第4章：木马攻击与防御技术汇总.ppt

* 网络入侵与防范讲义 * 处理遗留问题(2) 首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可供参考。 利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。 * 网络入侵与防范讲义 * 处理遗留问题(3) 其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？ * 网络入侵与防范讲义 * 处理遗留问题(4) 在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合，最好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。 在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或网络安全的负责人，彻底检测整个网络，修改所有密码，在此基础上再执行后继风险分析。对于被入侵的机器，重新进行彻底的格式化和安装。 * 网络入侵与防范讲义 * 4.4.3 木马的防范 虽然木马程序隐蔽性强，种类多，攻击者也设法采用各种隐藏技术来增加被用户检测到的难度，但由于木马实质上是一个程序，必须运行后才能工作，所以会在计算机的文件系统、系统进程表、注册表、系统文件和日志等中留下蛛丝马迹，用户可以通过“查、堵、杀”等方法检测和清除木马。 * 网络入侵与防范讲义 * 木马的防范(2) 其具体防范技术方法主要包括：检查木马程序名称、注册表、系统初始化文件和服务、系统进程和开放端口，安装防病毒软件，监视网络通信，堵住控制通路和杀掉可疑进程等。 * 网络入侵与防范讲义 * 木马的防范(3) 以下是一些常用的防范木马程序的措施： 及时修补漏洞，安装补丁 运行实时监控程序 培养风险意识，不使用来历不明的软件 即时发现，即时清除 特征码检测 特征码是某个已知恶意程序特有的一串二进制信息，它是该恶意程序的唯一标识，特征串一般不大于64字节 特征码检测是目前最成熟、可靠和有效的恶意软件检测技术，具有误报率低、检测效率高、检测准确率高、稳定性高的特点 这种检测技术需要事先知道木马文件的特征值，并将特征值存进检测特征库中，当对恶意软件进行检测时，需将其特征码与特征库的特征码进行对比来实现检测 缺点： 特征码的搜集一般都存在滞后性，因为首先要对捕获到的木马样本程序进行分析，对代表木马的核心代码进行定位，并需要对这段代码进行反复的测试验证，只有确保这段代码可以将该木马程序与其他合法程序区别时，才能确定这段代码是特征码，并加入到特征库中，并在以后的检测中不断地升级更新特征码库 不能检测到新出现的恶意软件，对一些已知恶意软件的变种也难以检测 壳检测与逆向分析 加壳是一般木马的通用手段，既可以压缩木马的大小，又可以在一定程度上防止被人逆向分析，也可在一定程度上做到对查杀软件免疫。因此，如果检测发现可疑文件被加壳，再结合公司信息等其他一些信息（微软的系统文件一般是不加壳的），即可初步判断是否为木马了。 查壳的主要工具如PEiD。由于不同的壳有其特征码，利用这点就可识别是被何种壳所加密。PEiD的原理是利用搜索特征串来完成对壳的识别。 如果通过壳检测，还是无法准确判断其是否为木马时，可以通过动态调试或静态反汇编来对文件进行进一步分析，通过追踪其行为和查看其汇编代码，即可分析出其具体的功能，从而准确判断是否为木马文件。 动态调试就是利用调试器（例如OllyDBG工具），单步跟踪执行软件。OllyDBG适合于调试Ring3级的程序，功能十分强大。 及时修补漏洞，安装补丁 及时安装系统及应用软件的补丁可以保持这些软件处于最新状态，同时也修复了最新发现的漏洞。通过漏洞修复，最大限度地降低了利用系统漏洞植入木马的可能性。 运行实时监控程序 选用实时监控程序、各种反病毒软件，在运行下载的软件之前用它们进行检查，防止可能发生的攻击。同时还要准备如Cleaner、LockDown、木马克星等专门的木马程序清除软件，用于删除系统中已经存在的感染程序。有条件的用户还可以为系统安装防火墙，这能够大大增加黑客攻击成功的难度。 * 网络入侵与防范讲义 * 培养风险意识，不使用来历不明的软件 互联网中有大量的免费、共享软件供用户下载使用，很多个人网站为了增加防问量也提供一些趣味游戏供浏览者下载。 而这些下载的软件很可能就是一个木马程序，对于这些来历不明的软件最好不要使用，即使通过了一般反病毒软件的检查也不要轻易运行。 * 网络入侵与防范讲义 * 培养风险意识，不使用来历不明的