恶意代码分析ppt课件
合集下载
网络信息安全员(高级)——03恶意代码分析与防护
第3讲
12
携带者对象
如果恶意软件是病毒,它会试图将携带者对象
作为攻击对象(也称为宿主)并感染它。目标携 带者对象的数量和类型随恶意软件的不同而大不 相同
可执行文件 脚本 宏 启动扇区
第3讲
13
传输机制
可移动媒体
网络共享
网络扫描
对等 (P2P) 网络
电子邮件
远程利用
第3讲
负载
后门 数据损坏或删除
信息窃取
拒绝服务 (DoS, DDoS) 系统关闭,带宽充满,网络DoS(如
SYN Flood) 服务中断(如DNS服务)
第3讲
触发机制
手动执行
社会工程
半自动执行
自动执行
定时炸弹 条件
第3讲
防护机制
装甲
这种类型的防护机制使用某种试图
防止对恶意代码进行分析的技术。这 种技术包括检测调试程序何时运行并 试图阻止恶意代码正常工作,或添加 许多无意义的代码,使人很难判断恶 意代码的用途。
第3讲
7
蠕虫
如果恶意代码进行复制,则它不是特洛伊木马,因此为了
更精确地定义恶意软件而要涉及到的下一个问题是:“代码 是否可在没有携带者的情况下进行复制?”即,它是否可以 在无须感染可执行文件的情况下进行复制?如果此问题的答 案为“是”,则此代码被认为是某种类型的蠕虫。 。
大多数蠕虫试图将其自身复制到宿主计算机上,然后使用
网络信息安全管理员
高级网络安全员培训
第三讲 恶意代码分析与防护
第三讲 恶意代码分析与防护
恶意软件概念 深层病毒防护 突发控制恢复
第3讲
第三讲 恶意代码分析与防护
恶意软件概念 深层病毒防护 突发控制恢复
12
携带者对象
如果恶意软件是病毒,它会试图将携带者对象
作为攻击对象(也称为宿主)并感染它。目标携 带者对象的数量和类型随恶意软件的不同而大不 相同
可执行文件 脚本 宏 启动扇区
第3讲
13
传输机制
可移动媒体
网络共享
网络扫描
对等 (P2P) 网络
电子邮件
远程利用
第3讲
负载
后门 数据损坏或删除
信息窃取
拒绝服务 (DoS, DDoS) 系统关闭,带宽充满,网络DoS(如
SYN Flood) 服务中断(如DNS服务)
第3讲
触发机制
手动执行
社会工程
半自动执行
自动执行
定时炸弹 条件
第3讲
防护机制
装甲
这种类型的防护机制使用某种试图
防止对恶意代码进行分析的技术。这 种技术包括检测调试程序何时运行并 试图阻止恶意代码正常工作,或添加 许多无意义的代码,使人很难判断恶 意代码的用途。
第3讲
7
蠕虫
如果恶意代码进行复制,则它不是特洛伊木马,因此为了
更精确地定义恶意软件而要涉及到的下一个问题是:“代码 是否可在没有携带者的情况下进行复制?”即,它是否可以 在无须感染可执行文件的情况下进行复制?如果此问题的答 案为“是”,则此代码被认为是某种类型的蠕虫。 。
大多数蠕虫试图将其自身复制到宿主计算机上,然后使用
网络信息安全管理员
高级网络安全员培训
第三讲 恶意代码分析与防护
第三讲 恶意代码分析与防护
恶意软件概念 深层病毒防护 突发控制恢复
第3讲
第三讲 恶意代码分析与防护
恶意软件概念 深层病毒防护 突发控制恢复
恶意代码PPT演示文稿
手动执行:这种类型的触发机制是指由受害者直接执行 恶意软件
半自动执行:这种类型的触发机制最初由受害者启动, 之后则自动执行
自动执行:这种类型的触发机制根本无须手动执行 定时炸弹:这种类型的触发机制在一段时间之后执行操
作 触发条件:这种类型的触发机制使用某个预先确定的条
件作为触发器来传递其负载
息的负载,它通过提供一种将信息传回恶意软件作恶者的机制窃 取信息 拒绝服务 (DoS):可以传递的一种最简单的负载类型是拒绝服务攻 击 分布式拒绝服务 (DDoS):DDoS 攻击是一种拒绝服务攻击,其中 攻击者使用各种计算机上安装的恶意代码来攻击单个目标
第8页
8
2.2 恶意软件的特征
触发机制:触发机制是恶意软件的一个特征,恶意 软件使用此机制启动复制或负载传递
器、电子表格或数据库应用程序)的宏脚本语言的文 件 启动扇区:计算机磁盘(硬盘和可启动的可移动媒体) 上的特定区域。
此外,有的病毒能同时将文件和启动扇区作为感 染目标和携带者。
第6页
6
2.2 恶意软件的特征
传输机制:攻击可以使用一个或多个不同方法在 计算机系统之间传播和复制。
可移动媒体:计算机病毒和其他恶意软件最初的、并 且可能也是最多产的传送器(至少到当前为止)是文 件传输。
特洛伊木马 :该程序看上去有用或无害,但包含 了旨在利用或损坏运行该程序的系统的隐藏代码;
蠕虫:蠕虫是能够自行传播的恶意代码,它可以 通过网络连接自动将其自身从一台计算机分发到 另一台计算机上。
病毒:病毒将其自身附加到宿主程序,在计算机 之间进行传播。宿主程序执行时,病毒代码也随 之运行,并会感染新的宿主,条件满足时执行恶 意破坏任务。
寡态:此特征的恶意软件使用加密防护机制进行自身防 护,并且可以将加密例程更改为只能使用固定的次数 (通常数目很小)。
半自动执行:这种类型的触发机制最初由受害者启动, 之后则自动执行
自动执行:这种类型的触发机制根本无须手动执行 定时炸弹:这种类型的触发机制在一段时间之后执行操
作 触发条件:这种类型的触发机制使用某个预先确定的条
件作为触发器来传递其负载
息的负载,它通过提供一种将信息传回恶意软件作恶者的机制窃 取信息 拒绝服务 (DoS):可以传递的一种最简单的负载类型是拒绝服务攻 击 分布式拒绝服务 (DDoS):DDoS 攻击是一种拒绝服务攻击,其中 攻击者使用各种计算机上安装的恶意代码来攻击单个目标
第8页
8
2.2 恶意软件的特征
触发机制:触发机制是恶意软件的一个特征,恶意 软件使用此机制启动复制或负载传递
器、电子表格或数据库应用程序)的宏脚本语言的文 件 启动扇区:计算机磁盘(硬盘和可启动的可移动媒体) 上的特定区域。
此外,有的病毒能同时将文件和启动扇区作为感 染目标和携带者。
第6页
6
2.2 恶意软件的特征
传输机制:攻击可以使用一个或多个不同方法在 计算机系统之间传播和复制。
可移动媒体:计算机病毒和其他恶意软件最初的、并 且可能也是最多产的传送器(至少到当前为止)是文 件传输。
特洛伊木马 :该程序看上去有用或无害,但包含 了旨在利用或损坏运行该程序的系统的隐藏代码;
蠕虫:蠕虫是能够自行传播的恶意代码,它可以 通过网络连接自动将其自身从一台计算机分发到 另一台计算机上。
病毒:病毒将其自身附加到宿主程序,在计算机 之间进行传播。宿主程序执行时,病毒代码也随 之运行,并会感染新的宿主,条件满足时执行恶 意破坏任务。
寡态:此特征的恶意软件使用加密防护机制进行自身防 护,并且可以将加密例程更改为只能使用固定的次数 (通常数目很小)。
恶意代码与计算机病毒的防治ppt课件
潜伏机制的功能包括初始化、隐藏和捕捉。潜伏机制模块随 着感染的宿主程序的执行进入内存,首先,初始化其运行环 境,使病毒相对独立于宿主程序,为传染机制做好准备。然 后,利用各种可能的隐藏方式,躲避各种检测,欺骗系统, 将自己隐蔽起来。最后,不停地捕捉感染目标交给传染机制,
不停地捕捉触发条件交给表现机制。
计算机病毒(简称病毒)具有以下特征:
(1) 传染性
病毒通过各种渠道从已被感染的计算机扩散到未被感染的计 算机。所谓“感染”,就是病毒将自身嵌入到合法程序的指 令序列中,致使执行合法程序的操作会招致病毒程序的共同
执行或以病毒程序的执行取而代之。
(2) 隐蔽性
病毒一般是具有很高编程技巧的、短小精悍的一段代码,躲 在合法程序当中。如果不经过代码分析,病毒程序与正常程
病毒防治不仅是技术问题,更是社会问题、管理问题和教育 问题,应建立和健全相应的国家法律和法规,建立和健全相 应的管理制度和规章,加强和普及相应的知识宣传和培训。
病毒防治软件按其查毒杀毒机制分为病毒扫描型、完整性检 查型和行为封锁型。选购病毒防治软件时,需要注意的指标 包括检测速度、识别率、清除效果、可管理性、操作界面友
有害的。
特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法 软件、色情资料等,上载到电子新闻组或通过电子邮件直接
传播,很容易被不知情的用户接收和继续传播。
(2) 逻辑炸弹
逻辑炸弹(Logic bomb)是一段具有破坏性的代码,事先 预置于较大的程序中,等待某扳机事件发生触发其破坏行为。 一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、
第14章 恶意代码与计算机
14.1 恶意代码 14.2 计算机病毒 14.3 防治措施 14.4 本章小结
习题
不停地捕捉触发条件交给表现机制。
计算机病毒(简称病毒)具有以下特征:
(1) 传染性
病毒通过各种渠道从已被感染的计算机扩散到未被感染的计 算机。所谓“感染”,就是病毒将自身嵌入到合法程序的指 令序列中,致使执行合法程序的操作会招致病毒程序的共同
执行或以病毒程序的执行取而代之。
(2) 隐蔽性
病毒一般是具有很高编程技巧的、短小精悍的一段代码,躲 在合法程序当中。如果不经过代码分析,病毒程序与正常程
病毒防治不仅是技术问题,更是社会问题、管理问题和教育 问题,应建立和健全相应的国家法律和法规,建立和健全相 应的管理制度和规章,加强和普及相应的知识宣传和培训。
病毒防治软件按其查毒杀毒机制分为病毒扫描型、完整性检 查型和行为封锁型。选购病毒防治软件时,需要注意的指标 包括检测速度、识别率、清除效果、可管理性、操作界面友
有害的。
特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法 软件、色情资料等,上载到电子新闻组或通过电子邮件直接
传播,很容易被不知情的用户接收和继续传播。
(2) 逻辑炸弹
逻辑炸弹(Logic bomb)是一段具有破坏性的代码,事先 预置于较大的程序中,等待某扳机事件发生触发其破坏行为。 一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、
第14章 恶意代码与计算机
14.1 恶意代码 14.2 计算机病毒 14.3 防治措施 14.4 本章小结
习题
网页恶意代码实验PPT课件
人:XXXX 日期:20XX年XX月XX日
5
代码输入一个文本文件后,把这个文件改 名为.html文件,使用IE浏览即可。
• 使用任务管理器的“结束任务”选项强行
关闭。
2020/10/13
4
谢谢您的指导
THANK YOU FOR YOUR GUIDANCE.
感谢阅读!为了方便学习和使用,本文档的内容可以在下载后随意修改,调整和打印。欢迎下载!
并保存为文本文件。
• 将文本文件改名为“default.ASP”文件。 • 运行IIS,发布default.asp文件,观察c盘是
否有多余的文件,并且文件长度是零?
2020/10/13
3
2、禁止关闭网页的恶意代码.txt
• 本次试验使用微软的IE浏览器效果更好。 • 将“禁止关闭网页的恶意代码.txt”文件中的
1、网页恶意代码实验
2020/10/13
1
恶意网页代码示例
本实验是当你在代开这个网页的时候,会在c: 盘自动的建立一个垃圾文件,如果失败,请选 择c:盘的属性-安全,在everyone帐户中选择
“完全控制”,这样就可以在c盘写入。
2020/10/13
2
• 先检查c:盘的属性,要求能有写的属性。 • 输入将“网页病毒实验代码.txt” 的内容,
5
代码输入一个文本文件后,把这个文件改 名为.html文件,使用IE浏览即可。
• 使用任务管理器的“结束任务”选项强行
关闭。
2020/10/13
4
谢谢您的指导
THANK YOU FOR YOUR GUIDANCE.
感谢阅读!为了方便学习和使用,本文档的内容可以在下载后随意修改,调整和打印。欢迎下载!
并保存为文本文件。
• 将文本文件改名为“default.ASP”文件。 • 运行IIS,发布default.asp文件,观察c盘是
否有多余的文件,并且文件长度是零?
2020/10/13
3
2、禁止关闭网页的恶意代码.txt
• 本次试验使用微软的IE浏览器效果更好。 • 将“禁止关闭网页的恶意代码.txt”文件中的
1、网页恶意代码实验
2020/10/13
1
恶意网页代码示例
本实验是当你在代开这个网页的时候,会在c: 盘自动的建立一个垃圾文件,如果失败,请选 择c:盘的属性-安全,在everyone帐户中选择
“完全控制”,这样就可以在c盘写入。
2020/10/13
2
• 先检查c:盘的属性,要求能有写的属性。 • 输入将“网页病毒实验代码.txt” 的内容,
《恶意代码分析》课件
简介
恶意代码是指具有破坏、非法获取信息等恶意目的的计算机程序。了解恶意 代码的定义、意义以及分类可以帮助我们更好地进行恶意代码分析。
恶意代码分析流程
1
收集样本
获取恶意代码样本是分析的起点,可以通过手动或自动化的方式进行收集。
2
静态分析
通过分析文件结构、反汇编等方法获取恶意代码的详细信息。
3
动态分析
《恶意代码分析》PPT课件
# 恶意代码分析 PPT课件 ## 简介 - 什么是恶意代码 - 为什么要进行恶意代码分析 - 恶意代码分类介绍 ## 恶意代码分析流程 - 收集样本 - 静态分析 - 文件结构分析 - 反汇编分析 - 动态分析 - 虚拟化环境 - 行为分析 - 网络分析 ## 收集样本 - 手动收集
定期更新操作系统和软件补丁,加强系统和应 用的安全性。
防火墙
配置强大的防火墙,阻止未经授权的访问,减 少恶意代码的传播。
安全教育
提高员工和用户的安全意识,培养正确的网络 安全防范习惯。
总结
恶意代码分析的重要性
了解恶意代码的分析方法,有 助于提前发现和防范潜在的安 全威胁。
分析方法的优缺点
静态分析可快速检测已知恶意 代码,动态分析适用于未知恶 意代码。
动态分析方法
虚拟化环境
在虚拟机或沙箱中运行恶意代 码,观察其行为。
行为分析
通过监控恶意代码的进程和文 件系统活动,分析其具体行为。
网络分析
通过分析恶意代码的网络流量 和DNS查询,了解其通信行为 和可能的远程命令。
恶意代码防范
杀毒软件
安装可靠的杀毒软件,及时更新病毒库以提高 恶意代码的检测率。
安全加固
签名识别
通过对恶意代码的特 征进行匹配,使用已 知的病毒库进行签名 识别。
《恶意代码》课件
实际案例分析
WannaCry勒索软件
WannaCry勒索软件于2017年肆虐全球,通过利用系统漏洞进行传播,并勒索用户的数据。
NotPetya病毒攻击
NotPetya病毒于2017年造成了广泛的破坏,瘫痪了许多企业和机构的计算机系统。
Mirai僵尸网络攻击
Mirai僵尸网络攻击于2016年发生,通过攻击物联网设备形成大规模的攻击力。
恶意代码的传播途径
恶意代码可以通过电子邮件、网络下载、恶意 链接等多种途径传播。
恶意代码的种类
恶意代码的种类多种多样,包括病毒、蠕虫、 木马、间谍软件等。
恶意代码的危害
恶意代码可能导致数据丢失、系统崩溃、个人 隐私泄露等严重后果。
常见恶意代码
病毒
病毒是一种可以自我复制和传播的恶意代码,可以 通过感染文件、网络或外部存储设备传播。
蠕虫
蠕虫是一种能够自动复制和传播的恶意代码,可以 通过网络和系统漏洞进行传播。
木马
木马是一种表面上看起来无害的程序,但实际上会 在用户不知情的情况下执行恶意操作。
间谍软件
间谍软件是一种能够搜集用户个人信息并发送给攻 击者的恶意代码。
恶意代码的防范措施
1 安装杀毒软件
及时安装并定期更新杀毒 软件是防范恶意代码的基 本措施。
总结
恶意代码的威胁
恶意代码对个人和组织的信息安全和网络安全构成了严重威胁。
增强网络安全意识的必要性
加强网络安全教育,提高用户和企业的安全意识,是防范恶意代码的重要手段。
恶意代码防范的重要性
采取有效的恶意代码防范措施,可以避免数据损失、系统崩溃和个人隐私泄露。
《恶意代码》PPT课件
在这个《恶意代码》PPT课件中,我们将介绍恶意代码的概念、种类、传播途 径和危害,以及常见恶意代码如病毒、蠕虫、木马和间谍软件的特点和危害。 我们还会讨论恶意代码的防范措施和一些实际案例分析。
恶意代码检测与防范技术ppt课件
恶意代码刚出现时发展较慢,但是随着网络飞速发展,Internet 成为恶意代码发布并快速蔓延的平台。特别是过去5 年,不断涌现的 恶意代码,证实了这一点。 3)从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码
恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文 件引起的。然而,在过去5 年,利用系统和网络的脆弱性进行传播和 感染开创了恶意代码的新纪元。
火灾袭来时要迅速疏散逃生,不可蜂 拥而出 或留恋 财物, 要当机 立断, 披上浸 湿的衣 服或裹 上湿毛 毯、湿 被褥勇 敢地冲 出去
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事物 都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取 决于使用工具的人。
指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。
潜伏、传染和 破坏
扫描、攻击和扩 散
欺骗、隐蔽和信 息窃取 潜伏和破坏 Nhomakorabea病菌
指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。
用户级RootKit
指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。
意代码入侵的途径很多,比如,从互联网下载的程序本身就可能含有恶 意代码;接收已感染恶意代码的电子邮件;从光盘或软盘往系统上安装 软件;黑客或攻击者故意将恶意代码植入系统等。
② 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者
进程的合法权限才能完成。
③ 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
恶意代码的早期,大多数攻击行为是由病毒和受感染的可执行文 件引起的。然而,在过去5 年,利用系统和网络的脆弱性进行传播和 感染开创了恶意代码的新纪元。
火灾袭来时要迅速疏散逃生,不可蜂 拥而出 或留恋 财物, 要当机 立断, 披上浸 湿的衣 服或裹 上湿毛 毯、湿 被褥勇 敢地冲 出去
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码,可以被执行完成特定功能。任何事物 都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取 决于使用工具的人。
指一段嵌入计算机系统程序的,通过特殊的数据或时间作为 条件触发,试图完成一定破坏功能的程序。
潜伏、传染和 破坏
扫描、攻击和扩 散
欺骗、隐蔽和信 息窃取 潜伏和破坏 Nhomakorabea病菌
指不依赖于系统软件,能够自我复制和传播,以消耗系统资 源为目的的程序。
用户级RootKit
指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统,从而实现隐藏和创建后门的程序。
意代码入侵的途径很多,比如,从互联网下载的程序本身就可能含有恶 意代码;接收已感染恶意代码的电子邮件;从光盘或软盘往系统上安装 软件;黑客或攻击者故意将恶意代码植入系统等。
② 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者
进程的合法权限才能完成。
③ 隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
信息安全概论-12 恶意代码
7
12.1.4恶意代码攻击技术
• 恶意代码通常都是利用系统或者程序的漏 洞来进行攻出的,比较重要的几种攻击技 术有:
• (1)代码注入技术 • (2)缓冲区溢出攻击技术 • (3)三线程技术 • (4)端口复用技术 • (5)端口反向连接技术
8
12.1.5恶意代码生存技术
• 恶意代码的生存技术,主要有以下几点: • (1)反跟踪技术 • 1)反静态跟踪技术。 • 2)反动态跟踪技术。
15
• 病毒检测技术
• 理想地解决病毒攻击的方法是对病毒进行预防,即 在第一时间阻止病毒进入系统。尽管预防可以降低
病毒攻击成功的概率,但一般说来,上面的目标是
不可能实现的。因此,实际应用中主要采取检测、
鉴别和清除的方法。
• 检测:一旦系统被感染,就立即断定病毒的存在并 对其进行定位。
• 鉴别:对病毒进行检测后,辨别该病毒的类型。
18
• 用木马这种工具控制其它计算机系统,从 过程上看大致可分为六步:
• 第一步,配置木马 • 第二步,传播木马 • 第三步,运行木马 • 第四步,信息收集与反馈 • 第五步,建立连接 • 第六步,远程控制
19
• 木马常用技术 • 现代木马采用了很多先进的技术,以提高自身隐藏
能力和生存能力。这些技术包括进程注入技术、三 线程技术、端口复用技术、超级管理技术、端口反 向连接技术等。 • 1)进程注入技术 • 2)三线程技术 • 3)端口复用技术 • 4)超级管理技术 • 5)端口反向连接技术
6
12.1.3恶意代码攻击流程
• 恶意代码种类繁多,不同的恶意代码表现形 式、攻击原理也不一样,但是其基本攻击流 程是一样的,恶意代码从产生到完成一次完 整的入侵过程需要经历4个阶段,包括:
12.1.4恶意代码攻击技术
• 恶意代码通常都是利用系统或者程序的漏 洞来进行攻出的,比较重要的几种攻击技 术有:
• (1)代码注入技术 • (2)缓冲区溢出攻击技术 • (3)三线程技术 • (4)端口复用技术 • (5)端口反向连接技术
8
12.1.5恶意代码生存技术
• 恶意代码的生存技术,主要有以下几点: • (1)反跟踪技术 • 1)反静态跟踪技术。 • 2)反动态跟踪技术。
15
• 病毒检测技术
• 理想地解决病毒攻击的方法是对病毒进行预防,即 在第一时间阻止病毒进入系统。尽管预防可以降低
病毒攻击成功的概率,但一般说来,上面的目标是
不可能实现的。因此,实际应用中主要采取检测、
鉴别和清除的方法。
• 检测:一旦系统被感染,就立即断定病毒的存在并 对其进行定位。
• 鉴别:对病毒进行检测后,辨别该病毒的类型。
18
• 用木马这种工具控制其它计算机系统,从 过程上看大致可分为六步:
• 第一步,配置木马 • 第二步,传播木马 • 第三步,运行木马 • 第四步,信息收集与反馈 • 第五步,建立连接 • 第六步,远程控制
19
• 木马常用技术 • 现代木马采用了很多先进的技术,以提高自身隐藏
能力和生存能力。这些技术包括进程注入技术、三 线程技术、端口复用技术、超级管理技术、端口反 向连接技术等。 • 1)进程注入技术 • 2)三线程技术 • 3)端口复用技术 • 4)超级管理技术 • 5)端口反向连接技术
6
12.1.3恶意代码攻击流程
• 恶意代码种类繁多,不同的恶意代码表现形 式、攻击原理也不一样,但是其基本攻击流 程是一样的,恶意代码从产生到完成一次完 整的入侵过程需要经历4个阶段,包括:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
二、深层防护安全模型 在发现并记录了组织所面临的风险后, 下一步就是检查和组织将用来提供防病毒 解决方案的防护措施。深层防护安全模型 是此过程的极好起点。此模型识别出七级 安全防护,它们旨在确保损害组织安全的 尝试将遇到一组强大的防护措施。每组防 护措施都能够阻挡多种不同级别的攻击。 图所示为深层防护安全模型定义的各层。
十、 检查和导出系统事件日志
可以使用 Windows 系统事件日志识别 各种异常行为。使用事件查看器管理控制 台将每种类型的事件日志文件(应用程序、 安全和系统)保存到可移动媒体,以便进 一步分析。默认情况下,这些文件存储在 C:\Winnt\System32\Config\ 目录中,并分 别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而,当系统处于活动状 态时,这些文件将被锁定,因此应使用事 件查看器管理工具导出。
恶意软件攻击用于放置和修改文 件的某些常见目标区域包括:
%Windir%。 %System%。 %Temp%。 %Temporary Internet Files%。
六、检查用户和组
某些恶意软件攻击将尝试评估系统上 现有用户的特权,或在拥有管理员特权的 组中添加新新帐户。检查以下异常设置: 旧用户帐户和组。 不适合的用户名。 包含无效用户成员身份的组。 无效的用户权限。 最近提升的任何用户或组帐户的特权。 确认所有管理器组成员均有效。
§2 恶意软件分析
对恶意软件进行分析,了解其工作方式可以 确保系统已被清理干净并减少再次感染和攻击的 可能性。 一、 检查活动进程和服务 二、 检查启动文件夹 恶意软件可以尝试通过修改系统的启动文件 夹来自行启动。检查每个启动文件夹中的条目, 以确保在系统启动过程中没有恶意软件尝试启动。
三、检查计划的应用程序 恶意软件还可能(但很少见)尝试使用 Windows 计划程序服务启动未授权的应用 程序。
– 5、触发机制 触发机制是恶意软件的一个特征, 恶意软件使用此机制启动复制或负载传递。 典型的触发机制包括以下内容: (1)手动执行。 (2)社会工程。 (3)半自动执行。 (4)自动执行。 (5)定时炸弹。 (6)条件。
– 6、防护机制
许多恶意软件示例使用某种类型的 防护机制,来降低被发现和删除的可能性。 以下列表提供了一些已被使用的技术的示 例: (1)装甲。 (2)窃取 (3)加密。 (4)寡态。 (5)多态。
2、启发式扫描 此技术通过查找通用的恶意软件 特征,来尝试检测新形式和已知形式 的恶意软件。此技术的主要优点是, 它并不依赖于签名文件来识别和应对 恶意软件。
启发式扫描的问题: (1)错误警报。 (2)慢速扫描。 (3)新特征可能被遗漏。 3、行为阻止 着重于恶意软件攻击的行为,而 不是代码本身。
三、防病毒软件原理 防病毒软件专门用于防护系统, 使其免受来自任何形式的恶意软件 (而不仅仅是病毒)的侵害。防病毒 软件可以使用许多技术来检测恶意软 件。其技术工作原理包括:
1、签名扫描 搜索目标来查找表示恶意软件的模式。 这些模式通常存储在被称为“签名文件” 的文件中,签名文件由软件供应商定期更 新,以确保防病毒扫描器能够尽可能多地 识别已知的恶意软件攻击。 主要问题:防病毒软件必须已更新为 应对恶意软件。
3、检查常用的隐藏区域 某些恶意软件攻击已经使用了有效的 系统文件名,但将该文件置于其他文件夹 中,以免被 Windows 文件保护服务检测到。 例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%\System32 文件夹中并在该文 件夹中受到保护。直接在 %WINDIR% 文 件夹中创建同名文件的恶意软件示例已被 看到,因此必须检查完整路径和文件名。
恶意代码分析教学
§1 恶意软件
一、 什么是恶意软件
“恶意软件” 指故意在计算机系统上 执行恶意任务的病毒、蠕虫和特洛伊木马。 1、特洛伊木马 (1)远程访问特洛伊 (2)Rootkit 2、蠕虫 3、病毒
二 、恶意软件的特征
– 1、目标环境 (1)设备。 (2)操作系统。 (3)应用程序。 – 2、携带者对象 (1)可执行文件。 (2)脚本。 (3)宏。 (4)启动扇区。
ห้องสมุดไป่ตู้
– 3、传输机制
(1)可移动媒体。 (2)网络共享。 (3)网络扫描。 (4)对等 (P2P) 网络。 (5)电子邮件。 (6)远程利用。
– 4、负载
一旦恶意软件通过传输到达了宿主计 算机,它通常会执行一个称为“负载”的 操作,负载可以采用许多形式。常见负载 类型包括: (1)后门。 (2)数据损坏或删除。 (3)信息窃取。 (4)拒绝服务 (DoS)
四、分析本地注册表 备份和恢复注册表。成功备份注册表后, 在以下区域中检查任何异常的文件引用。 (参见书上示例)
五、 检查恶意软件和损坏的文件 1、对比 大多数恶意软件将修改计算机硬盘上的一 个或多个文件,而查找已受到影响的文件可能 是一个很困难的过程。如果通过映像创建了系 统,则可以将受到感染的系统直接与通过该映 像创建的全新系统进行比较。 2、搜索 可以使用 Windows 搜索工具,对自从恶 意软件首次引入系统时更改的所有文件进行系 统范围的搜索,以确定哪些文件已被更改。
§3 深层恶意代码防护
许多组织在安装了防病毒软件后 仍然感染了病毒。与网络安全设计一 样,设计防病毒解决方案时采用深层 防护方法,了解防护模型的每个层以 及对应于每个层的特定威胁,以便在 实施自己的防病毒措施时使用此信息, 确保在设计时采用的安全措施将得到 可能的维护。
一、恶意软件的威胁方法 恶意软件可以通过许多方法来损害目标, 下面是最容易受到恶意软件攻击的区域: • 外部网络 • 来宾客户端 • 可执行文件 • 文档 • 电子邮件 • 可移动媒体
• • • • • •
七、检查共享文件夹 恶意软件的另一个常见症状是使用共享文件夹传 播感染。使用计算机管理 MMC 管理单元,或通过命 令行使用 NetShare 命令检查受感染系统上的共享文 件夹的状态。 八、 检查打开的网络端口 许多恶意软件一个常使用的技术是打开主机上的 网络端口,使用这些端口获取该主机的访问。 Netstat -an 九、 使用网络协议分析器 网络协议分析器工具可用于创建受感染主机传入 和传出的数据的网络流量日志。