程序代码检测系统用户手册详解.docx

家庭物联智能终端系统软件 用户手册 一、 系统简介 恶意程序代码检测系统是一款非常专业的代码检测软件。通过这款恶意程序代码检测系统，就能帮助用户随意进行代码安全检测，让你日常放心进行编程使用。功能主要包括：垃圾邮件分析、取证分析、终端扫描等。 二、系统的功能 1. 恶意代码 恶意代码的行为表现各异，破坏程度千差万别，但基本作用机制大体相同，其整个作用过程分为5个部分： (1)侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多，如：从互联网下载的程序本身就可能含有恶意代码；接收已经感染恶意代码的电子邮件；从光盘或软盘往系统上安装软件；黑客或者攻击者故意将恶意代码植入系统等。 (2)维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。 (3)隐蔽策略。为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。 (4)潜伏。恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。 (5)破坏。恶意代码的本质具有破坏性，其目的是造成信息丢失、泄密，破坏系统完整性等 2.静态检测 静态检测不实际运行软件，主要是对软件的编程格式、结构等方面进行评估。静态测试包括代码审查、桌面检查、代码走查等。 3、动态检测 动态测试是指通过运行被测程序来检查运行结果与预期结果的差异，并分析运行效率与健壮性等指标的测试方法。 ?4、垃圾邮件分析 垃圾邮件分析是分析可疑的邮件消息。 例主机发出警报 从上图中可以看到选中时段内有两次针对MSSQL应用的疑似主机扫描行为。系统还增加了针对选中对象的分析功能（如选中某应用或某IP地址），在这里我们选中其中某警报日志条目，点击鼠标右键，选择“分析”菜单项，就可以针对选中时段的MSSQL应用进行单独分析，这样可以快速判断警报是否误报。 从上图中可以看出，警报发生的时段某外网IP在短时间内尝试与内网所有主机的TCP?1433端口建立连接，由于内网主机都没有安装SQL?Server，所以每个连接请求都没有得到应答，每个会话都只有1个数据包。可以断定这个外网IP在做全网段的MSSQL服务主机扫描。在案例中的网络中，我们利用这个自定义的扫描警报发现了大量的类似扫描行为。这些行为的共同特点是发生时间很短（整个扫描过程一般在3秒内完成），一次扫描会触发1~3次警报。扫描针对的应用主要集中在MSSQL、MySQL、Oracle等数据库端口以及CIFS、NetBios等共享端口，通常这些端口会容易受到漏洞攻击或弱口令攻击。现在我们可以及时的发现并在边缘设备上针对这些扫描的端口或IP地址进行过滤，避免更大的安全问题发生。 这一分钟的时间段里触发了56次扫描警报，这明显与其他时段发生的扫描行为有区别。通常主机扫描者不会针对一个应用端口持续很长时间反复扫描。一般情况下，针对SMTP端口的SYN?flood攻击才有可能持续触发我们定制的扫描警报，然而这种SYN?flood攻击往往会在“TCP分析”趋势图上看到明显的TCP同步包数量增加，而从上图的“TCP分析”趋势图上却看不到这一现象。为了进一步分析判断这一事件的原因，我们使用系统的应用统计分析功能，对这一时段的SMTP会话进行了统计分析。 从上图中的流量趋势图上明显看到SMTP流量在警报发生的时段内有明显增加，最大流量超过150Kbps；在TCP会话视图中，我们看到一个内网IP在短时间内与若干个外网IP的TCP?25端口建立了很TCP会话，这些会话并不像扫描行为那样只有很少量的数据包，而是每个会话有几个到几十个不等（截图中碰巧都是11个数据包）。 ?至此基本排除了这些警报是扫描行为的可能性，但可以判断这些TCP会话不是正常的邮件发送，因为正常的邮件发送不会产生如此多的会话，而且正常邮件发送的平均数据包长度不会小于72字节。 要了解些异常会话的真正作用，就需要对这些会话进行数据包级解码分析，于是我们将这一时段的SMTP应用的数据包下载到控制台，利用控制台自带的科来网络分析模块进行解码分析。 从数据流信息中我们看到1这个外网IP有可能是21CN的邮件服务器，触发警报的内网IP在尝试向21的某个不存在的用户发送邮件，21CN的邮件服务器拒绝了这次邮件发送。继续查看其他与21CN的TCP会话，发现每个会话的发件人都是“tyco110@163.com”，收件人邮箱地址在不断变化，每个会话的收件人都不相同但邮件后缀都是“@12”。说明这个内网IP的主机的邮件发送程序并不知道收件人的真实信息，而是在不断变换邮件前缀尝试向21CN的用户发送邮件。 由于该内网IP在短时间内向21CN的邮件服务器发起了大量SMTP会话，一段时间后21CN的邮件服务器拒绝了该IP的邮件发送请求。在该内