CISP0207安全漏洞与恶意代码v3-0.pptVIP

随系统启动而加载 开始菜单中的启动项 启动配置文件 注册表启动项 系统服务 组策略 …… 随文件执行加载 感染/文件捆绑 浏览器插件 修改文件关联 其他 随机进程名 每次启动生成不一样的进程名，退出后无法查找 系统进程类命名 Windows.exe System1.exe Kernel.exe 相似进程名 同名不同路径的进程 c:\windows\system32\iexplore.exe(trojan) c:\Program Files\Internet Explorer\iexplore.exe(right) 名称相近的程序 svchost.exe(right) svch0st.exe(trojan) 静态分析-常规分析 文件名分析： 程序形态特性： 文件位置特性： 文件版本特性： 文件长度特性： 文件时间特性： 数字签名： Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 静态分析-代码分析 格式分析： PE信息： API查看： 字符串信息： 资源信息： 样本文件格式：PE文件，脚本文件等。 PE信息分析(是否加壳、加壳类型等) API调用 附加数据分析（字符串、资源） Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 静态分析的特点 优点 不需要运行恶意代码，不会影响运行环境的安全 可以分析恶意代码的所有执行路径 不足 随着复杂度的提高，执行路径数量庞大，冗余路径增多，分析效率较低 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 恶意代码动态分析-程序功能 API使用 文件读写 新增？ 删除？ 改动？ 注册表读写 新增？ 删除？ 改动？ 内核调用 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 恶意代码动态分析-行为分析 行为分析 本地行为 网络行为 传播方式 运行位置 感染方式 其它结果等 为恶意代码查杀防御提供支撑！ Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 恶意代码传播方式-共享 共享 管理共享 C盘、D盘…… Windows安装目录 用户共享 用户设置的共享 典型病毒 Lovegate Spybot Sdbot …… Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 恶意代码传播方式-主动放置 利用系统提供的上传渠道(FTP、论坛等) 攻击者已经获得系统控制权 攻击者是系统开发者 …… 攻击者 被攻击系统 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 恶意代码传播方式-软件漏洞 利用各种系统漏洞 缓冲区溢出：冲击波、振荡波 利用服务漏洞 IIS的unicode解码漏洞：红色代码 …… Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 知识域：安全漏洞与恶意代码 知识子域：恶意代码的实现技术 理解恶意代码修改配置文件、修改注册表、设置系统服务等加载方式 理解恶意代码进程、网络及系统隐藏技术 理解恶意代码进程保护和检测对抗自我保护技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copy