恶意代码一般原理及分析简介.
恶意代码一般原理及分析简介.
2.1 病毒的传播方式
• 传播方式主要有:
• • • • 电子邮件 网络共享 P2P 共享 系统漏洞
2.1 病毒的传播方式
电子邮件
• • • • HTML正文可能被嵌入恶意脚本, 邮件附件携带病毒压缩文件 利用社会工程学进行伪装,增大病毒传播机会 快捷传播特性
• 例子,WORM_MYTOB等病毒
• 4.典型的病毒案例分析 • 5.防病毒现场演练
3.1 疑似病毒现象
• • • • • • 经常出现系统错误或系统崩溃 系统反应变慢,网络拥塞 陌生进程或服务 可疑的打开端口 可疑的自启动程序 病毒邮件
3.2 进行系统诊断
• 趋势科技提供SIC 工具
(system information collector)
1.2 当前病毒流行的趋势
范围:全球性, 如WORM_MOFEI.B等病毒
速度:越来接近零日攻击, 如worm_zotob.a等病毒 方式:蠕虫、木马、间谍软件联合, 如Lovgate等病毒
课程进度
• 1.病毒概述
1.1 当前面临的威胁 1.2 当前病毒流行的趋势
• 2.病毒感染过程和行为
2.1 病毒的传播方式 2.2 病毒自启动方式
3.3 病毒清除方法
• 恢复注册表的设定
根据病毒修改的具体情况,删除或还原相应的注册表项。
您可以从趋势科技网站的以下链接中查找病毒相关的信息: /vinfo/virusencyclo/default.asp
工具:注册表编辑器 regedit.exe
恶意代码一般原理及分析简介
目标
• 掌握反病毒知识 • 熟悉反病毒工具的使用 • 培养现场反病毒应急响应能力
课程进度
• 1.病毒概述
网络安全中的恶意代码分析与防范手段
网络安全中的恶意代码分析与防范手段恶意代码是指通过计算机网络对用户或者系统造成危害的一种程序代码,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。
随着网络的普及和应用的广泛,网络安全问题变得愈发突出。
本文将对网络安全中的恶意代码进行分析,并提供相应的防范手段。
一、恶意代码的分析恶意代码的形式多种多样,具有隐蔽性和破坏性。
下面将介绍几种常见的恶意代码及其分析方法。
1. 病毒病毒是一种能够自我复制并传播的恶意代码。
它通常通过文件的共享或者下载、运行来感染目标计算机。
病毒可以对系统文件进行修改、删除或者破坏,导致计算机系统崩溃。
分析病毒需要使用杀毒软件,对潜在的病毒样本进行扫描和分析,从而识别病毒的特征。
2. 蠕虫蠕虫是一种能够自动复制并在网络中传播的恶意代码。
蠕虫可以通过漏洞来感染系统,并在系统中运行。
它们常常通过邮件、用户点击等方式传播。
分析蠕虫需要借助网络监控系统,对网络流量进行监测和分析,从而发现异常的数据包和行为。
3. 木马木马是一种通过伪装成合法程序隐藏在计算机系统中的恶意代码。
它可以远程控制受感染的计算机,进行非法操作,如窃取个人信息、植入其他恶意程序等。
分析木马需要使用流量分析工具,监控计算机与外部的网络连接,识别异常连接和传输的数据包。
4. 间谍软件间谍软件是一种潜伏在计算机中的恶意程序,用于收集用户的个人信息,并将其发送给第三方。
间谍软件通常通过下载和安装一些看似正常的软件而进入系统。
分析间谍软件可以使用反间谍软件进行扫描和识别,同时注意检查系统中的异常行为和网络连接。
二、恶意代码的防范手段针对恶意代码的分析结果,我们需要采取相应的防范措施,并提高网络安全的水平。
以下是几种常用的防范手段。
1. 使用杀毒软件和防火墙杀毒软件和防火墙是防范恶意代码的第一道防线。
及时更新病毒库和漏洞补丁,可以有效阻止恶意代码的感染。
同时,配置合适的防火墙策略,对网络连接和传输进行监控和过滤,保护系统安全。
恶意代码分析技术研究
恶意代码分析技术研究恶意代码(Malware)是指被设计用于非法活动的计算机程序。
它可以以各种方式实现攻击,比如窃取用户数据、破坏系统或网络等。
为保护用户的安全和网络稳定,分析和解决恶意代码问题变得越来越重要。
因此,探索恶意代码分析技术是很必要的。
一、恶意代码分析概述恶意代码分析技术主要是为了确定某种代码是否包含恶意程序,以及为防范和反击恶意攻击提供有效手段。
一般的分析步骤是包括动态和静态两种方法。
静态分析从源代码出发,分析程序的逻辑结构和代码执行路径。
而动态分析则是通过在特定环境下运行代码来获得关键信息,这些信息可被用于判断代码是否恶意。
常见的恶意代码类型有病毒、木马、蠕虫、间谍软件、广告软件等。
病毒是通过源代码的拷贝和传输来完成传播,它会在感染宿主文件后自我扩散;木马则是通过网络攻击或欺骗的手段,将恶意代码植入被害人计算机之中。
随着恶意软件与计算机安全威胁的不断演进,病毒和木马的使用已经十分稀有,取而代之的是更为隐蔽的后门木马;而蠕虫则是利用漏洞和脆弱性,自我复制扩散的网络病毒。
它的特点是具有自我复制能力,而且用于传播的宿主不像病毒只能依靠用户传播。
间谍软件是一种软件程序,通常会在用户不知情的情况下搜集其在线个人信息;而广告软件则是用于在用户计算机上通过充满广告的界面进行广告投放的软件。
二、常见的代码分析方法代码分析是寻找恶意代码的过程。
常见的分析技术包括漏洞利用、文件哈希、动态分析、反编译和还原代码。
漏洞利用:漏洞利用是利用已知或未知的漏洞来攻击特定的程序或系统扫描。
通过识别受影响的代码部分,可以减轻恶意软件的攻击。
文件哈希:在静态分析中,敏感文件的哈希值可以自动生成。
该哈希值可以用于校验特定文件的完整性,并与已知恶意代码相匹配。
它可以快速准确地确定被检测的文件是否为恶意软件,可以节省时间和精力。
动态分析:动态分析是一种可执行文件的网络活动分析,以及单个的二进制代码片段分析的方法。
动态分析通常使用虚拟机,或在虚拟环境中监控重要的系统行为,如文件创建、进程创建、寄存器和内存访问等。
恶意代码检测与分析
恶意代码检测与分析恶意代码是指那些被设计用来对计算机系统或网络进行破坏、入侵或传播的代码。
恶意代码的目的可以是窃取敏感信息、破坏系统功能、操纵系统行为或传播自身。
恶意代码种类繁多,包括病毒、蠕虫、木马、间谍软件、广告软件等。
为了确保计算机系统和网络的安全,恶意代码的检测与分析变得至关重要。
下面将介绍恶意代码检测与分析的方法和技术。
一、恶意代码检测1.病毒扫描病毒扫描是一种最常见的恶意代码检测方法。
它通过对文件和系统进行扫描,寻找已知的病毒特征。
病毒特征是一些已知的病毒代码片段、文件名或行为模式。
如果扫描发现了这些特征,就会认定文件或系统受到感染。
2.行为分析行为分析是一种基于恶意代码的行为模式进行检测的方法。
它监视软件程序的运行过程,分析其行为模式是否符合恶意代码的行为。
例如,如果一个程序试图修改系统文件或窃取用户信息,就可能是恶意代码。
3.网络流量分析恶意代码在传播和执行时通常会通过网络进行通信。
网络流量分析可以通过监视网络通信,检测出异常流量模式或恶意行为。
例如,如果一个计算机在短时间内向大量IP地址发送数据包,就可能是一个僵尸网络的一部分。
二、恶意代码分析恶意代码分析是对恶意代码进行深入分析和理解的过程,目的是找出其行为、特征和传播方式,从而提供有效的防御措施。
1.静态分析静态分析是对恶意代码进行静态扫描,不需要实际运行代码。
静态分析可以通过对代码的反汇编、符号执行和代码模式匹配等技术来获取恶意代码的行为和特征。
2.动态分析动态分析是在虚拟环境中运行恶意代码,并监视其行为模式和系统调用。
动态分析通常通过采集恶意代码的运行数据、行为模式和输入输出参数来分析恶意代码的特征和目的。
3.持续监测总结:恶意代码检测与分析是确保计算机系统和网络安全的重要环节。
通过病毒扫描、行为分析和网络流量分析等方法可以及时检测恶意代码。
静态分析和动态分析可以深入理解恶意代码的行为和特征,从而提供有效的防御措施。
持续监测可以保持对恶意代码的及时识别和应对。
《恶意代码》课件
实际案例分析
WannaCry勒索软件
WannaCry勒索软件于2017年肆虐全球,通过利用系统漏洞进行传播,并勒索用户的数据。
NotPetya病毒攻击
NotPetya病毒于2017年造成了广泛的破坏,瘫痪了许多企业和机构的计算机系统。
Mirai僵尸网络攻击
Mirai僵尸网络攻击于2016年发生,通过攻击物联网设备形成大规模的攻击力。
恶意代码的传播途径
恶意代码可以通过电子邮件、网络下载、恶意 链接等多种途径传播。
恶意代码的种类
恶意代码的种类多种多样,包括病毒、蠕虫、 木马、间谍软件等。
恶意代码的危害
恶意代码可能导致数据丢失、系统崩溃、个人 隐私泄露等严重后果。
常见恶意代码
病毒
病毒是一种可以自我复制和传播的恶意代码,可以 通过感染文件、网络或外部存储设备传播。
蠕虫
蠕虫是一种能够自动复制和传播的恶意代码,可以 通过网络和系统漏洞进行传播。
木马
木马是一种表面上看起来无害的程序,但实际上会 在用户不知情的情况下执行恶意操作。
间谍软件
间谍软件是一种能够搜集用户个人信息并发送给攻 击者的恶意代码。
恶意代码的防范措施
1 安装杀毒软件
及时安装并定期更新杀毒 软件是防范恶意代码的基 本措施。
总结
恶意代码的威胁
恶意代码对个人和组织的信息安全和网络安全构成了严重威胁。
增强网络安全意识的必要性
加强网络安全教育,提高用户和企业的安全意识,是防范恶意代码的重要手段。
恶意代码防范的重要性
采取有效的恶意代码防范措施,可以避免数据损失、系统崩溃和个人隐私泄露。
《恶意代码》PPT课件
在这个《恶意代码》PPT课件中,我们将介绍恶意代码的概念、种类、传播途 径和危害,以及常见恶意代码如病毒、蠕虫、木马和间谍软件的特点和危害。 我们还会讨论恶意代码的防范措施和一些实际案例分析。
网络安全中的恶意代码分析与防范
网络安全中的恶意代码分析与防范随着现代科技的不断进步,网络已经深深地渗透到了人们的生活中,我们已经习惯了几乎所有的活动都可以通过网络来完成。
但是同时也给我们带来了风险,网络安全问题已经成为人们关注的热点问题。
其中最为恶劣的恶意代码攻击,已经成为网络世界中最大的威胁之一。
本文将针对恶意代码的分类、分析与防范策略进行简要探讨。
一、恶意代码的分类1.病毒:病毒是一种利用宿主程序传播自己的恶意代码,其传播过程具有潜伏期,难以被发觉,极为隐蔽。
一旦被感染,病毒代码会在宿主程序中复制并修改原程序,从而控制计算机并操纵计算机运行。
2.蠕虫:蠕虫是一种自我复制和传播的恶意代码,一旦感染就会迅速感染网络中的其他计算机,让网络迅速瘫痪。
3.木马:木马是一种远程控制程序,实际上是一种伪装成正常程序的恶意代码。
一旦安装木马,攻击者就可以利用木马访问受害者计算机,窃取信息并操纵受害者计算机。
4.钓鱼网站:钓鱼网站类似于木马,其目的是骗取受害者的个人信息和银行卡信息等机密数据,让攻击者得到不法利益。
二、恶意代码的分析恶意代码的分析过程主要包括三个环节:取证、反汇编和逆向工程。
取证用于确定代码的来源,反汇编分析程序代码的工作流程,逆向工程通过分析程序的组成结构来获取程序的工作流程和程序的意图。
1.取证:取证的主要任务是收集相关信息,包括文件的版本信息、时间戳以及特征值等,以确定程序的来源。
2.反汇编:反汇编主要用于将二进制代码翻译成汇编代码和源代码,方便分析每个指令的执行过程和功能,在此基础上分析程序代码的工作流程。
3.逆向工程:通过分析程序的组成结构和功能实现原理,了解程序的意图和功能,进而分析如何防范和应对恶意代码攻击。
三、恶意代码的防范策略1.安装防病毒软件:安装专业的防病毒软件,并定期升级程序,以保证对最新恶意代码的防范能力。
同时使用多重防范措施,如防火墙等。
2.网络安全意识培训:加强员工对于网络安全意识的培训,特别是对恶意信息的识别、判断与回避,提高防范恶意攻击行为的警惕性。
恶意代码分析技术:从基础到实践
恶意代码分析技术:从基础到实践作为一个计算机专业的人员,我们需要掌握恶意代码分析技术,才能更好的理解和应对网络安全威胁。
本文将从基础入手,分步骤介绍恶意代码分析技术,并通过实例进行实践。
一、什么是恶意代码恶意代码指的是可以执行恶意行为的计算机程序,例如病毒、木马、蠕虫等。
这些程序往往会窃取用户信息、破坏系统运行、传播自身等,会对用户数据安全和系统稳定性造成威胁。
目前,网络环境复杂多变,恶意代码的攻击手段也越来越高明,所以学习恶意代码分析技术变得尤为重要。
二、恶意代码分析技术基础恶意代码分析技术一般分为静态分析和动态分析两种方法。
1、静态分析静态分析是指在不运行恶意代码的情况下,通过程序的结构和特征展开对代码的分析,包括对其注入代码、使用的库以及网络连接等内容的分析。
静态分析的方法一般包括:(1)逆向工程逆向工程是指将已有代码进行反向分析的过程,通过该过程,可以获得恶意代码的执行路径、系统资源访问和文本内容等信息。
逆向工程有许多工具,例如:IDA Pro、Ollydbg等。
其中IDA Pro是著名的逆向工程工具,它将程序的二进制文件导入到内存中进行分析,可以识别出指令的含义,还可以进行交叉引用、反汇编、反编译等操作。
(2)模拟器模拟器是通过虚拟机来模拟计算机硬件环境,从而运行恶意代码。
由于模拟器是一个独立的环境,所以恶意代码无法对真实环境产生影响。
虚拟机有许多种,比较常见的有VMware、VirtualBox等。
(3)字符串提取字符串提取是指从二进制文件中提取出包含字符串的部分,并进行分析。
通常情况下,恶意代码常包含一些特定字符串,例如服务名称、IP地址、网站等。
字符串提取有许多工具,例如:strings、grep、python等。
2、动态分析动态分析是指在虚拟环境中运行恶意代码,并通过监视程序的行为来进行分析。
动态分析的方法一般包括:(1)调试器调试器是一种可以在程序执行过程中进行单步跟踪、监视寄存器变化和内存变化的工具。
网络安全中的恶意代码分析与防范
网络安全中的恶意代码分析与防范恶意代码(Malware)是指故意编写的、以非法方式获取用户计算机上数据、控制计算机或者传播恶意软件的软件程序或脚本。
随着互联网的发展,恶意代码的数量和种类不断增加,给用户计算机带来了巨大风险。
因此,对于网络安全中的恶意代码分析与防范成为了一个重要的议题。
一、恶意代码的类型恶意代码的类型繁多,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。
这些恶意代码以不同的方式侵入到用户计算机中,对用户的信息和系统安全构成威胁。
1.病毒(Virus):病毒是一种能够通过自我复制和植入到其他可执行文件中来传播的恶意代码。
病毒可以破坏或删除文件,感染其他文件并传播到其他计算机上。
2.蠕虫(Worm):蠕虫是一种无需依赖其他程序传播的恶意代码。
蠕虫可以通过网络连接和传播自己,感染其他计算机并利用系统漏洞获取权限,从而对计算机进行攻击。
3.木马(Trojan):木马是一种将恶意功能隐藏在看似有用的程序中的恶意代码。
用户在下载和安装这些程序时,木马就会获取系统权限,窃取用户的敏感信息或者控制系统进行攻击。
4.间谍软件(Spyware):间谍软件是一种用于窃取用户个人信息并未用户做出批准的恶意代码。
间谍软件可以记录用户的浏览记录、键盘输入、窃取敏感信息等。
二、恶意代码的分析恶意代码分析是指对恶意代码进行研究和解剖,以了解其行为特征、传播方式和攻击手段,为后续的防范提供依据。
恶意代码分析主要包括静态分析和动态分析。
1.静态分析:静态分析是通过对恶意代码的静态特征进行分析,如文件大小、文件结构、代码特征等。
静态分析可以帮助分析人员了解恶意代码的基本功能和执行路径,但无法获取其具体行为和产生的动态效果。
2.动态分析:动态分析是通过在受控环境中进行恶意代码的执行并观察其行为。
动态分析可以获取恶意代码的运行轨迹、网络连接、系统变化等信息。
这可以帮助分析人员深入了解恶意代码的具体行为和对计算机系统的威胁程度。
14恶意代码防范技术原理
14恶意代码防范技术原理恶意代码是指用来攻击、破坏或非法获取信息的计算机程序。
在当今信息化社会,恶意代码的威胁日益增加,给个人和组织的信息安全带来了巨大的风险。
为了有效防范恶意代码的攻击,需要掌握一些防范技术原理。
本文将介绍14种恶意代码防范技术原理,并详细解析其工作原理。
1. 安装可靠的杀毒软件和防火墙。
杀毒软件可以及时检测和清除计算机中的恶意代码,防火墙可以阻止未经授权的程序访问计算机系统。
2. 定期更新操作系统和应用程序的补丁。
恶意代码常常利用操作系统或应用程序的漏洞进行攻击,及时更新补丁可以修复这些漏洞。
3. 使用强密码。
恶意代码常常通过猜测密码或暴力破解密码的方式获取用户的敏感信息,使用强密码可以有效防止这种攻击。
4. 谨慎下载和安装软件。
下载和安装软件时要选择可信的来源,避免下载和安装未经验证的软件,以防止恶意代码的潜在风险。
5. 不随意点击陌生链接。
恶意代码常常通过欺骗用户点击陌生链接来进行攻击,要保持警惕,避免随意点击陌生链接。
6. 防止社交工程攻击。
恶意代码常常通过社交工程手段,如伪装成可信的邮件或网站来进行攻击,要警惕此类攻击,并通过正规渠道获取信息。
7. 启用浏览器的安全设置。
现代浏览器通常提供了一些安全设置选项,如启用弹出窗口拦截器、启用安全浏览模式等,可以有效防范恶意代码的攻击。
8. 定期备份重要数据。
恶意代码常常以数据损坏、删除或加密的方式进行攻击,定期备份重要数据可以有效避免数据丢失。
9. 使用安全的网络连接。
在使用公共Wi-Fi等不安全的网络连接时,要注意保护个人信息的安全,避免被恶意代码窃取。
10. 启用系统的安全设置。
操作系统通常提供了一些安全设置选项,如启用防火墙、启用自动更新等,要及时启用这些设置以增强系统的安全性。
11. 使用安全的电子邮件客户端和阅读器。
恶意代码常常通过电子邮件和文档来传播,使用安全的电子邮件客户端和阅读器可以有效防范此类攻击。
12. 不随意插入未知的可移动设备。
网络安全恶意代码分析
网络安全恶意代码分析在如今高度互联的社会,网络安全问题已经成为一个日益突出的挑战。
随着技术的不断发展,恶意代码(Malware)作为网络攻击的主要工具之一,对个人、企业和机构的网络安全造成了严重威胁。
本文将对网络安全恶意代码进行深入分析,探讨其工作原理、类型、检测方法和防御措施。
一、恶意代码的工作原理恶意代码是恶意攻击者为达到其目的而编写的专门用于入侵、破坏、窃取信息或者进行其他非法活动的计算机代码。
恶意代码可以利用各种方式传播,例如通过电子邮件、下载文件、网络广告等。
一旦用户点击或访问感染了恶意代码的链接,恶意代码将开始对系统进行攻击。
恶意代码的工作原理通常包括以下几个步骤:1. 感染阶段:恶意代码通过各种手段,如潜伏在正常软件中、利用漏洞进行传播,感染目标系统。
2. 执行阶段:恶意代码在目标系统中执行,可能会进行各种恶意行为,如拦截用户输入、窃取敏感信息等。
3. 控制与通信阶段:恶意代码与攻击者的服务器建立通信,传输被窃取的信息,并接收来自攻击者的控制指令。
二、恶意代码的类型恶意代码的类型繁多,根据其特点和行为方式可以分为以下几类:1. 病毒(Viruses):病毒是一种能够自我复制并感染其他程序的恶意代码。
一旦感染,病毒可以传播到系统上的其他文件,并对宿主系统造成破坏。
2. 蠕虫(Worms):蠕虫是一种能够自我复制并通过网络传播的恶意代码。
与病毒不同,蠕虫不需要依赖宿主文件来进行传播,因此蔓延速度更快。
3. 木马(Trojans):木马是一种伪装成正常程序的恶意代码。
一旦用户运行了木马程序,攻击者就可以获取用户的敏感信息或者完全控制被感染的系统。
4. 广告软件(Adware):广告软件是一种通过在系统上弹出广告窗口或者在浏览器中插入广告来获取利益的恶意代码。
5. 间谍软件(Spyware):间谍软件会悄悄地监视用户的在线活动,并获取用户的敏感信息,如登录凭据、信用卡号码等。
三、恶意代码的检测方法为了及时发现和阻止恶意代码的威胁,人们开发了各种检测方法。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 利用防病毒软件阻挡电子邮件中的可执行文件。 例如趋势科技的ScanMail产品
2.1 防止病毒入侵
• 针对病毒传播渠道趋势产品应用
– 使用OPP阻断病毒通过共享及漏洞传播
2.1 防止病毒入侵
• • • • • 及时更新windows补丁,修补漏洞 强化密码设置的安全策略,增加密码强度
3.4.2 Process Explorer 演示
3.4.3 TCP View
• TCP View 功能:
• 查看系统的网络连接信息(远程地址,协议,端口号) • 查看系统的网络连接状况(发起连接,已连接,已断开) • 查看进程打开的端口 • 动态刷新列表 • 多用于查看 蠕虫,后门,间谍等恶意程序
如: [windows] load= virus.exe run = virus.exe
检查 System.ini 配置文件的 [boot] 节中的项: 如: [boot] Shell=Explorer.exe virus.exe
删除病毒相关的部分.
3.4 常用工具介绍
• 工具:
• • • • • • SIC,HijackThis Process Explorer TCPView Regmon,InstallRite Filemon,InstallRite WinPE 系统诊断 分析进程 分析网络连接 监视注册表 监视文件系统
1.2 当前病毒流行的趋势
范围:全球性, 如WORM_MOFEI.B等病毒
速度:越来接近零日攻击, 如worm_zotob.a等病毒 方式:蠕虫、木马、间谍软件联合, 如Lovgate等病毒
课程进度
• 1.病毒概述
1.1 当前面临的威胁 1.2 当前病毒流行的趋势
• 2.病毒感染过程和行为
2.1 病毒的传播方式 2.2 病毒自启动方式
2.1 病毒的传播方式
网络共享
• 病毒会搜索本地网络中存在的共享,
如ADMIN$ ,IPC$,E$ ,D$,C$
• 通过空口令或弱口令猜测,获得完全访问权限
病毒自带口令猜测列表
• 将自身复制到网络共享文件夹中
通常以游戏,CDKEY等相关名字命名
• 利用社会工程学进行伪装,诱使用户执行并感染。 • 例子,WORM_SDBOT 等病毒
• 4.典型的病毒案例分析 • 5.防病毒现场演练
3.1 疑似病毒现象
• • • • • • 经常出现系统错误或系统崩溃 系统反应变慢,网络拥塞 陌生进程或服务 可疑的打开端口 可疑的自启动程序 病毒邮件
3.2 进行系统诊断
• 趋势科技提供SIC 工具
(system information collector)
您可以用以下命令运行: command /c copy %WinDir%\regedit.exe |
提示:如果您不确信找到的键值是不是属于该病毒的,您可以写信给趋势科 技的技术人员寻求进一步的信息。
3.3 病毒清除方法
恢复系统配置文件的设定
检查 Win.ini 配置文件的 [windows] 节中的项:
• • •
… …
3.4.1 InstallRite 演示
3.4.1 InstallRite 演示
3.4.2 Process Explorer
• Process Explorer 功能:
• • • • • • 用来查看系统中正在运行的进程列表 可以查看有些隐藏的进程 可以查看某个进程的具体信息 可以搜索引用某个dll文件的所有进程 动态刷新列表 多用于查看带RootKit功能,进程隐藏,内存驻留的恶意程序
2.1 病毒的传播方式
• 传播方式主要有:
• • • • 电子邮件 网络共享 P2P 共享 系统漏洞
2.1 病毒的传播方式
电子邮件
• • • • HTML正文可能被嵌入恶意脚本, 邮件附件携带病毒压缩文件 利用社会工程学进行伪装,增大病毒传播机会 快捷传播特性
• 例子,WORM_MYTOB等病毒
3.4.5 Filemon 演示
3.4.6 WinPE
• 微软在2002年7月22日推出了Windows PreInstallation Environment(简称WinPE) • 按微软官方对它的定义是: “Windows预安装环境(WinPE)是带有限服务的最小 Win32子系统,基于以保护模式运行的Windows XP Professional内核。
3.3 病毒清除方法
• 恢复注册表的设定
根据病毒修改的具体情况,删除或还原相应的注册表项。
您可以从趋势科技网站的以下链接中查找病毒相关的信息: /vinfo/virusencyclo/default.asp
工具:注册表编辑器 regedit.exe
– – – RPC-DCOM 缓冲区溢出 (MS03-026) Web DAV (MS03-007) LSASS (MS04-011)
(Local Security Authority Subsystem Service)
• 例子,WORM_MYTOB • 病毒将"%1 %*"改为 “virus.exe %1 %*" • virus.exe将在打开或运行相应类型的文件时被执行
2.2 病毒自启动方式
病毒常修改的配置文件
• %windows%\ wininit.ini中[Rename]节 NUL=c:\windows\ virus.exe 将c:\windows\ virus.exe设置为NUL, 表示让windows在将virus.exe e运行后删除. • Win.ini中的[windows]节 load= virus.exe run = virus.exe 这两个变量用于自动启动程序。 • System.ini 中的[boot]节 Shell=Explorer.exe virus.exe Shell变量指出了要在系统启动时执行的程序列表。
2.2 病毒自启动方式
文件关联项
HKEY_CLASSES_ROOT下: • exefile\shell\open\command] • comfile\shell\open\command] • batfile\shell\open\command] • htafile\Shell\Open\Command] • piffile\shell\open\command] • …… @="\"%1\" @="\"%1\" @="\"%1\" @="\"%1\" @="\"%1\" %*" %*" %*" %*" %*“
• 4.典型的病毒案例分析 • 5.防病毒现场演练
1.1 当前面临的威胁
• 随着互联网的发展,我们的企业和个人用户在享受 网络带来的快捷和商机的同时,也面临无时不在的 威胁:
病毒 蠕虫 木马 后门 间谍软件 其他 PE WORM TROJ BKDR SPY
以上统称为恶意代码。
3.4.3 TCP View 演示
3.4.4 Regmon
• Regmon主要功能:
• 监视系统中注册表的操作: • 如 注册表的打开,写入,读取,查询,删除,编辑等 • 多用于监视病毒的自启动信息和方式.
3.4.4 Regmon 演示
3.4.5 Filemon
• Filemon主要功能:
• 监视文件系统的操作: • 如 建立文件,打开文件,写文件, • 读文件,查询文件信息等 • 多用于查找Dropper的主体程序.
加强网络共享的管理 增强员工病毒防范意识
2.2 病毒自启动方式
• • • 修改注册表 将自身添加为服务 将自身添加到启动文件夹
• 修改系统配置文件 • 其他非常规手法
2.2 病毒自启动方式
• • • • 注册表启动项 文件关联项 系统服务项 BHO项
2.2 病毒自启动方式
注册表启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion下: • RunServices • RunServicesOnce • Run • RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion下: • Run • RunOnce • RunServices • 以上这些键一般用于在系统启动时执行特定程序。
恶意代码一般原理及分析简介
目标
• 掌握反病毒知识 • 熟悉反病毒工具的使用 • 培养现场反病毒应急响应能力
课程进度
• 1.病毒概述
1.1 当前面临的威胁 1.2 当前病毒流行的趋势
• 2.病毒感染过程和行为
2.1 病毒的传播方式 2.2 病毒自启动方式
• 3.常用的病毒处理方法
3.1 3.2 3.3 3.4 疑似病毒现象 进行系统诊断 病毒清除方法 常用的工具介绍
3.4.1 InstallRite
• InstallRite功能:
• 跟踪文件系统的变化 • 跟踪注册表的变换 • 注:若恶意程序带有RootKit功能, 请重启后进入安全模式再分析系统变化(如灰鸽子某些变种) 局限性: 无法跟踪进程树的变化 无法跟踪网络连接和端口情况 解决方法 Process Explorer TCP Viewer
进行系统的诊断,并收集系统信息,包括 – 网络共享 – 网络连接 – 注册表自启动项 – 已注册的系统服务 – 当前进行列表 – 引导区信息等
其他工具:HijackThis
3.3 病毒清除方法
• 标识病毒文件和进程 • 中止病毒进程或服务
– 使用windows自带的任务管理器 – 使用第三方的进程管理工具, 如process explorer或是pstools。