欢迎来到天天文库
浏览记录
ID:36897834
大小:291.60 KB
页数:66页
时间:2019-05-10
《《恶意代码分析》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、恶意代码分析与深层防护安全模型虽然许多组织已经开发了防病毒软件,但恶意软件(病毒、蠕虫和特洛伊木马)仍在继续感染着世界各地的计算机系统。这表明,在每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。§1恶意软件一、什么是恶意软件“恶意软件”指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。1、特洛伊木马(1)远程访问特洛伊(2)Rootkit2、蠕虫3、病毒二、恶意软件的特征1、目标环境(1)设备。(2)操作系统。(3)应用程序。2、携带者对象(1)可执行文件。(2)脚本。(3)宏。(4)启动扇区。3、传输机制(1)可移动媒体。(2)网络共享。(3)网络
2、扫描。(4)对等(P2P)网络。(5)电子邮件。(6)远程利用。4、负载一旦恶意软件通过传输到达了宿主计算机,它通常会执行一个称为“负载”的操作,负载可以采用许多形式。常见负载类型包括:(1)后门。(2)数据损坏或删除。(3)信息窃取。(4)拒绝服务(DoS)5、触发机制触发机制是恶意软件的一个特征,恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容:(1)手动执行。(2)社会工程。(3)半自动执行。(4)自动执行。(5)定时炸弹。(6)条件。6、防护机制许多恶意软件示例使用某种类型的防护机制,来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的
3、示例:(1)装甲。(2)窃取(3)加密。(4)寡态。(5)多态。三、防病毒软件原理防病毒软件专门用于防护系统,使其免受来自任何形式的恶意软件(而不仅仅是病毒)的侵害。防病毒软件可以使用许多技术来检测恶意软件。其技术工作原理包括:1、签名扫描搜索目标来查找表示恶意软件的模式。这些模式通常存储在被称为“签名文件”的文件中,签名文件由软件供应商定期更新,以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。主要问题:防病毒软件必须已更新为应对恶意软件。2、启发式扫描此技术通过查找通用的恶意软件特征,来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是,它并不依赖于签名文
4、件来识别和应对恶意软件。启发式扫描的问题:(1)错误警报。(2)慢速扫描。(3)新特征可能被遗漏。3、行为阻止着重于恶意软件攻击的行为,而不是代码本身。§2恶意软件分析对恶意软件进行分析,了解其工作方式可以确保系统已被清理干净并减少再次感染和攻击的可能性。一、检查活动进程和服务二、检查启动文件夹恶意软件可以尝试通过修改系统的启动文件夹来自行启动。检查每个启动文件夹中的条目,以确保在系统启动过程中没有恶意软件尝试启动。三、检查计划的应用程序恶意软件还可能(但很少见)尝试使用Windows计划程序服务启动未授权的应用程序。四、分析本地注册表备份和恢复注册表。成功备份注册表后
5、,在以下区域中检查任何异常的文件引用。(参见书上示例)五、检查恶意软件和损坏的文件1、对比大多数恶意软件将修改计算机硬盘上的一个或多个文件,而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统,则可以将受到感染的系统直接与通过该映像创建的全新系统进行比较。2、搜索可以使用Windows搜索工具,对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索,以确定哪些文件已被更改。3、检查常用的隐藏区域某些恶意软件攻击已经使用了有效的系统文件名,但将该文件置于其他文件夹中,以免被Windows文件保护服务检测到。例如,恶意软件曾使用一个名为Svchost.
6、exe的文件,该文件通常安装在%WINDIR%System32文件夹中并在该文件夹中受到保护。直接在%WINDIR%文件夹中创建同名文件的恶意软件示例已被看到,因此必须检查完整路径和文件名。恶意软件攻击用于放置和修改文件的某些常见目标区域包括:%Windir%。%System%。%Temp%。%TemporaryInternetFiles%。六、检查用户和组某些恶意软件攻击将尝试评估系统上现有用户的特权,或在拥有管理员特权的组中添加新新帐户。检查以下异常设置:旧用户帐户和组。不适合的用户名。包含无效用户成员身份的组。无效的用户权限。最近提升的任何用户或组帐户的特权。确
7、认所有管理器组成员均有效。七、检查共享文件夹恶意软件的另一个常见症状是使用共享文件夹传播感染。使用计算机管理MMC管理单元,或通过命令行使用NetShare命令检查受感染系统上的共享文件夹的状态。八、检查打开的网络端口许多恶意软件一个常使用的技术是打开主机上的网络端口,使用这些端口获取该主机的访问。Netstat-an九、使用网络协议分析器网络协议分析器工具可用于创建受感染主机传入和传出的数据的网络流量日志。十、检查和导出系统事件日志可以使用Windows系统事件日志识别各种异常行为。使用事件查看器管理控制台将每种类型的事件日志文件(应用
此文档下载收益归作者所有