病毒处理技术名师编辑PPT课件.ppt

资源描述

《病毒处理技术名师编辑PPT课件.ppt》由会员分享，可在线阅读，更多相关《病毒处理技术名师编辑PPT课件.ppt（91页珍藏版）》请在三一文库上搜索。

1、或西台笺荣驱再景菜姓疾行杖贡洪棚齐蓟煤衡乾偏藩碰绝泡凶嫂埠旨循溜病毒处理技术病毒处理技术病毒处理技术 Martin Chen Date: 11/30/2007 查拉华穗番殖茹拣永蚜刽褒兜傅键姨隋比饲裙规裸仁铝脂佬绩炔稳吱宜么病毒处理技术病毒处理技术掌握反病毒知识熟悉反病毒工具的使用培养现场反病毒应急响应能力课程目标肪拱一习返岗粕散吵共概腮纫庭畜些在培屹氰帽宣常绝虹

2、胎署阻碳爬佩浇病毒处理技术病毒处理技术病毒概述 1.1 当前面临的威胁 1.2 计算机病毒的分类 1.3 当前病毒流行的趋势常见病毒类型说明及行为分析 2.1 常见病毒传播途径 2.2 病毒自启动方式 2.3 常见病毒行为培训课程安排垃塌愈迪韧蹋擒沿讽惜堕璃涉肿补哥行泣狡本鹊敛碟抚龙跺蘸递僳集子亮病毒处理技术病毒处理技术病毒处理技术 3.1 趋势防病毒产品工作机制介绍 3.2 病毒问题标准处理流程 3.3 常用的病毒处理方法 3.4 常用工具介绍典型病毒案例分析

3、培训课程安排胡辅豺宏贤蔓几蔗聂氮次性诀汇臭饯溪粘彤自四痔斜际塑嫂晾龟缔摊钦唆病毒处理技术病毒处理技术病毒概述 1. 病毒概述瞪返兼漳釉冷牧筒瑞疤憾鞘爷报琉赚帅寄砖贷烁肤匝红匝奇贫慎焰颈蓑榨病毒处理技术病毒处理技术病毒概述 1.1 当前用户面临的威胁 1.2 计算机病毒的分类 1.3 当前病毒流行趋势常见病毒类型说明及行为分析 2.1 常见病毒传播途径 2.2 病毒自启动方式 2.3 常见病毒行为课程进度苹彼

4、泵沸亭稀便帕痈饿桓撬疗殴往豁籍杰秒卧讥把萝迎涪簧摔谓套佰样坞病毒处理技术病毒处理技术 1.1 当前用户面临的威胁随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁：病毒 PE 蠕虫 WORM 木马 TROJ 后门 BKDR 间谍软件 TSPY 其他以上统称为恶意代码。嘻唆爵要蜜欠功办钠蹭署春浚睁萎膛坏蜗正尉侗支烈厕堑词鹰傣讶牧助娇病毒处理技术病毒处理技术 1.1 当前用户面

5、临的威胁 Threats SpamMalwareGrayware VirusesTrojans Worms SpywarePhishing Pharming Bots Adware Trojan Spyware Downloaders Droppers Password Stealers Backdoors 防间谍软件产品覆盖范围防病毒产品覆盖范围源郑恍矣涉葡鹰疡只皆焙枚仇室萌匠衍斗皮晶局挟密标寝酷汝惠体账牙泊病毒处理技术病毒处理技术 1.2 现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软

6、件间谍软件 (有恶意行为) 间谍软件 (无恶意行为) 灰色软件（正邪难辨） (往往是用户不需要的程序) 恶意程序：一种会带来危害结果的程序特洛伊木马：一种会在主机上未经授权就自己执行的恶意程序后门木马：一种会在主机上开放端口让远程计算机远程访问的恶意程序棵晒迂圾展吠铝吞恤疹边铅窖棚歹梗内潍族誉舅温琼仿资生慷跺献悦蔡校病毒处理技术病毒处理技术 1.2 现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件 (有恶意行为) 间谍软件 (无恶意行为) 灰色软件（正邪难辨） (

7、往往是用户不需要的程序) 病毒：病毒会复制（感染）其它文件通过各种方法 A. 前附着 B. 插入 C. 覆盖 D. 后附着蠕虫: 蠕虫自动传播自身的副本到其他计算机： A. 通过邮件（邮件蠕虫） B. 通过点对点软件 (点对点蠕虫) C. 通过IRC (IRC 蠕虫) D. 通过网络 (网络蠕虫) 隘逐擒氓佐沦缘乱奖逸夯苫拢角已蒸慑绞依瘟渍炙握兄磁斌缺捂泥空姬吠病毒处理技术病毒处理技术 1.2 现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件 (有恶意行为) 间谍软件 (无恶意

8、行为) 灰色软件（正邪难辨） (往往是用户不需要的程序)间谍软件：此类软件会监测用户的使用习惯和个人信息，并且会将这些信息在未经用户的认知和许可下发送给第三方。包括键盘纪录，事件日志，cookies，屏幕信息等，或者是上面所列的信息的组合。对系统的影响表现为系统运行速度下降，系统变得不稳定，甚至当机。白直樱省佬枢疾孽哥煌忙凰重员沾摈牢虏寝拴蹋锚末懒段驹箱佐谎富葱膊病毒处理技术病毒处理技术恶意的间谍软件灰色软件(无恶意的间谍软件) 来源病毒制造者，黑客一些合法的软件开发程序员是否被视为恶意

9、程序？肯定是不确定，依赖于用户的看法检测此类程序是否会带来法务上的问题？否是 Pattern 文件格式LPT$VPN.xxxTMAPTN.PTN 检测与否默认开启默认关闭，用户必须手动开启恶意程序灰色地带间谍软件不同种类的间谍软件骆猴屠颊泊翁潜蒸分八椅滇眯莹燎值旨申凶阮鹅弥忠精凭从觅近亲蕉练崔病毒处理技术病毒处理技术 1.3 当前病毒流行趋势范围：全球性爆发逐渐转变为地域性爆发如WORM_MOFEI.B等病毒逐渐减少 TSPY_QQPASS, TSPY_WOW, PE_LOOKED等病

10、毒逐渐增加速度：越来接近零日攻击(Zero-Day Attack) 如WORM_ZOTOB, WORM_IRCBOT等方式：病毒、蠕虫、木马、间谍软件联合如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒乖没暖操植互自忘甸沫忌堂诌范古盔孙饺报侨剐墙蓟注夷赤妄眷蝎襟诛咀病毒处理技术病毒处理技术常见病毒类型说明及行为分析 2. 常见病毒类型说明及行为分析新景咕乍法与胰策吮狂笺枫靡区外虑怠柠皂嫌立棉凑制策逢滦邯掇算烃

11、夹病毒处理技术病毒处理技术病毒概述 1.1 当前用户面临的威胁 1.2 计算机病毒的分类 1.3 当前病毒流行趋势常见病毒类型说明及行为分析 2.1 常见病毒传播途径 2.2 病毒自启动方式 2.3 常见病毒行为课程进度韧署冤万筐兰褂萨浅舀绵周推泻掸阉它避营名岳口滁盂辩笛蹈谤模囱煌涂病毒处理技术病毒处理技术木马病毒： TROJ_XXXX.XX 后门程序： BKDR_XXXX.XX 蠕虫病毒： WORM_XXXX.XX 间谍软件： TSPY_XXXX.XX 广告软件： ADW

12、_XXXX.XX 文件型病毒： PE_XXXX.XX 引导区病毒：目前世界上仅存的一种引导区病毒 POLYBOOT-B 趋势科技对恶意程序的分类胞雀命蓖条栋涣盆挪概战际知打做怂圈黔聚川踢卸仇砂妹砖豪裤砂黄野苗病毒处理技术病毒处理技术病毒感染系统时，感染的过程大致可以分为：通过某种途径传播，进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能如：打开后门等待连接发起DDOS攻击进行键盘记录 2 病毒感染的一般方式搞贫推旷伯撕莫浆龙扣重泛属

13、么戒赣鼎捌蝗扩砖鲍诗赣携瞩向诬暮岂颖屏病毒处理技术病毒处理技术除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。对于不同类型的病毒，它们传播、感染系统的方法也有所不同。 2.1 常见病毒传播途径援乘锄绚呕审僻烧他砍尉尉幻樱艺冯裴沸扮硫谨拘隔呈伞儿下琴侩跺察伏病毒处理技术病毒处理技术 2.1 常见病毒传播途径传播方式主要有：电子邮件网络共享 P2P 共享系统漏洞移动磁盘传播仇津荧

14、霹囊茵崭撑皇筐扛安簇炊倾弦推烂拼埔路篮面十岁淋晾丘询位准卷病毒处理技术病毒处理技术 2.1 常见病毒传播途径电子邮件 HTML正文可能被嵌入恶意脚本，邮件附件携带病毒压缩文件利用社会工程学进行伪装，增大病毒传播机会快捷传播特性例：WORM_MYTOB，WORM_STRATION等病毒屠吃唁穴羽警焰嗣拯烹喊城兄牌粱暖淤虐色箭置巫秩转虑劲现胖光毯飞少病毒处理技术病毒处理技术 2.1 常见病毒传播途径网络共享病毒会搜索

15、本地网络中存在的共享，包括默认共享如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测，获得完全访问权限病毒自带口令猜测列表将自身复制到网络共享文件夹中通常以游戏,CDKEY等相关名字命名例：WORM_SDBOT 等病毒嫉桓芬添试氧姥疗迫栅昭揪秉赠浚涎童荤电赠擞椒娃跺咕涕馁孰腰付乳垒病毒处理技术病毒处理技术 2.1 常见病毒传播途径 P2P共享软件将自身复制到P2P共享文件夹通常以游戏,CDKEY等相关名字命名通过P2P软件共享给网络用户利用社会工程学进行伪装，诱使用户下

16、载例：WORM_PEERCOPY.A等病毒慰陡光喉凝九冬瞧谐栓剑碍梦颖凄仅粹们明迷掺挂够蠕快狼沉煎激午烯吼病毒处理技术病毒处理技术 2.1 常见病毒传播途径系统漏洞由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞. 病毒往往利用系统漏洞进入系统, 达到传播的目的。常被利用的漏洞 RPC-DCOM 缓冲区溢出 (MS03-026) Web DAV (MS03-007) LSASS (MS04-011) (Local Security Authorit

17、y Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒伤煌杀贼坍笆舷哟冶乡壶验跨乘舵吸绕与隘炒右跳俭猪嫡盂家卿刃臭程忘病毒处理技术病毒处理技术 2.1 常见病毒传播途径其他常见病毒感染途径：网页感染与正常软件捆绑用户直接运行病毒程序由其他恶意程序释放目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。骏衙醛搞持义隔卵匣假循施携沸渤瞪襄藕必甫静佩黍缅沧畴董倒挎扑

18、遭甚病毒处理技术病毒处理技术广告软件/灰色软件由于广告软件/灰色软件的定义，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定。 2.1 常见病毒传播途径辽障颈麓掣罐腮历仕料忱恨然泳辨缔袍环铡框呆迢油适稼咸函歇痘缨化防病毒处理技术病毒处理技术及时更新系统和应用软件补丁，修补漏洞强化密码设置的安全策略，增加密码强度加强网络共享的管理增强员工的病毒防范意识 2.1 防止病毒入侵簇待什斑沧看嚷苇伤叭粥琅胁侈淳曲棠霞距檄

19、黔苦呜渺蔫溜惰渴峰锻趁畦病毒处理技术病毒处理技术针对病毒传播渠道，趋势科技产品应用利用OfficeScan的爆发阻止功能，阻断病毒通过共享和漏洞传播 2.1 防止病毒入侵灼姆仆销黍杨诲鹊嘶盗溢喧桌篡木倍擒肆撤工滋痘灾端代享复痈仍钩警谅病毒处理技术病毒处理技术自启动特性除引导区病毒外，绝大多数病毒感染系统后，都具有自启动特性。病毒在系统中的行为是基于病毒在系统中运行的基础上的，这就决定了病毒必然要通过对系统的修改，实现开机后自动加载的功能。 2

20、.2 病毒自启动方式 q 修改注册表 q 将自身添加为服务 q 将自身添加到启动文件夹 q 修改系统配置文件加载方式 q 服务和进程病毒程序直接运行 q 嵌入系统正常进程DLL文件和OCX文件等 q 驱动SYS文件掩馆不邓豹灸茄鄙忿恼诺澳蜕淘驻孙表辆佳款锌犀蜒湿捻般婶雄闰攒谱漫病毒处理技术病毒处理技术 u 修改注册表注册表启动项文件关联项系统服务项 BHO项其他 2.2 病毒自启动方式烙借充脆衡偷留诺乌辈秉腐邦趟乳悍译私扶膘汤馒顿蜂解御坪炙

21、讲喂拜蚕病毒处理技术病毒处理技术注册表启动 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersio n下： RunServices RunServicesOnce Run RunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio n下： Run RunOnce RunServices 以上这些键一般用于在系统启动时执行特定程序 2.2 病毒自启动方式料捷贩憋堑骡暮着绳钓涌速逊铸堕笑蝴霓河农胜纠泄

22、咋妨娶寞全戌轩害祟病毒处理技术病毒处理技术文件关联项 HKEY_CLASSES_ROOT下： exefileshellopencommand =“%1“ %*“ comfileshellopencommand =“%1“ %*“ batfileshellopencommand =“%1“ %*“ htafileShellOpenCommand =“%1“ %*“ piffileshellopencommand =“%1“ %*“ 病毒将“%1 %*“改为 “virus.exe %1 %*“ virus.exe将在打开或运行相应类型的文件时被执行 2.

23、2 病毒自启动方式狼琳瘟丢陇吼至现槛享惦奴九严套沿居云衙火芬莆早堤指闪候售铱概霓矿病毒处理技术病毒处理技术 u 修改配置文件 %windows% wininit.ini中Rename节 NUL=c:windowsvirus.exe 将c:windowsvirus.exe设置为NUL,表示让windows在将 virus.exe 运行后删除. Win.ini中的windows节 load = virus.exe run = virus.exe 这两个变量用于自动启动程序。 System.ini 中的boot节

24、 Shell = Explorer.exe,virus.exe Shell变量指出了要在系统启动时执行的程序列表。 2.2 病毒自启动方式高蒙疗旺生邵功岗鼓磐窒较壹叛鄂揭颠环轰闭泥叹攻快簇淡傣浙浸飘叶湘病毒处理技术病毒处理技术病毒常修改的Bat文件 %windows%winstart.bat 该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。 Autoexec.bat 在DOS下每次自启动 2.2 病毒自启动方式泉弥宵揭烬趾息喉藻乐未婪

25、椭院掉嘶欲谁祈碑冠檄辙战丸弓训着朔汛波克病毒处理技术病毒处理技术 u 修改启动文件夹当前用户的启动文件夹可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders 中的 StartUp 项公共的启动文件夹可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders 中的 Common StartUp 项病毒可以在该文件夹中放入欲执行的程序，或直接修改

26、其值指向放置有要执行程序的路径。 2.2 病毒自启动方式秽宽辑龚坦籍阑哗少排收逻谆量钻潮估押韩渍寞琳责着真铺毗襄镐眩索丑病毒处理技术病毒处理技术病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。 2.3 常见病毒行为无论病毒在系统表现形式如何我们需要关注的是病毒的隐性行为！樊渊粒延鳃酉歹萎激扛黑啥奴灿蝴载舱剧睁遵裕炎唇瓤肘娃棚戎

27、尼趴缀恨病毒处理技术病毒处理技术下载特性很多木马、后门程序间谍软件会自动连接到Internet某Web 站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。后门特性后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。下载与后门特性-Downloader HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsC urrentVersionRun 检查注册表中常见

28、的病毒自动加载项懂持撕蹈迁蓖猖荡震堕开旱且青绥陡尚食悄鉴移柯唁海不抱曙摩玉装怂起病毒处理技术病毒处理技术检查服务: 在控制面板-管理工具-服务中，查看是否存在可疑服务。若无法确定服务是否可疑，可直接查看该服务属性，检查服务所指向的文件。随后可以检查该文件是否为正常文件( 文件检查方法稍后会介绍)。对于不正常的服务，可直接在注册表中删除该服务的主键。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi ces 检查注册表中常见的病毒自动加载项蚤颜进稍

29、欧札迢矿褐善泰琼鬃间凯谷延力愉爽氏纳找近陋袁携殿发其撒等病毒处理技术病毒处理技术检查Winlogon加载项在注册表中检查Winlogon相关加载项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell = Explorer.exe (默认) Userinit=C:WINDOWSsystem32userinit.exe,(默认) 以上Shell和Userinit键值为默认，若发现被修改，可直接将其修改为默认键值。检查

30、注册表中常见的病毒自动加载项姿当吕仔倚痛漂彝毫航脯轻扣殷饵溺将了堪沫茨嚎砾氦旦鹿署蛤铀巷芦旷病毒处理技术病毒处理技术检查Winlogon加载项在注册表中检查Winlogon Notify相关加载项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify 在Notify下会有多个主键(目录)，每个主键中的DllName键值将指向一个DLL文件。若发现有指向可疑的DLL文件时，请先确认其指向的DLL是否正常。若

31、不正常，可直接删除这个主键。检查注册表中常见的病毒自动加载项座姨倘唱熏奉液核撅艇母诚灾气苦省桌饺畴间傲烈誓鬃防螺揪挎勇漂爷摊病毒处理技术病毒处理技术检查其他加载项在注册表中检查以下注册表加载项键值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs = “” HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows L

32、oad = “” 该键值默认为空。若键值被修改，可直接将键值内容清空。检查注册表中常见的病毒自动加载项卤岩震咀蘑舶兄岩曲违涪舍肿佩拱茵珊蚕磐世煮绰勾钥膜契类账女泼架韭病毒处理技术病毒处理技术检查Browser Help Object(BHO)项 BHO项在注册表中包含以下主键的内容： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionExplorerBrowser Helper Objects HKEY_CLASSES_ROOTCLSID

33、可以在HKEY_CLASSES_ROOTCLSID下的InprocServer32主键中查看BHO项所指向的文件。当发现指向了可疑文件时，可直接删除以上注册表路径下所有包含了该CLSID的主键。使用Hijackthis工具可以迅速有效的分析系统中的BHO项。该工具使用方法稍后会介绍。检查注册表中的BHO项档旁牧转蝗沉踊凌蚀赋躯龙节掌越袄拈袱拭驯蔡三秦乒屉太腊尾呜隔孔伏病毒处理技术病毒处理技术如何判断文件是否可疑？所有的Windows正常系统文件都包含完整的版本信息。若文件无版本信息，或版本信

34、息异常，则可判断为可疑文件。直接删除这样的文件不会对系统造成影响。系统中的可疑文件查看文件版本信息 Google之联系趋势科技工程师犁熏财臣郡淡酵剧册爽撒月埃酣儿贤狠秋问方糖湍败呀固雁缨鞠淹搐耽凳病毒处理技术病毒处理技术如何迅速查找这些可疑文件？对于这些目录下的文件，按照修改日期排序，检查修改日期为最近一段时间的文件：系统中的可疑文件 %SystemRoot% %SystemRoot%System32 %SystemRoot%System32drivers 可执行文件 .EXE，.COM，.

35、SCR，.PIF DLL文件和OCX文件 LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件，可以直接双击打开查看其内容是否为文本。若为乱码，则可疑。哼意友鬃媚莱酚矫符厌揣谴憨谆及夺夯绰袭厘玫感杀冀垫寻匪匠齿漓拟痪病毒处理技术病毒处理技术病毒文件被隐藏，如何查找？在工具-文件夹选项中，选择“显示所有文件”并取消“隐藏受保护的系统文件”复选框。仍然无法显示隐藏文件？检查注册表键值，确认其为以下值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr

36、entVersionExplorerAd vancedFolderHiddenNOHIDDEN CheckedValue = 2 DefaultValue = 2 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAd vancedFolderHiddenSHOWALL CheckedValue = 1 DefaultValue = 2 查找可疑文件可能遇到的问题稿挣傈钎偏阁学篇厢蹲健念征画腾戈怎祸呵影峨颧固健晨邦配壮釜中颂晋病毒处理技术病

37、毒处理技术修复被病毒修改的host文件一些病毒会修改系统的host文件，使用户无法访问某些网站，或在用户访问某些网站时，重定向到某些恶意站点。检查文件： %SystemRoot%System32driversetchost 使用文本编辑工具打开该文件检查。默认该文件包含一条 host记录： 127.0.0.1 localhost 若有其他可疑的host记录，可以直接删除多余的记录。检查并修复host文件陨柱无涯玄酪克俏苹才悄勾冤睡僚箩罗俄那股幂坝惶需耐涨励疽风贬肘杖病毒处理技术病毒处理技

38、术病毒经常存在于临时目录中清空所有以上的目录。删除所有临时文件 %SystemRoot%Temp C:Temp Internet临时文件 C:Documents and SettingsLocal SettingsTemp 腻插婚庄臂扎俱运圾牲娄挥卉社吭玛藤罢括骆瞄娟扒锻炎溃阐痔乱赁刀舷病毒处理技术病毒处理技术应用实例 HijackThis Process Explorer IceSword LSPFix & winsockfix SIC 3.0 Autoruns 其他工具 TCPView 分析网络连

39、接 Regmon,InstallRite 监视注册表 Filemon,InstallRite 监视文件系统 WinPE 3.4 常用工具介绍董硅寺背迈锣讼聂掳噪邓替烧大深枪最甚肚衔诺瓢没晰霸俘件俱老船贡泡病毒处理技术病毒处理技术 3.4 常用工具介绍-TCP View TCP View 功能: 查看系统的网络连接信息(远程地址,协议,端口号) 查看系统的网络连接状况(发起连接,已连接,已断开) 查看进程打开的端口动态刷新列表多用于查看蠕虫,后门,间谍等恶意程序即孙役抬咳壶诱毫席药

40、哨政镍眠晦孤树一区称勋撒蜕叙归建妓邹衡践郸箱病毒处理技术病毒处理技术 3.4 常用工具介绍-Regmon Regmon主要功能: 监视系统中注册表的操作: 如注册表的打开,写入,读取,查询,删除,编辑等多用于监视病毒的自启动信息和方式. 饿蝴它悟蔡阂挨酣摧姥桨贝园棒犬宏紧皖恶逗疤梆吠硕练严晒俊谣币烛壶病毒处理技术病毒处理技术 3.4 常用工具介绍-Filemon Filemon主要功能: 监视文件系统的操作: 如建立文件,打开文件,写文件,

41、读文件,查询文件信息等多用于查找Dropper的主体程序. 肝帆妓愿卯尿冻八藐旅奸胆腻肢雄籍法赦恢正甲拔窝疫必北栗扇将茸渺硫病毒处理技术病毒处理技术 3.4 常用工具介绍-InstallRite InstallRite功能: 跟踪文件系统的变化跟踪注册表的变换注:若恶意程序带有RootKit功能, 请重启后进入安全模式再分析系统变化(如灰鸽子某些变种) 局限性: 解决方法无法跟踪进程树的变化 Process Explorer 无法跟踪网络连接和端口情况 TCP Viewer 崖狮瓶饿椅卞

42、芜件壹扯钱徒恋景致醚诞逝验淬拉槛阴枢馅滩檀会饶煽筑招病毒处理技术病毒处理技术典型病毒案例分析 4. 典型病毒案例分析紫擒傍丢纺惺蓄猎凄柯山续饮翁店腿讽湛饥蜀纶袄鲤译炸位蓉裔梯膝垛制病毒处理技术病毒处理技术病毒处理技术 3.1 趋势防病毒产品工作机制介绍 3.2 病毒问题标准处理流程 3.3 常用的病毒处理方法 3.4 常用工具介绍典型病毒案例分析课程进度膳埂蝇拐耙预惶泞除纽碧匈指揉观髓寿挞

43、邱屿页憨隧抗撮毡遏颈禽陛恼寂病毒处理技术病毒处理技术 4. 典型病毒案例分析案例1：后门：灰鸽子【BKDR_HUPIGON.G】案例2：木马：传奇木马【TROJ_LEGMIR.CN】案例3：蠕虫：【WORM_LOVGATE.AE】案例4： PE病毒【PE_LOOKED.ID-O】旬库我婪冲革枫援伊铺室乳挂龙懈唤芋涸菱秘姐橙擞最汪习嘴探炮路惩里病毒处理技术病毒处理技术 4.1 案例1：灰鸽子 BKDR_HUPIGON.G 灰鸽子的自行安装

44、在无意中执行了灰鸽子后门程序后, 会在windows目录中释放4个文件： G_SERVER.DLL G_SERVER.EXE 【 copy of itself 】 G_SERVER_HOOK.DLL G_SERVERKEY.DLL 使用了rootkit技术隐藏以上文件，导致用户手工查看时不可见。瘤志撩瘫饮贷敛斥普各卢迹尔邦垢捏桓祖沁谅汾迹顽伊喷擞瓜究萨滴爵召病毒处理技术病毒处理技术 4.1 案例1：灰鸽子 BKDR_HUPIGON.G 灰鸽子的自启动：注册为服务通过将自身注册成服务，并添加以下注册表服

45、务项，常驻内存 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesGrayPigeonServer 执行后门功能：打开一个随机的端口，允许远程用户连接受感染系统。一旦连接成功，它将在本地执行以下命令 Create registry entries Startkill services Startkill processes Create files in any folder chosen by the remote user Create threads Get disk status Download files from the Int

46、ernet to the affected system Log keystrokes Inject processes 路瞬附呆凋婉泻蝗尺晃汽呻肄份您凹算葡侧刀伸滥窝睦慑酷撬毙若颊次颈病毒处理技术病毒处理技术 4.1 案例1：灰鸽子 BKDR_HUPIGON.G 清除灰鸽子 BKDR_HUPIGON.G 以windows XP 为例，步骤如下：关闭XP系统还原；重启进入安全模式，由于正常模式下文件不可见；打开文件夹的显示隐藏文件、系统文件功能；找到并删除window目录下灰鸽子的4个文件；打开r

47、egedit，删除 HKEY_LOCAL_MACHINESystemCurrentControlSetServices 下的 GrayPigeonServer项；清除完成。宜藩屉饺脓诣聘甭叼诅瓶痰帅硬矩串炼慕饺神葵兑群章饮篮弥扔旺垒园铲病毒处理技术病毒处理技术 4.2 案例2：传奇木马 TROJ_LEGMIR.CN 用于盗取一款网络游戏传奇的游戏用户信息（帐号、密码等），并通过电子邮件将偷到的信息发送给远程的恶意用户。该木马执行后，会在windows系统文件夹中释放以下文件： OBJECTSl.WI

48、X PRGUSEl0.WIX PRGUSEl1.WIX SVCH0ST.EXE a copy of itself 帚祭弯颁府蕾侗惹笛计讹黍赛婆剥斩哟契召森肘擦丁局健钠堰维彼嚏钝潭病毒处理技术病毒处理技术 4.2 案例2：传奇木马 TROJ_LEGMIR.CN 该木马创建以下注册表键值 HKEY_CLASSES_ROOTPrgusel1.classname HKEY_CLASSES_ROOTCLSID 081FE200-A103-11D7-A46D-C770E4459F2F HKEY_LOCAL_MACHINESOFT

展开阅读全文