3-3恶意代码分析幻灯片.pptVIP

恶意代码分析与深层防护安全模型 §1 恶意软件 一、 什么是恶意软件 “恶意软件” 指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。 1、特洛伊木马 （1）远程访问特洛伊 （2）Rootkit 2、蠕虫 3、病毒 二 、恶意软件的特征 1、目标环境 （1）设备。 （2）操作系统。 （3）应用程序。 2、携带者对象 （1）可执行文件。 （2）脚本。 （3）宏。 （4）启动扇区。 3、传输机制 （1）可移动媒体。 （2）网络共享。 （3）网络扫描。 （4）对等 (P2P) 网络。 （5）电子邮件。 （6）远程利用。 4、负载 一旦恶意软件通过传输到达了宿主计算机，它通常会执行一个称为“负载”的操作，负载可以采用许多形式。常见负载类型包括： （1）后门。 （2）数据损坏或删除。 （3）信息窃取。 （4）拒绝服务 (DoS) 5、触发机制 触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容： （1）手动执行。 （2）社会工程。 （3）半自动执行。 （4）自动执行。 （5）定时炸弹。 （6）条件。 6、防护机制 许多恶意软件示例使用某种类型的防护机制，来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例： （1）装甲。 （2）窃取 （3）加密。 （4）寡态。 （5）多态。 三、防病毒软件原理 防病毒软件专门用于防护系统，使其免受来自任何形式的恶意软件（而不仅仅是病毒）的侵害。防病毒软件可以使用许多技术来检测恶意软件。其技术工作原理包括： 1、签名扫描 搜索目标来查找表示恶意软件的模式。这些模式通常存储在被称为“签名文件”的文件中，签名文件由软件供应商定期更新，以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。 主要问题：防病毒软件必须已更新为应对恶意软件。 2、启发式扫描 此技术通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是，它并不依赖于签名文件来识别和应对恶意软件。 启发式扫描的问题： （1）错误警报。 （2）慢速扫描。 （3）新特征可能被遗漏。 3、行为阻止 着重于恶意软件攻击的行为，而不是代码本身。 §2 恶意软件分析 对恶意软件进行分析，了解其工作方式可以确保系统已被清理干净并减少再次感染和攻击的可能性。 一、 检查活动进程和服务 二、 检查启动文件夹 恶意软件可以尝试通过修改系统的启动文件夹来自行启动。检查每个启动文件夹中的条目，以确保在系统启动过程中没有恶意软件尝试启动。 三、检查计划的应用程序 恶意软件还可能（但很少见）尝试使用 Windows 计划程序服务启动未授权的应用程序。 四、分析本地注册表 备份和恢复注册表。成功备份注册表后，在以下区域中检查任何异常的文件引用。（参见书上示例） 五、 检查恶意软件和损坏的文件 1、对比 大多数恶意软件将修改计算机硬盘上的一个或多个文件，而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统，则可以将受到感染的系统直接与通过该映像创建的全新系统进行比较。 2、搜索 可以使用 Windows 搜索工具，对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索，以确定哪些文件已被更改。 3、检查常用的隐藏区域 某些恶意软件攻击已经使用了有效的系统文件名，但将该文件置于其他文件夹中，以免被 Windows 文件保护服务检测到。例如，恶意软件曾使用一个名为 Svchost.exe 的文件，该文件通常安装在 %WINDIR%\System32 文件夹中并在该文件夹中受到保护。直接在 %WINDIR% 文件夹中创建同名文件的恶意软件示例已被看到，因此必须检查完整路径和文件名。 恶意软件攻击用于放置和修改文件的某些常见目标区域包括： %Windir%。 %System%。 %Temp%。 %Temporary Internet Files%。 六、检查用户和组 某些恶意软件攻击将尝试评估系统上现有用户的特权，或在拥有管理员特权的组中添加新新帐户。检查以下异常设置： 旧用户帐户和组。 不适合的用户名。 包含无效用户成员身份的组。 无效的用户权限。 最近提升的任何用户或组帐户的特权。 确认所有管理器组成员均有效。 七、检查共享文件夹 恶