CISP安全漏洞与恶意代码v分析.pptVIP

* * * * * * * 恶意代码分析技术 静态分析 需要实际执行恶意代码，它通过对其二进制文件的分析，获得恶意代码的基本结构和特征，了解其工作方式和机制 动态分析 在虚拟运行环境中，使用测试及监控软件，检测恶意代码行为，分析其执行流程及处理数据的状态，从而判断恶意代码的性质，并掌握其行为特点。 * 静态分析-常规分析 * 静态分析-代码分析 * 样本文件格式：PE文件，脚本文件等。 PE信息分析(是否加壳、加壳类型等) API调用 附加数据分析（字符串、资源） 静态分析的特点 优点 不需要运行恶意代码，不会影响运行环境的安全 可以分析恶意代码的所有执行路径 不足 随着复杂度的提高，执行路径数量庞大，冗余路径增多，分析效率较低 * 恶意代码动态分析-程序功能 中国安天实验室 * API使用 文件读写 新增？ 删除？ 改动？ 注册表读写 新增？ 删除？ 改动？ 内核调用 恶意代码动态分析-行为分析 行为分析 本地行为 网络行为 传播方式 运行位置 感染方式 其它结果等 中国安天实验室 * 为恶意代码查杀防御提供支撑！ 动态分析的特点 优点 针对性强 具有较高的准确性 不足 由于分析过程中覆盖的执行路径有限，分析的完整性难以保证 * 恶意代码清除技术-感染引导区 清除方式：修复/重建引导区 从备份修复引导区 重建主引导区（FDISK /MBR） * 恶意代码清除技术-感染文