《防病毒技术培训.pptx》由会员分享,可在线阅读,更多相关《防病毒技术培训.pptx(92页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防病毒技术培训防病毒技术培训病毒处理技术病毒处理技术掌握反病毒知识掌握反病毒知识熟悉反病毒工具的使用熟悉反病毒工具的使用培养现场反病毒应急响应能力培养现场反病毒应急响应能力课程目标课程目标2 21.病毒概述1.1.1 当前面临的威胁2.1.2 计算机病毒的分类3.1.3 当前病毒流行的趋势2.常见病毒类型说明及行为分析1.2.1 常见病毒传播途径2.2.2 病毒自启动方式3.2.3 常见病毒行为培训课程安排培训课程安排3 33.病毒处理技术3.1 趋势防病毒产品工作机制介绍3.2 病毒问题标准处理流程3.3 常用的病毒处理方法3.4 常用工具介绍4.典型病毒案例分析培训课程安排培训课程安排4
2、4病毒概述1.病毒概述病毒概述5 51.病毒概述1.1.1 当前用户面临的威胁2.1.2 计算机病毒的分类3.1.3 当前病毒流行趋势2.常见病毒类型说明及行为分析2.1 常见病毒传播途径2.2 病毒自启动方式2.3 常见病毒行为课程进度课程进度6 61.1 当前用户面临的威胁当前用户面临的威胁随着互联网的发展,我们的企业和个人用户随着互联网的发展,我们的企业和个人用户在享受网络带来的快捷和商机的同时,也面在享受网络带来的快捷和商机的同时,也面临无时不在的威胁:临无时不在的威胁:病毒 PE蠕虫 WORM木马 TROJ后门 BKDR间谍软件 TSPY其他以上统称为恶意代码。以上统称为恶意代码。7
3、 71.1 当前用户面临的威胁当前用户面临的威胁ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojan SpywareDownloadersDroppersPassword StealersBackdoors防间谍软件产品覆盖范围防间谍软件产品覆盖范围防病毒产品覆盖范围防病毒产品覆盖范围8 8 1.2 1.2 现代计算机病毒的分类现代计算机病毒的分类病毒病毒特洛伊木马特洛伊木马后门后门木马木马蠕虫蠕虫恶意软件恶意软件间谍软件间谍软件(有恶意行为有恶意行为)间谍软件间谍软件(无恶意行
4、为无恶意行为)灰色软件(正邪难辨)灰色软件(正邪难辨)(往往是用户不需要的程序)恶意程序:恶意程序:一种会带来危害结果的程序一种会带来危害结果的程序特洛伊木马:特洛伊木马:一种会在主机上未经授权就自一种会在主机上未经授权就自己执行的恶意程序己执行的恶意程序 后门木马:后门木马:一种会在主机上开放端口让一种会在主机上开放端口让远程计算机远程访问的恶意远程计算机远程访问的恶意程序程序9 9 1.2 1.2 现代计算机病毒的分类现代计算机病毒的分类病毒病毒特洛伊木马特洛伊木马后门后门木马木马蠕虫蠕虫恶意软件恶意软件间谍软件间谍软件(有恶意行为有恶意行为)间谍软件间谍软件(无恶意行为无恶意行为)灰色软
5、件(正邪难辨)灰色软件(正邪难辨)(往往是用户不需要的程序)病毒:病毒:病毒会复制(感染)其它文件通过病毒会复制(感染)其它文件通过各种方法各种方法A.前附着前附着B.插入插入C.覆盖覆盖D.后附着后附着蠕虫蠕虫:蠕虫自动传播自身的副本到其他计算机:蠕虫自动传播自身的副本到其他计算机:A.通过邮件(邮件蠕虫)通过邮件(邮件蠕虫)B.通过点对点软件通过点对点软件(点对点蠕虫点对点蠕虫)C.通过通过IRC(IRC 蠕虫蠕虫)D.通过网络通过网络(网络蠕虫网络蠕虫)1010 1.2 1.2 现代计算机病毒的分类现代计算机病毒的分类病毒病毒特洛伊木马特洛伊木马后门后门木马木马蠕虫蠕虫恶意软件恶意软件间
6、谍软件间谍软件(有恶意行为有恶意行为)间谍软件间谍软件(无恶意行为无恶意行为)灰色软件(正邪难辨)灰色软件(正邪难辨)(往往是用户不需要的程序)间谍软件:间谍软件:此类软件会监测用户的使用习惯和个此类软件会监测用户的使用习惯和个人信息,并且会将这些信息在未经用人信息,并且会将这些信息在未经用户的认知和许可下发送给第三方。包户的认知和许可下发送给第三方。包括键盘纪录,事件日志,括键盘纪录,事件日志,cookies,屏,屏幕信息等,或者是上面所列的信息的幕信息等,或者是上面所列的信息的组合。组合。对系统的影响表现为系统运行速度下对系统的影响表现为系统运行速度下降,系统变得不稳定,甚至当机。降,系统
7、变得不稳定,甚至当机。1111恶意的间谍软件灰色软件(无恶意的间谍软件)来源病毒制造者,黑客一些合法的软件开发程序员是否被视为恶意程序?肯定是不确定,依赖于用户的看法检测此类程序是否会带来法务上的问题?否是 Pattern 文件格式LPT$VPN.xxxTMAPTN.PTN检测与否默认开启默认关闭,用户必须手动开启默认关闭,用户必须手动开启恶意程序恶意程序灰色地带灰色地带间谍软件间谍软件不同种类的间谍软件不同种类的间谍软件12121.3 1.3 当前病毒流行趋势当前病毒流行趋势 范围:全球性爆发逐渐转变为地域性爆发 如WORM_MOFEI.B等病毒逐渐减少 TSPY_QQPASS,TSPY_W
8、OW,PE_LOOKED等病毒逐渐增加 速度:越来接近零日攻击(Zero-Day Attack)如WORM_ZOTOB,WORM_IRCBOT等 方式:病毒、蠕虫、木马、间谍软件联合 如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒1313 常见病毒类型说明及行为分析2.常见病毒类型说明及行为分析常见病毒类型说明及行为分析14141.病毒概述1.1.1 当前用户面临的威胁2.1.2 计算机病毒的分类3.1.3 当前病毒流行趋势2.常见病毒类型说明及行为分析2.1 常见病毒传播途径2.2 病毒自启动方式2.3 常见病毒行为课程进度课程进度1515木马病毒:TROJ_
9、XXXX.XX后门程序:BKDR_XXXX.XX蠕虫病毒:WORM_XXXX.XX间谍软件:TSPY_XXXX.XX广告软件:ADW_XXXX.XX文件型病毒:PE_XXXX.XX引导区病毒:目前世界上仅存的一种引导区病毒 POLYBOOT-B趋势科技对恶意程序的分类趋势科技对恶意程序的分类1616病毒感染系统时,感染的过程大致可以分为:通过某种途径传播,进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能如:打开后门等待连接 发起DDOS攻击 进行键盘记录 2 2 病毒感染的一般方式病毒感染的一般方式1717 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统
10、中执行病毒代码,才能实现感染系统的目的。对于不同类型的病毒,它们传播、感染系统的方法也有所不同。2.1 2.1 常见病毒传播途径常见病毒传播途径18182.1 2.1 常见病毒传播途径常见病毒传播途径传播方式主要有:电子邮件 网络共享 P2P 共享 系统漏洞 移动磁盘传播19192.1 2.1 常见病毒传播途径常见病毒传播途径 电子邮件电子邮件HTML正文可能被嵌入恶意脚本,邮件附件携带病毒压缩文件利用社会工程学进行伪装,增大病毒传播机会快捷传播特性例:WORM_MYTOB,WORM_STRATION等病毒20202.1 2.1 常见病毒传播途径常见病毒传播途径 网络共享网络共享 病毒会搜索本
11、地网络中存在的共享,包括默认共享 如ADMIN$,IPC$,E$,D$,C$通过空口令或弱口令猜测,获得完全访问权限 病毒自带口令猜测列表将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名例:WORM_SDBOT 等病毒21212.1 2.1 常见病毒传播途径常见病毒传播途径 P2PP2P共享软件共享软件将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名通过P2P软件共享给网络用户利用社会工程学进行伪装,诱使用户下载例:WORM_PEERCOPY.A等病毒22222.1 2.1 常见病毒传播途径常见病毒传播途径 系统漏洞系统漏洞由于操作系统固有的一些设计缺陷,导
12、致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞.病毒往往利用系统漏洞进入系统,达到传播的目的。常被利用的漏洞RPC-DCOM 缓冲区溢出(MS03-026)Web DAV(MS03-007)LSASS(MS04-011)(Local Security Authority Subsystem Service)例:WORM_MYTOB、WORM_SDBOT等病毒23232.1 2.1 常见病毒传播途径常见病毒传播途径 案例案例SQL Slammer攻击网络上任意IP的1434端口,实现DDOS攻击造成大量网络流量,阻塞网络2005年3月,国内某银行一台服务器感染该病毒,导致核心交
13、换机负载达到99%,引起网络瘫痪从ServerProtect日志中确认为SQL Slammer病毒SQL服务器未安装补丁安装SQL Server 2000 SP3,并再次使用ServerProtect查杀病毒,问题解决。24242.1 2.1 常见病毒传播途径常见病毒传播途径其他常见病毒感染途径:网页感染 与正常软件捆绑 用户直接运行病毒程序 由其他恶意程序释放 目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。2525 广告软件/灰色软件 由于广告软件/灰色软件的定义,它们有时候是由用户主动安装,更多的是与其他正常软件进行绑定。2.1 2.1 常见病毒传播途
14、径常见病毒传播途径2626及时更新系统和应用软件补丁,修补漏洞强化密码设置的安全策略,增加密码强度加强网络共享的管理增强员工的病毒防范意识2.1 2.1 防止病毒入侵防止病毒入侵2727针对病毒传播渠道,趋势科技产品应用利用OfficeScan的爆发阻止功能,阻断病毒通过共享和漏洞传播2.1 2.1 防止病毒入侵防止病毒入侵2828 自启动特性 除引导区病毒外,绝大多数病毒感染系统后,都具有自启动特性。病毒在系统中的行为是基于病毒在系统中运行的基础上的,这就决定了病毒必然要通过对系统的修改,实现开机后自动加载的功能。2.2 2.2 病毒自启动方式病毒自启动方式q修改注册表q将自身添加为服务q将
15、自身添加到启动文件夹q修改系统配置文件加载方式q服务和进程病毒程序直接运行q嵌入系统正常进程DLL文件和OCX文件等q驱动SYS文件2929u 修改注册表注册表启动项注册表启动项文件关联项文件关联项系统服务项系统服务项BHO项项其他其他2.2 2.2 病毒自启动方式病毒自启动方式3030注册表启动HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下:RunServices RunServicesOnce Run RunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio
16、n下:Run RunOnce RunServices以上这些键一般用于在系统启动时执行特定程序2.2 2.2 病毒自启动方式病毒自启动方式3131文件关联项HKEY_CLASSES_ROOT下:exefileshellopencommand=%1%*comfileshellopencommand=%1%*batfileshellopencommand=%1%*htafileShellOpenCommand=%1%*piffileshellopencommand=%1%*“病毒将%1%*改为“virus.exe%1%*virus.exe将在打开或运行相应类型的文件时被执行2.2 2.2 病毒自启
17、动方式病毒自启动方式3232u 修改配置文件%windows%wininit.ini中Rename节 NUL=c:windowsvirus.exe 将c:windowsvirus.exe设置为NUL,表示让windows在将virus.exe 运行后删除.Win.ini中的windows节 load=virus.exe run=virus.exe 这两个变量用于自动启动程序。System.ini 中的boot节 Shell=Explorer.exe,virus.exe Shell变量指出了要在系统启动时执行的程序列表。2.2 2.2 病毒自启动方式病毒自启动方式3333病毒常修改的Bat文件%
18、windows%winstart.bat 该文件在每次系统启动时执行,只要在该文件中写入欲执行的程序,该程序即可在系统启动时自动执行。Autoexec.bat 在DOS下每次自启动2.2 2.2 病毒自启动方式病毒自启动方式3434u 修改启动文件夹当前用户的启动文件夹 可以通过如下注册表键获得:SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项公共的启动文件夹 可以通过如下注册表键获得:SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folder
19、s中的 Common StartUp 项病毒可以在该文件夹中放入欲执行的程序,或直接修改其值指向放置有要执行程序的路径。2.2 2.2 病毒自启动方式病毒自启动方式3535 病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。2.3 2.3 常见常见病毒行为病毒行为无论病毒在系统表现形式如何我们需要关注的是病毒的隐性行为!我们需要关注的是病毒的隐性行为!3636 下载特性 很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他
20、变种。后门特性 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。下载与后门特性-Downloader&Backdoor3737 信息收集特性 大多数间谍软件和一些木马都会收集系统中用户的私人信息,特别各种帐号和密码。收集到的信息通常都会被病毒通过自带的SMTP引擎发送到指定的某个指定的邮箱。信息收集特性-StealerQQ密码和聊天记录网络游戏帐号密码网上银行帐号密码用户网页浏览记录和上网习惯3838自身隐藏特性 多数病毒会将自身文件设
21、置为“隐藏”、“系统”和“只读”属性,更有一些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改,以使其更加隐蔽不易被发现。自身隐藏特性-Hide&Rootkit 有一些病毒会使用Rootkit技术来隐藏自身的进程和文件,使得用户更难以发现。使用Rootkit技术的病毒,通常都会有一个.SYS文件加载在系统的驱动中,用以实现Rootkit技术的隐藏功能。3939文件感染特性 文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。有的文件型病毒会感染系统中其
22、他类型的文件。文件感染特性-Infector典型-PE_LOOKED 维京PE_FUJACKS 熊猫烧香4040网络攻击 一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击,从而导致受攻击的计算机出现各种异常现象,或是通过漏洞在受攻击的计算机上远程执行恶意代码。一些木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。网络攻击特性-Attacker振荡波利用MS04-011漏洞攻击 ARP攻击4141网络攻击特性-Attacker 案
23、例案例ARP 攻击/欺骗利用ARP协议自身的高信任特性,欺骗用户端ARP缓存表中的记录客户端连接到虚假网关地址,无法上网,引起局域网瘫痪2006年8月,某公司多台计算机感染具有ARP欺骗特性的病毒,引起办公、开发的部分网段频繁出现网络时通时断现象这部分客户机长期无人维护补丁缺失,无防毒软件安装多种恶意软件4242病毒处理技术3.病毒处理技术病毒处理技术43433.病毒处理技术3.1 趋势防病毒产品工作机制介绍3.2 病毒问题标准处理流程3.3 常用的病毒处理方法3.4 常用工具介绍4.典型病毒案例分析课程进度课程进度4444扫毒模块扫描并检测含有恶意代码的文件,对其做出处理。对于被文件型病毒感
24、染的可执行文件进行修复。扫描引擎-VSAPI&TMFilter病毒码-LPT$VPN.xxx间谍软件病毒码-TMAPTN.xxx网络病毒码-TMFxxxxx.PTN3.1 趋势防病毒产品工作机制介绍趋势防病毒产品工作机制介绍4545损害清除服务(DCS)对于正在运行/已经加载的病毒进行清除(包括终止进程、脱钩DLL文件、删除文件),并恢复被病毒修改过的注册表内容,起到修复系统的作用。可视为通用专杀工具。损害清除引擎(DCE)-TSC.EXE损害清除模板(DCT)-TSC.PTN间谍软件清除病毒码-TMADCE.PTN3.1 趋势防病毒产品工作机制介绍趋势防病毒产品工作机制介绍4646当病毒感染
25、系统后,病毒进程已经被系统加载,或是病毒DLL已经嵌入到正在运行的系统进程中时,由于Windows自身的特性,对于已经加载的文件无法进行改动操作,从而导致病毒扫描引擎对检测到的文件无法操作。已经加载的病毒不包含在损害清除模板(DCT)中,损害清除服务无法修复被病毒感染的系统。为什么会出现无法清除为什么会出现无法清除/隔离隔离/删除的病毒?删除的病毒?4747China Pattern针对中国地区特有的病毒形势,趋势科技发布China Pattern增强对中国区特有的病毒的检测能力。针对日益广泛的病毒新变种所使用的加壳技术,China Pattern增加了对加壳文件的检测。DCE 5.xDCE
26、5.0 增强了对已加载程序的处理能力,强行终止病毒进程,使扫描引擎能够删除/隔离病毒文件。DCE 5.3 增强了对已加载的病毒DLL文件的脱钩能力。China Pattern 和和 DCE 5.x4848 从病毒问题处理角度划分,病毒问题可分为已知病毒问题 防病毒软件可以成功检测到病毒,但由于病毒已经感染了系统并在系统中运行,导致防毒软件无法对病毒进行清除、隔离或删除的操作。未知病毒问题 防病毒软件无法通过现有的病毒码和扫描引擎检测到该病毒。3.2 病毒问题处理标准流程病毒问题处理标准流程4949已知病毒问题标准处理流程已知病毒问题标准处理流程50505.若病毒知识库中无法查询到此病毒,或是病
27、毒解决方案无效,则请将该计算机病毒日志导出,并在该计算机上使用SIC工具收集系统信息,同时收集病毒样本一起提交至趋势科技。6.若感染同一病毒的计算机较多,无法快速有效的清除,则需要将病毒样本提交至趋势科技,以制作特殊版本DCT(专用清除工具,即专杀工具)。已知病毒问题标准处理流程已知病毒问题标准处理流程51511.发现系统不正常,怀疑感染有病毒时,在征得同意的情况下,拔除网线。2.在该计算机上使用SIC 工具收集系统信息,将SIC日志提交至趋势科技。3.趋势科技在分析SIC日志后,得知系统中存在的可疑文件,并通知用户。4.用户收集可疑文件并提交至趋势科技。5.趋势科技提供病毒解决方案。未知病毒
28、问题标准处理流程未知病毒问题标准处理流程52521.根据病毒日志到相应目录下找到感染病毒的文件2.将该文件复制到某临时文件夹。若无法复制,需要重启计算机进入安全模式。3.使用压缩软件将该文件压缩,并使用密码virus加密4.加密后的压缩文件即为病毒样本文件,将该文件作为邮件附件发送给趋势科技,并在邮件中附以问题描述。注注:1.描述内容包含描述内容包含:中毒情况简单说明中毒情况简单说明,病毒名病毒名,感染文件名及路径感染文件名及路径2.最好能够在提交病毒样本的同时也提供病毒日志。最好能够在提交病毒样本的同时也提供病毒日志。3.在执行以上操作时,如果找不到感染病毒的文件时,需要在在执行以上操作时,
29、如果找不到感染病毒的文件时,需要在“工具工具”-“文文件夹选项件夹选项”-“查看查看”中,选择中,选择“显示所有的文件和文件夹显示所有的文件和文件夹”,并取消,并取消“隐隐藏受保护的系统文件藏受保护的系统文件”前的复选框。前的复选框。病毒样本提交流程病毒样本提交流程5353 大多数情况下,可以直接根据经验来迅速清除各种病毒。处理过程包括修复病毒修改的注册表/文件内容和删除病毒文件两部分。3.3 常用病毒处理方法常用病毒处理方法木马病毒和后门程序间谍软件、广告软件和灰色软件蠕虫病毒文件型病毒母体系统中了病毒,该怎么办?重装系统?系统还原?Ghost还原?5454 处理病毒问题时,若病毒进程在系统
30、中运行,则可能会出现无法删除文件、无法删除注册表主键/键值的情况,也可能出现删除注册表键值或文件后,被删除的内容会再次出现的情况。3.3 常用病毒处理方法常用病毒处理方法最好在安全模式下操作终止所有可疑进程和不必要的进程关闭系统还原5555检查启动项:删除不必要的启动项键值,如发现指向不正常或不认识的程序的键值,可将该键值删除。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun检查注册表中常见的病毒自动加载项检
31、查注册表中常见的病毒自动加载项5656检查服务:在控制面板-管理工具-服务中,查看是否存在可疑服务。若无法确定服务是否可疑,可直接查看该服务属性,检查服务所指向的文件。随后可以检查该文件是否为正常文件(文件检查方法稍后会介绍)。对于不正常的服务,可直接在注册表中删除该服务的主键。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices检查注册表中常见的病毒自动加载项检查注册表中常见的病毒自动加载项5757检查Winlogon加载项 在注册表中检查Winlogon相关加载项:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo
32、ws NTCurrentVersionWinlogonShell =Explorer.exe(默认)Userinit=C:WINDOWSsystem32userinit.exe,(默认)以上Shell和Userinit键值为默认,若发现被修改,可直接将其修改为默认键值。检查注册表中常见的病毒自动加载项检查注册表中常见的病毒自动加载项5858检查Winlogon加载项 在注册表中检查Winlogon Notify相关加载项:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify 在Notify下会有多个主
33、键(目录),每个主键中的DllName键值将指向一个DLL文件。若发现有指向可疑的DLL文件时,请先确认其指向的DLL是否正常。若不正常,可直接删除这个主键。检查注册表中常见的病毒自动加载项检查注册表中常见的病毒自动加载项5959检查其他加载项 在注册表中检查以下注册表加载项键值:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs=“”HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad=“”该键值默认为
34、空。若键值被修改,可直接将键值内容清空。检查注册表中常见的病毒自动加载项检查注册表中常见的病毒自动加载项6060检查Browser Help Object(BHO)项BHO项在注册表中包含以下主键的内容:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper ObjectsHKEY_CLASSES_ROOTCLSID可以在HKEY_CLASSES_ROOTCLSID下的InprocServer32主键中查看BHO项所指向的文件。当发现指向了可疑文件时,可直接删除以上注册表路径下所有包含了该CL
35、SID的主键。使用Hijackthis工具可以迅速有效的分析系统中的BHO项。该工具使用方法稍后会介绍。检查注册表中的检查注册表中的BHO项项6161如何判断文件是否可疑?所有的Windows正常系统文件都包含完整的版本信息。若文件无版本信息,或版本信息异常,则可判断为可疑文件。直接删除这样的文件不会对系统造成影响。系统中的可疑文件系统中的可疑文件查看文件版本信息Google之联系趋势科技工程师6262如何迅速查找这些可疑文件?对于这些目录下的文件,按照修改日期排序,检查修改日期为最近一段时间的文件:系统中的可疑文件系统中的可疑文件%SystemRoot%SystemRoot%System32
36、%SystemRoot%System32drivers可执行文件.EXE,.COM,.SCR,.PIFDLL文件和OCX文件LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件,可以直接双击打开查看其内容是否为文本。若为乱码,则可疑。6363病毒文件被隐藏,如何查找?在工具-文件夹选项中,选择“显示所有文件”并取消“隐藏受保护的系统文件”复选框。仍然无法显示隐藏文件?检查注册表键值,确认其为以下值:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheck
37、edValue=2DefaultValue=2HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=1DefaultValue=2查找可疑文件可能遇到的问题查找可疑文件可能遇到的问题6464修复被病毒修改的host文件 一些病毒会修改系统的host文件,使用户无法访问某些网站,或在用户访问某些网站时,重定向到某些恶意站点。检查文件:%SystemRoot%System32driversetchost 使用文本编辑工具打开该文件检查。默认该文件
38、包含一条host记录:127.0.0.1 localhost 若有其他可疑的host记录,可以直接删除多余的记录。检查并修复检查并修复host文件文件6565病毒经常存在于临时目录中 清空所有以上的目录。删除所有临时文件删除所有临时文件%SystemRoot%TempC:TempInternet临时文件C:Documents and SettingsLocal SettingsTemp6666应用实例HijackThisProcess ExplorerIceSwordLSPFix&winsockfixSIC 3.0Autoruns其他工具TCPView 分析网络连接Regmon,Install
39、Rite 监视注册表Filemon,InstallRite 监视文件系统WinPE3.4 常用工具介绍常用工具介绍67673.4 常用工具介绍常用工具介绍-TCP ViewTCP View 功能:查看系统的网络连接信息(远程地址,协议,端口号)查看系统的网络连接状况(发起连接,已连接,已断开)查看进程打开的端口动态刷新列表多用于查看 蠕虫,后门,间谍等恶意程序68683.4 常用工具介绍常用工具介绍-RegmonRegmon主要功能:监视系统中注册表的操作:如 注册表的打开,写入,读取,查询,删除,编辑等多用于监视病毒的自启动信息和方式.69693.4 常用工具介绍常用工具介绍-Filemon
40、Filemon主要功能:监视文件系统的操作:如建立文件,打开文件,写文件,读文件,查询文件信息等多用于查找Dropper的主体程序.70703.4 常用工具介绍常用工具介绍-InstallRiteInstallRite功能:跟踪文件系统的变化跟踪注册表的变换注:若恶意程序带有RootKit功能,请重启后进入安全模式再分析系统变化(如灰鸽子某些变种)局限性:解决方法无法跟踪进程树的变化 Process Explorer无法跟踪网络连接和端口情况 TCP Viewer7171典型病毒案例分析4.典型病毒案例分析典型病毒案例分析72723.病毒处理技术3.1 趋势防病毒产品工作机制介绍3.2 病毒问
41、题标准处理流程3.3 常用的病毒处理方法3.4 常用工具介绍4.典型病毒案例分析课程进度课程进度73734.典型病毒案例分析典型病毒案例分析案例案例1 1:后门:灰鸽子后门:灰鸽子 【BKDR_HUPIGON.GBKDR_HUPIGON.G】案例案例2 2:木马:传奇木马木马:传奇木马 【TROJ_LEGMIR.CNTROJ_LEGMIR.CN】案例案例3 3:蠕虫:蠕虫:【WORM_LOVGATE.AEWORM_LOVGATE.AE】案例案例4 4:PEPE病毒病毒 【PE_LOOKED.ID-OPE_LOOKED.ID-O】74744.1 案例1:灰鸽子 BKDR_HUPIGON.G灰鸽子
42、的自行安装灰鸽子的自行安装在无意中执行了灰鸽子后门程序后在无意中执行了灰鸽子后门程序后,会在会在windowswindows目录中释放目录中释放4 4个文件:个文件:G_SERVER.DLL G_SERVER.EXE【copy of itself】G_SERVER_HOOK.DLL G_SERVERKEY.DLL 使用了使用了rootkitrootkit技术隐藏以上文件,技术隐藏以上文件,导致用户手工查看时不可见。导致用户手工查看时不可见。75754.1 案例1:灰鸽子 BKDR_HUPIGON.G灰鸽子的自启动:注册为服务灰鸽子的自启动:注册为服务通过将自身注册成服务,并添加以下注册表服务项
43、,常驻内存 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesGrayPigeonServer执行后门功能:执行后门功能:打开一个随机的端口,允许远程用户连接受感染系统。一旦连接成功,它将在本地执行以下命令Create registry entries Startkill services Startkill processes Create files in any folder chosen by the remote user Create threads Get disk status Download files from the In
44、ternet to the affected system Log keystrokes Inject processes 76764.1 案例1:灰鸽子 BKDR_HUPIGON.G清除灰鸽子清除灰鸽子 BKDR_HUPIGON.GBKDR_HUPIGON.G 以windows XP 为例,步骤如下:关闭XP系统还原;重启进入安全模式,由于正常模式下文件不可见;打开文件夹的显示隐藏文件、系统文件功能;找到并删除window目录下灰鸽子的4个文件;打开regedit,删除HKEY_LOCAL_MACHINESystemCurrentControlSetServices 下的 GrayPigeo
45、nServer项;清除完成。77774.2 案例2:传奇木马 TROJ_LEGMIR.CN用于盗取一款网络游戏传奇的游戏用户信息用于盗取一款网络游戏传奇的游戏用户信息(帐号、密码等),并通过电子邮件将偷到的信息(帐号、密码等),并通过电子邮件将偷到的信息发送给远程的恶意用户。发送给远程的恶意用户。该木马执行后,会在该木马执行后,会在windowswindows系统文件夹中释放以系统文件夹中释放以下文件:下文件:OBJECTSl.WIX PRGUSEl0.WIX PRGUSEl1.WIX SVCH0ST.EXE a copy of itself 78784.2 案例2:传奇木马 TROJ_LEG
46、MIR.CN该木马创建以下注册表键值该木马创建以下注册表键值HKEY_CLASSES_ROOTPrgusel1.classname HKEY_CLASSES_ROOTCLSID081FE200-A103-11D7-A46D-C770E4459F2FHKEY_LOCAL_MACHINESOFTWAREClassesPrgusel1.classname HKEY_LOCAL_MACHINESOFTWAREClassesCLSID081FE200-A103-11D7-A46D-C770E4459F2FHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current
47、VersionExplorerShellExecuteHooks081FE200-A103-11D7-A46D-C770E4459F2F=hookmir 79794.2 案例2:传奇木马 TROJ_LEGMIR.CN清除传奇木马清除传奇木马 TROJ_LEGMIR.CNTROJ_LEGMIR.CN 以windows XP 为例,步骤如下:关闭XP系统还原;标识病毒程序和文件:更新病毒库,用趋势产品扫描;结束病毒相关的恶意进程:进程管理器,Process Explorer删除病毒相关的注册表项:(具体项见前页);清除完成。80804.3 案例3:WORM_LOVGATE.AE WORM_LOVG
48、ATE.AE的自身安装的自身安装该蠕虫会在执行后,生成以下文件:该蠕虫会在执行后,生成以下文件:%System%hxdef.exe%System%IEXPLORE.exe%System%kernel66.dll%System%RAVMOND.exe%System%TkBellExe.exe%System%Update_OB.exe%Windows%SYSTRA.EXE%Windows%svchost.exe 并在并在Windows systemWindows system目录中释放以下后门组件目录中释放以下后门组件LMMIB20.DLL MSJDBC11.DLL MSSIGN30.DLL OD
49、BC16.DLL SPOLLSV.EXENETMEETING.EXEIEXPLORER.EXE 其中的其中的DLL文件被检测为文件被检测为WORM_LOVGATE.Q,EXE文件被检测为文件被检测为WORM_LOVGATE.V81814.3 案例3:WORM_LOVGATE.AEWORM_LOVGATE.AEWORM_LOVGATE.AE的自启动:的自启动:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下,WinHelpC:WINDOWSSystem32TkBellExe.exe“Shell Extension=%Syst
50、em%spollsv.exe“Hardware Profile=%System%hxdef.exe“Protected Storage=RUNDLL32.EXE MSSIGN30.DLL ondll_reg“Microsoft NetMeeting Associates,Inc.NetMeeting.exe“Program In WindowsC:WINDOWSSystem32IEXPLORE.EXEVFW Encoder/Decoder Settings=RUNDLL32.EXE MSSIGN30.DLL ondll_reg“HKEY_CURRENT_USERSoftwareMicrosof