《病毒处理技术》PPT课件

《《病毒处理技术》PPT课件》由会员分享，可在线阅读，更多相关《《病毒处理技术》PPT课件（91页珍藏版）》请在金锄头文库上搜索。

1、病毒处理技术Martin ChenDate: 11/30/2007掌握反病毒知识掌握反病毒知识熟悉反病毒工具的使用熟悉反病毒工具的使用培养现场反病毒应急响应能力培养现场反病毒应急响应能力课程目标1.病毒概述1.1.1 当前面临的威胁2.1.2 计算机病毒的分类3.1.3 当前病毒流行的趋势2.常见病毒类型说明及行为分析1.2.1 常见病毒传播途径2.2.2 病毒自启动方式3.2.3 常见病毒行为培训课程安排3.病毒处理技术3.1 趋势防病毒产品工作机制介绍3.2 病毒问题标准处理流程3.3 常用的病毒处理方法3.4 常用工具介绍4.典型病毒案例分析培训课程安排病毒概述1. 病毒概述1.病毒概述

2、1.1.1 当前用户面临的威胁2.1.2 计算机病毒的分类3.1.3 当前病毒流行趋势2.常见病毒类型说明及行为分析2.1 常见病毒传播途径2.2 病毒自启动方式2.3 常见病毒行为课程进度1.1 当前用户面临的威胁随着互联网的发展，我们的企业和个人用户随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面在享受网络带来的快捷和商机的同时，也面临无时不在的威胁：临无时不在的威胁：病毒 PE蠕虫 WORM木马 TROJ后门 BKDR间谍软件 TSPY其他以上统称为恶意代码。以上统称为恶意代码。1.1 当前用户面临的威胁ThreatsSpamMalwareGraywareVi

3、rusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojan SpywareDownloadersDroppersPassword StealersBackdoors防间谍软件产品覆盖范围防间谍软件产品覆盖范围防病毒产品覆盖范围防病毒产品覆盖范围 1.2 现代计算机病毒的分类病毒病毒特洛伊木马特洛伊木马后门后门木马木马蠕虫蠕虫恶意软件恶意软件间谍软件间谍软件 (有恶意行为有恶意行为) 间谍软件间谍软件(无恶意行为无恶意行为) 灰色软件（正邪难辨）灰色软件（正邪难辨） (往往是用户不需要的程序)恶意程序：恶意程序：一种会带来危害结果的程序一种会

4、带来危害结果的程序特洛伊木马：特洛伊木马：一种会在主机上未经授权就自一种会在主机上未经授权就自己执行的恶意程序己执行的恶意程序 后门木马：后门木马：一种会在主机上开放端口让一种会在主机上开放端口让远程计算机远程访问的恶意远程计算机远程访问的恶意程序程序 1.2 现代计算机病毒的分类病毒病毒特洛伊木马特洛伊木马后门后门木马木马蠕虫蠕虫恶意软件恶意软件间谍软件间谍软件 (有恶意行为有恶意行为) 间谍软件间谍软件(无恶意行为无恶意行为) 灰色软件（正邪难辨）灰色软件（正邪难辨） (往往是用户不需要的程序)病毒：病毒：病毒会复制（感染）其它文件通过病毒会复制（感染）其它文件通过各种方法各种方法A.前附

5、着前附着B.插入插入C. 覆盖覆盖D. 后附着后附着蠕虫蠕虫:蠕虫自动传播自身的副本到其他计算机：蠕虫自动传播自身的副本到其他计算机：A.通过邮件（邮件蠕虫）通过邮件（邮件蠕虫）B.通过点对点软件通过点对点软件 (点对点蠕虫点对点蠕虫)C.通过通过IRC (IRC 蠕虫蠕虫)D.通过网络通过网络 (网络蠕虫网络蠕虫) 1.2 现代计算机病毒的分类病毒病毒特洛伊木马特洛伊木马后门后门木马木马蠕虫蠕虫恶意软件恶意软件间谍软件间谍软件 (有恶意行为有恶意行为) 间谍软件间谍软件(无恶意行为无恶意行为) 灰色软件（正邪难辨）灰色软件（正邪难辨） (往往是用户不需要的程序)间谍软件：间谍软件： 此类软件

6、会监测用户的使用习惯和个此类软件会监测用户的使用习惯和个人信息，并且会将这些信息在未经用人信息，并且会将这些信息在未经用户的认知和许可下发送给第三方。包户的认知和许可下发送给第三方。包括键盘纪录，事件日志，括键盘纪录，事件日志，cookies，屏幕信息等，或者是上面所列的信息屏幕信息等，或者是上面所列的信息的组合。的组合。对系统的影响表现为系统运行速度下对系统的影响表现为系统运行速度下降，系统变得不稳定，甚至当机。降，系统变得不稳定，甚至当机。恶意的间谍软件灰色软件(无恶意的间谍软件)来源病毒制造者，黑客一些合法的软件开发程序员是否被视为恶意程序？肯定是不确定，依赖于用户的看法检测此类程序是否

7、会带来法务上的问题？否是 Pattern 文件格式LPT$VPN.xxxTMAPTN.PTN检测与否默认开启默认关闭，用户必须手动开启默认关闭，用户必须手动开启恶意程序恶意程序灰色地带灰色地带间谍软件间谍软件不同种类的间谍软件1.3 当前病毒流行趋势 范围：全球性爆发逐渐转变为地域性爆发 如等病毒逐渐减少 TSPY_QQPASS, TSPY_WOW, PE_LOOKED等病毒逐渐增加 速度：越来接近零日攻击(Zero-Day Attack) 如WORM_ZOTOB, WORM_IRCBOT等 方式：病毒、蠕虫、木马、间谍软件联合 如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_L

8、INAGE病毒 常见病毒类型说明及行为分析2. 常见病毒类型说明及行为分析1.病毒概述1.1.1 当前用户面临的威胁2.1.2 计算机病毒的分类3.1.3 当前病毒流行趋势2.常见病毒类型说明及行为分析2.1 常见病毒传播途径2.2 病毒自启动方式2.3 常见病毒行为课程进度木马病毒： 后门程序： 蠕虫病毒： 间谍软件： 广告软件： 文件型病毒： 引导区病毒：目前世界上仅存的一种引导区病毒 POLYBOOT-B趋势科技对恶意程序的分类病毒感染系统时，感染的过程大致可以分为：通过某种途径传播，进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能如： 打开后门等待连接 发

9、起DDOS攻击 进行键盘记录 2 病毒感染的一般方式 除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。对于不同类型的病毒，它们传播、感染系统的方法也有所不同。2.1 常见病毒传播途径2.1 常见病毒传播途径传播方式主要有： 电子邮件 网络共享 P2P 共享 系统漏洞 移动磁盘传播2.1 常见病毒传播途径 电子邮件电子邮件HTML正文可能被嵌入恶意脚本，邮件附件携带病毒压缩文件利用社会工程学进行伪装，增大病毒传播机会快捷传播特性例：WORM_MYTOB，WORM_STRATION等病毒2.1 常见病毒传播途径 网络共享网络共享 病毒会搜索本地网络中

10、存在的共享，包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测，获得完全访问权限 病毒自带口令猜测列表将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名例：WORM_SDBOT 等病毒2.1 常见病毒传播途径 P2PP2P共享软件共享软件将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名通过P2P软件共享给网络用户利用社会工程学进行伪装，诱使用户下载例：等病毒2.1 常见病毒传播途径 系统漏洞系统漏洞由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞. 病毒往往利用系统漏洞进入系统

11、, 达到传播的目的。常被利用的漏洞RPC-DCOM 缓冲区溢出 (MS03-026)Web DAV (MS03-007)LSASS (MS04-011) (Local Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒2.1 常见病毒传播途径其他常见病毒感染途径： 网页感染 与正常软件捆绑 用户直接运行病毒程序 由其他恶意程序释放 目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。 广告软件/灰色软件 由于广告软件/灰色软件的定义，它们有时候是由用户主动安装，更多的是与其他正常软件

12、进行绑定。2.1 常见病毒传播途径及时更新系统和应用软件补丁，修补漏洞强化密码设置的安全策略，增加密码强度加强网络共享的管理增强员工的病毒防范意识2.1 防止病毒入侵针对病毒传播渠道，趋势科技产品应用利用OfficeScan的爆发阻止功能，阻断病毒通过共享和漏洞传播2.1 防止病毒入侵 自启动特性 除引导区病毒外，绝大多数病毒感染系统后，都具有自启动特性。 病毒在系统中的行为是基于病毒在系统中运行的基础上的，这就决定了病毒必然要通过对系统的修改，实现开机后自动加载的功能。2.2 病毒自启动方式q修改注册表q将自身添加为服务q将自身添加到启动文件夹q修改系统配置文件加载方式q服务和进程病毒程序直

13、接运行q嵌入系统正常进程DLL文件和OCX文件等q驱动SYS文件u 修改注册表注册表启动项注册表启动项文件关联项文件关联项系统服务项系统服务项BHO项项其他其他2.2 病毒自启动方式注册表启动HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices RunServicesOnce Run RunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下： Run RunOnce RunServices以上这些键一般用于在系统启动时执行特定程序2.2

14、病毒自启动方式文件关联项HKEY_CLASSES_ROOT下：exefileshellopencommand =%1 %*comfileshellopencommand =%1 %*batfileshellopencommand =%1 %*htafileShellOpenCommand =%1 %*piffileshellopencommand =%1 %*“病毒将%1 %*改为 “ %1 %*将在打开或运行相应类型的文件时被执行2.2 病毒自启动方式u 修改配置文件%windows% 中Rename节 NUL= 将设置为NUL,表示让windows在将 运行后删除.中的windows节 l

15、oad = run = 这两个变量用于自动启动程序。 中的boot节 Shell = Shell变量指出了要在系统启动时执行的程序列表。2.2 病毒自启动方式病毒常修改的Bat文件%windows% 该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。Autoexec.bat 在DOS下每次自启动2.2 病毒自启动方式u 修改启动文件夹当前用户的启动文件夹 可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项公共的启动文件夹 可以通过如下

16、注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。2.2 病毒自启动方式 病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。 2.3 常见病毒行为无论病毒在系统表现形式如何我们需要关注的是病毒的隐性行为！我们需要关注的是病毒的隐性行为！ 下载特性 很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。后门特性 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。下载与后门特性下载与后门特性-Downloader & Backdoor 信息收集特性 大多数间谍软