CISP0207安全漏洞与恶意代码v3.0.pptVIP

随系统启动而加载 开始菜单中的启动项 启动配置文件 注册表启动项 系统服务 组策略 …… 随文件执行加载 感染/文件捆绑 浏览器插件 修改文件关联 其他 随机进程名 每次启动生成不一样的进程名，退出后无法查找 系统进程类命名 Windows.exe System1.exe Kernel.exe 相似进程名 同名不同路径的进程 c:\windows\system32\iexplore.exe(trojan) c:\Program Files\Internet Explorer\iexplore.exe(right) 名称相近的程序 svchost.exe(right) svch0st.exe(trojan) 静态分析-常规分析 文件名分析： 程序形态特性： 文件位置特性： 文件版本特性： 文件长度特性： 文件时间特性： 数字签名： 静态分析-代码分析 格式分析： PE信息： API查看： 字符串信息： 资源信息： 样本文件格式：PE文件，脚本文件等。 PE信息分析(是否加壳、加壳类型等) API调用 附加数据分析（字符串、资源） 静态分析的特点 优点 不需要运行恶意代码，不会影响运行环境的安全 可以分析恶意代码的所有执行路径 不足 随着复杂度的提高，执行路径数量庞大，冗余路径增多，分析效率较低 恶意代码动态分析-程序功能 API使用 文件读写 新增？ 删除？ 改动？ 注册表读写 新增？ 删除？ 改动？ 内核调用 恶意代码动态分析-行为分析 行为分析 本地行为 网络行为 传播方式 运行位置 感染方式 其它结果等 为恶意代码查杀防御提供支撑！ 动态分析的特点 优点 针对性强 具有较高的准确性 不足 由于分析过程中覆盖的执行路径有限，分析的完整性难以保证 恶意代码清除技术-感染引导区 清除方式：修复/重建引导区 从备份修复引导区 重建主引导区（FDISK /MBR） 恶意代码传播方式-共享 共享 管理共享 C盘、D盘…… Windows安装目录 用户共享 用户设置的共享 典型病毒 Lovegate Spybot Sdbot …… 恶意代码传播方式-主动放置 利用系统提供的上传渠道(FTP、论坛等) 攻击者已经获得系统控制权 攻击者是系统开发者 …… 攻击者 被攻击系统 恶意代码传播方式-软件漏洞 利用各种系统漏洞 缓冲区溢出：冲击波、振荡波 利用服务漏洞 IIS的unicode解码漏洞：红色代码 …… 知识域：安全漏洞与恶意代码 知识子域：恶意代码的实现技术 理解恶意代码修改配置文件、修改注册表、设置系统服务等加载方式 理解恶意代码进程、网络及系统隐藏技术 理解恶意代码进程保护和检测对抗自我保护技术 恶意代码加载方式 随系统启动加载方式-启动配置 开始菜单启动项 启动配置文件 Autorun.bat Win.ini System.ini 已经很少有病毒采用 过于明显 用户登录后才能启动 随系统启动加载方式-注册表 注册表启动项： HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce …… * 优势 隐蔽性强 方式多样 加载位置 Load键值 Userinit键值 Run RunServicesOnce RunServices RunOnce …… 随系统启动加载方式-服务 优势 隐蔽性强 无需用户登录 权限较高 加载方式 单独服务 替换系统服务程序 随系统启动加载方式-组策略 优势 类似启动项，但隐蔽性更高 不足 需要用户登录 随文件执行加载方式-感染/文件合并 传统病毒 宏病毒 程序合并 随文件执行加载方式-浏览器插件 优势 隐蔽性强 清理困难 随文件执行加载方式-修改文件关联 原理 正常情况下 文本文件（.txt）关联到记事本notepad.exe打开 病毒修改 文本文件（.txt）关联到病毒文件打开 优势 隐蔽性强，可关联任意类型文件，甚至可以关联目录操作 恶意代码隐藏技术 进程隐藏 进程迷惑 DLL注入 网络隐藏 端口复用 无端口 反向端口 系统隐藏 隐藏、系统文件