《恶意代码技术分析与应急响应ppt课件.ppt》由会员分享,可在线阅读,更多相关《恶意代码技术分析与应急响应ppt课件.ppt(68页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确恶意代码技术分析与应急响应Zhenxiang CHEN Zhenxiang CHEN 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 2提纲1恶意代码及其分类2恶意代码技术的发展3恶意代码分析与防范4讨论在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 3什么是恶意代码代码计算机程
2、序在一定的环境下可以执行恶意的行为在不为用户所知的情况下破坏侵入用户的计算机系统,破坏计算机系统、网络或信息的保密性、完整性、可用性恶意移动代码在计算机之间传播在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 4常见的恶意代码计算机病毒网络蠕虫木马/后门网页脚本流氓软件其他在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 5计算机病毒的主要特点自我复制,非主动传播存储介质、电子邮件等寄生于
3、宿主机或宿主程序不以文件形式存在隐蔽性和潜伏性感染后不一定立刻发作;依附于其他文件、程序、介质,不被发现可触发性触发条件:日期、时间、文件类型破坏性在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 6最早的计算机病毒:磁芯对战(Core War)National Security Agency(NSA):Robert MorrisRedCode/PDP-1Core WarSimplest program:MOV 0,1 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的
4、梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 7计算机病毒的分类按攻击平台分类:DOS,Win32,MAC,Unix按危害分类:良性、恶性按代码形式:源码、中间代码、目标码按宿主分类:引导型、文件型、其他分类方法.CARO(计算机反病毒研究组织)的命名方法::/.virus:/W32/Beast.41472.A,WinCE/Duts.1520W32/Beast.41472.A,WM/Concept.B:Fr在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应
5、8网络蠕虫(Worm)美国传统词典A program that replicates itself and interferes with software function or destroys stored information.一种能够自我复制的计算机程序,它利用网络上计算机系统的漏洞自主的将自己复制到其它计算机上特点主动传播,不依赖用户的介入不依赖宿主程序,独立存在在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 9蠕虫的历史回顾Morris Worm,1988年11月2日 Sa
6、dmind/IIS Worm2001年5月 CodeRed Worm,2001年7月19日/8月4日 Nimda Worm,2001年9月18日Slapper蠕虫 2002年9月14日 Slammer,2003年1月25日Dvldr32,2003年3月7日Blaster,2003年8月12日Nachi,2003年8月18日Santy2003Witty2004在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 10特洛伊木马/后门通过伪装成其他程序、有意隐藏自己恶意行为的程序,通常留下一个远程控
7、制的后门没有主动传播的功能用户主动发送给其他人放到网站上由用户下载在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 11常见木马程序Back Orifice:击键记录、屏幕获取等冰河广外女生用于远程控制的商业软件在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 12修改标题修改起始页面,且禁止用户修改在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所
8、提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 13钓鱼伪造的网页在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 14恶意代码的破坏性没有破坏性,恶作剧破坏系统文件破坏用户数据消耗系统资源:CPU/内存/硬盘/外设消耗网络资源:网络拥塞/DDoS攻击窃取用户隐私信息有组织的网络犯罪在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 15恶意移动代码发展趋势各种手段的融合电子
9、邮件应用网络文件共享利用系统漏洞P2P软件社会工程(social engineering)变种速度越来越快利益驱动的越来越多在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 16Rise of Attacks-Attack Sophistication vs Intruder Tech KnowledgeTracking and Tracing Cyber-Attacks:Technical Challenges and Global Policy Issues.CERT Coordinat
10、ion Center.Nov.2002在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确互联网所面临的风险越来越大全球基础设施全球基础设施区域性网络区域性网络多个网络多个网络单个网络单个网络单台计算机单台计算机攻击目标和攻击目标和破坏程度破坏程度First GenFirst Gen Boot Boot virusesvirusesWeeksSecond GenSecond Gen Macro Macro virusesviruses Denial of Denial of serviceserviceDaysThird GenThird
11、 Gen Distributed Distributed denial of denial of serviceservice Blended Blended threatsthreatsMinutesNext GenNext Gen Flash Flash threatsthreats Massive Massive worm-worm-driven driven DDoSDDoS Damaging Damaging payload payload wormswormsSeconds1980s1990sTodayFutureRapidly Escalating Threat to Busin
12、esses2023/1/1417恶意代码技术分析及应急响应 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 18提纲1恶意代码及其分类2恶意代码技术的发展3恶意代码分析与防范4讨论在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 19恶意代码技术发展传播与感染技术隐藏技术与隐蔽通信代码的演化技术在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出
13、的问题也很明确2023/1/14恶意代码技术分析及应急响应 20恶意代码的传播技术引导记录传播移动介质(如U盘传播)可执行文件传播数据文件传播(宏)利用电子邮件传播通过文件共享传播网页脚本P2P文件共享即时通信软件(ICQ/MSN/QQ等)系统漏洞传播在内存中传播在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 21引导型病毒引导记录主引导记录(MBR)55AA主引导程序(446字节)分区1(16 字节)主分区表(64字节)分区2(16 字节)分区3(16 字节)分区4(16 字节)结束标记
14、(2字节)引导代码及出错信息A在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 22引导型病毒感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。病毒引导系统病毒体。在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 23利用移动介质的自启动功能传播autorun.inf iconicon OpenRECYCLER目录 隐藏扩展名伪装成系统图标在整堂课的教学中,刘教师总是让学生
15、带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 24正常正常程序程序正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序头正常正常程序程序程序
16、头正常正常程序程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序程序头病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序头程序头DOS下的EXE文件感染在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置
17、具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 25感染数据文件的病毒-宏病毒有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot启动激活病毒在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 26通过电子邮件传播感染途径邮件附件:PIF,VBS,SCR,EXE,BAT,HTML邮件中的链接系统漏洞,如Nimda所利用的MIME漏洞http:/ 27通过电子邮件传播插入插入E-MailE-Mail附件附件
18、SMTP SMTP 代理代理在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 28利用社会工程传播的邮件病毒在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 29利用网页脚本传播Web 浏览器的客户端功能扩展Java AppletJava ScriptActiveXVBScript脚本的恶意功能读写文件修改注册表发送电子邮件 HELLOwsh.RegWrite(HKCUSoftwareMi
19、crosoftInternet ExplorerMainStart Page,http:/)Hello,Check your C:在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 30利用系统漏洞传播利用系统漏洞:exploit利用其他攻击留下的后门W32/Borm 利用BackorificeNimda 利用Code Red的后门CodeRed II 留下的Web 日志2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/./.
20、/winnt/system32/cmd.exe/c+dir 200 2001-05-06 12:20:19 10.10.10.10-10.20.20.20 80 GET/scripts/././winnt/system32/cmd.exe/c+dir+.200 Nimda攻击形式 http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dir http:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意
21、代码技术分析及应急响应 31恶意代码自保护技术反反汇编(Antidisassembly)多态病毒(Polymorphic Viruses)变形病毒(Metamorphic Viruses)反跟踪(Antidebugging)反制病毒在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 32反反汇编(Antidisassembly)数据压缩数据加密Fix2001干扰代码MOV CX,100h;this many bytesMOV AH,40h ;to writeINT 21h ;use main
22、DOS handler MOV CX,003Fh ;CX=003FhINC CX ;CX=CX+1(CX=0040h)XCHG CH,CL ;swap CH and CL(CX=4000h)XCHG AX,CX ;swap AX and CX(AX=4000h)MOV CX,0100h ;CX=100hINT 21h 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 33多态病毒(Polymorphic Viruses)在解密引擎(Engine)中插入大量的垃圾指令在整堂课的教学中,刘教师总
23、是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 34变形病毒(Metamorphic Viruses)“变形(metamorphic)是病毒体的多态”变形(metamorphic)病毒没有解密引擎,也没有不变的病毒体,但是却有能力制造看起来完全不同的病毒副本 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 35简单的变形技术置换寄存器 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度
24、,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 36简单的变形技术置换子程序BdyBoy病毒有8个子程序,因此有8!=40320个不同的病毒式样。W32/Ghost有10个子程序,因此有10!=3628800个不同的组合。在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 37更复杂的变形和置换指令级置换在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 38反跟
25、踪接管 INT 1 (单步中断)和INT 3(断点中断)接管INT9 中断,让键盘失灵在代码执行过程中检测堆栈状态在WIN32环境下使用API函数IsDebuggerPresent()查找注册表检测调试工具MOV BP,SP ;获取堆栈指针PUSH AX ;将AX的数据保存的堆栈中POP AX ;从堆栈中取出刚刚保存的数据CMP WORD PTR BP-2,AX;和堆栈中的数据进行比较JNE DEBUG ;检测到有调试器!在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 39反制病毒监控进程
26、的运行状态杀死防病毒软件方病毒软件的对策使防病毒软件不能更新C:Windowssystem32driversetchosts127.0.0.1 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 40恶意代码进程隐藏传统病毒修改系统程序伪装成系统程序相似的文件名:scvhost.exe,相同的名字,不同的目录修改EnumProcessModules DLL与线程注入Rundll32.exe Svchost.exeExplorer.exe内存中传播,没有文件:CodeRed,Slammer在整堂
27、课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 41恶意代码隐蔽通信技术反向连接常用端口ICMP通信加密通信隧道通信(IP in IP,IPv6/IPv4)在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 42网络代理木马ARP欺骗,与ARP木马DHCP欺骗域名欺骗在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意
28、代码技术分析及应急响应 43ARP 欺骗166.111.1.0/24166.111.1.1IP:166.111.1.10MAC:AAAAAA202.112.58.1IP:202.112.58.200MAC:CCCCCCIP:166.111.1.20MAC:BBBBBBA ALL:Who has IP 166.111.1.1?B A:My MAC address is BBBBBB,ip=166.111.1.1RouterABC在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 44DHCP S
29、poofingDHCPServerAttackerNormal UserDefault GatewayDNS Server在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 45Virus Construction Kits(VCK)NGVCK(Next Generation Virus Creation Kit 在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 46僵尸网络(Botnet)
30、在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 47恶意代码的交互:进化在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 48提纲1恶意代码及其分类2恶意代码技术的发展3恶意代码分析与防范4讨论在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 49恶意代码分析与防范分析静态分析动态分析
31、网络特征提取检测基于主机检测网络检测:IDS等控制基于主机的控制基于网络的控制:Firewall,路由和域名控制在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 50文件结构的静态分析在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 51静态分析工具IDA Pro在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶
32、意代码技术分析及应急响应 52启发式(Heuristic)检测启发式指 运用某种经验或知识去判定未知事物的方法 静态启发式检测:检查文件结构的异常变化DOS EXAMPLE1.COM 12345 01-01-1995 12:02:62EXAMPLE2.COM 12345 01-01-2095 12:01:36Windows PE 文件结构 E.g pedump calc.exe在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 53动态分析调试运行SoftIce虚拟环境运行VMWareVirt
33、ual PCPowerShadowSand-Box代码仿真在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 54代码仿真/模拟(Code Emulation)在构造的虚拟机里模拟运行病毒代码对付加密病毒、多态病毒比较有效typedef struct byte ah,al,bh,bl,ch,cl,dh,dl;word si,di,sp,bp,cs,ds,es,ss,ip;Emulator_Registers_t;typedef struct byte c,z,p,s,o,d,i,t,a;Emu
34、lator_Flags_t;在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 55代码仿真技术检测多态病毒软件模拟执行病毒的解密引擎总是存在一个时刻,可以拿到解密后的完整病毒体 由于完全解密时间太长,可以部分解密在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 56个人防范恶意代码的几项措施1.安装安全的操作系统2.启动防火墙3.系统更新与补丁管理4.帐号与口令5.防病毒系统6.注册表管理
35、7.IE浏览器安全问题8.检查本地木马程序9.使用常用的安全工具在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 57注册表管理注册表是系统配置数据库,常用工具Regedit超级兔子(注册表监视与清理)Regsnap(注册表监视)regCleaner(注册表清理)Registry Toolkit(注册表编辑器)RegWorkshop(注册表编辑器)在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应
36、急响应 58注册表管理使用注册表管理器1.在开始-运行里输入regedit然后回车2.导入和导出注册表备份3.修改或删除注册表键值4.使用查找功能5.使用收藏功能6.使用记事本编辑.reg文件在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 59IE插件(加载项)在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 60浏览器的恢复修改IE默认页HKEYCURRENTUSERSoftwareM
37、icrosoftInternet ExplorerMainHKEYLOCALMACHINESoftwareMicrosoftInternet ExplorerMain修改键值DefaultPageURL/Start IE默认主页修改权限的操作HKEYCURRENTUSERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel修改键值HomePage,1在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 61在整堂课的教学中,刘教师总是让学
38、生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 62本地病毒木马程序检查检查发现1.系统运行突然变慢2.杀毒软件查出病毒,但是无法清除也无法隔离3.启动系统后不做任何网络操作,在命令行执行netstat an命令4.启动系统后不做任何网络操作几分钟后运行netstat s命令5.查看系统进程中是否有可疑进程(例如Svohost.exe之类的)6.查看系统启动项里是否有可疑进程在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急
39、响应 63本地病毒木马程序检查查找相关木马程序所在位置:1.直接使用杀毒软件查杀2.将可疑进程的名字到google上去查找看是否有相关资料3.自己使用netstat ano(winxp以上版本)或者fport.exe(win2000及以下版本)软件查看4.到注册表里去查找5.使用一些其他的进程查看软件在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 64本地病毒木马程序检查手动清除的基本过程:1.关闭系统还原功能2.重新启动系统到安全模式下(启动时按F8)3.找到相应文件删除掉4.修改相应的
40、注册表值在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 65本地病毒木马程序检查3.修改注册表,恢复系统查看隐藏文件的功能:HKEYLOCALMACHINESOFTWARE MicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenNOHIDDEN将CheckedValue 的值改为2HKEYLOCALMACHINESOFTWARE MicrosoftWindowsCurrentVersion ExplorerAdvancedFo
41、lderHiddenSHOWALL将CheckedValue 的值改为1在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 66本地病毒木马程序检查4.到C:/windows/system32下去找到刚才注册表里查看的KB896588M.LOG,删除掉它5.修改注册表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows的AppInitDLLs 值改为空6.重新启动系统,并及时安装杀毒软件,进行全面杀毒在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 67提纲1恶意代码及其分类2恶意代码技术的发展3恶意代码分析与防范4讨论5回答问题:你觉得恶意代码技术的发展对计算机网络相关技术和领域的发展起了哪些作用?在整堂课的教学中,刘教师总是让学生带着问题来学习,而问题的设置具有一定的梯度,由浅入深,所提出的问题也很明确2023/1/14恶意代码技术分析及应急响应 68 Thanks,See you later