系统文件已被病毒损坏或替换.WinPE启动后为干净的系统(无毒)WinPE集成了很多常用的工具,课程进度,1.病毒概述1.1 当前面临的威胁1.2 当前病毒流行的趋势 2.病毒感染过程和行为2.1 病毒的传播方式2.2 病毒自启动方式 3.常用的病毒处理方法3.1 疑似病毒现象3.2 进行系统诊断 3.3 病毒清除方法3.4 常用的工具介绍 4.典型的病毒案例分析 5.防病毒现场演练,4.典型病毒案例分析,案例1:后门:灰鸽子 【BKDR_HUPIGON.G】案例2:木马:传奇木马 【TROJ_LEGMIR.CN】案例3:蠕虫: 【WORM_LOVGATE.AE】,4.1 案例1:灰鸽子 BKDR_HUPIGON.G,灰鸽子的自行安装 在无意中执行了灰鸽子后门程序后, 会在windows目录中释放4个文件:G_SERVER.DLL G_SERVER.EXE 【 copy of itself 】 G_SERVER_HOOK.DLL G_SERVERKEY.DLL 使用了rootkit技术隐藏以上文件,导致用户手工查看时不可见。,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号