返回
辰信领创宏病毒解决方案-启明星辰APT联动-V

辰信领创宏病毒解决方案-启明星辰APT联动-V

ID:44072975

大小:639.44 KB

页数:25页

时间:2019-10-18

辰信领创宏病毒解决方案-启明星辰APT联动-V_第1页
辰信领创宏病毒解决方案-启明星辰APT联动-V_第2页
辰信领创宏病毒解决方案-启明星辰APT联动-V_第3页
辰信领创宏病毒解决方案-启明星辰APT联动-V_第4页
辰信领创宏病毒解决方案-启明星辰APT联动-V_第5页
资源描述:

《辰信领创宏病毒解决方案-启明星辰APT联动-V》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、辰信领创宏病毒解决方案目录什么是宏病毒31.1什么是宏31.2宏病毒介绍51.2.1Concept宏病毒51.2.2Nuclear宏病毒51.2.3台湾一号病毒61.3宏病毒的特点61.4宏病毒的危害71.5宏病毒的识别8宏病毒样本概述及特点90x01.宏代码分析90x02.Shellcode分析140x03.PEdump分析15宏病毒的查杀及预防173.1终端防病毒173.2APT网络检测183.3终端防病毒+APT网络检测19四、方案优势20五、相关产品选型21—、什么是宏病毒1-1什么是宏宏(macro),就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工

2、具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。MicrosoftOffice、wps等办公软件及魔兽世界、剑网等游戏中经常会使用到“宏”oOffice宏的定义:MicrosoftWord中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使FI常工作变得更容易”。计算机科学里的宏(Macro),是一种用于说明某一特定输入(通常是字符串)如何根据预定义的规则转换成对应的输出(通常也是字符串)批量批处理的称谓。尤其在MicrosoftWord,宏被普遍运用,它能使日常工作变得更

3、容易。正是这样的便利性,一直备受黑客们的关注。“宏”语言,即VISUALBASICFORAPPLICATION,简称VBA,可以访问许多操作系统函数并支持文档打开时自动执行宏,这使得用这种语言写计算机病毒成为可能。为了方便人们使用宏以及宏文件的传递使用,Word定义出一种文件格式,将文档以及该文档所需要的宏合在一起放在后缀为.dot的文件之中。正因为这种是宏也是资料的文档格式,便产生了宏感染的可能性。但是,Normal,clot±不能用来存储数据,每次修改后都需另外保存。有没有一种文档格式,既可以存储宏,又可以用來存储数据?以下两种文档格式即可满足上述需求:模版文件格式D.dot文档:模板

4、文档,新文档继承模板的属性(宏、菜单、格式等)。2)Normal,dot文件:全局模板,在建立整个文档中所起的作用是作为一个基类,是新建文档默认的模板。数据文件格式1).doc一种可以存贮宏的普通文档;2).docx种不包含宏的普通文档;3).docm种包含宏或启用了宏的文档;4)・dotx—种不包含宏的模板;1.2宏病毒介绍“宏”就在office文档里,用普通文档即可传播宏文件,那么可不可以做点别的事呢?于是,宏病毒应运而生。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏自动被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Norm舁模板上。从此以后,所

5、有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。1.2.1Concept宏病毒世界上的第一个宏病毒Concept可以感染Windows和苹果机上的MicrosoftWord文档。这个病毒是用MicrosoftWord6.0中的宏语言编写的,但它也能感染其他Word版本创建的文档。看起来编写Concept宏病毒是为了证明确实可以用宏编程语言编写病毒。因此,Concept宏病毒只是显示一个对话框,宣示它的存在,并不故意破坏磁盘上的任何文件。1.2.2Nuclear宏病毒这是一个对操作系统文件和打卬输岀有破坏功能的宏病毒。这个宏病毒中

6、包含以下病毒宏:AutoExec、AutoOpen>DropSuriv>F订eExit、F订ePrint>FilePrint>DefaultFile>SavcAso这些宏是只执行(Execute-only)宏Nuclear宏病毒造成的破坏现象为:(1)打开一个染毒文档井打印的时候,它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC!”,这个现象是在每分钟的55秒〜60秒之间操作打印时发生。(2)如果在每天17:00〜18:00Z间打开一个染毒文档,Nuclear病毒会将PH33R病毒传染到计算机上,这是个驻留型病毒。(3)在每年的4月

7、5H,该病毒会将计算机上10.SYS和MSDOS.SYS文件清零,并且删除C盘根目录上的COMMAND・COM文件。一旦病毒发作,MSDOS就不可能被引导,计算机将陷入瘫痪。1.2.3台湾一号病毒台湾一号病毒会在每月的13口影响您正常使用Word文档和编辑器。它包含以下病毒宏:AutoClose>AutoNew>AutoOpen这些宏是可被编辑宏。在病毒宏中含有如下的语句:IfDay(Now())=13Then...这条

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。