查杀病毒木马技巧.ppt

主讲内容 如何判断用户机器是否中病毒或木马 常用安全辅助工具的介绍 典型案例 判断用户机器是否中病毒或木马 机器卡 乱弹窗 打开应用程序出错 程序图标异常 IE首页被篡改 WORD文档乱码等等 使用安全工具扫描发现病毒 安全辅助工具 System Repair Engineer(SREng) procexp.exe autoruns.exe Tcpview.exe Procmon.exe 等等 System Repair Engineer(SREng) 主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏，并提供一系列的修改建议和自动修复方法。 分析用户机器上扫描日志发现问题所在。 procexp.exe procexp.exe是一款高级进程管理器。程序用很直观的树型列表展示系统中的进程，还可以查找进程文件所在目录及验证文件签名。查看进程打开的文件句柄及加载的DLL文件。 更多功能，等待发现。 autoruns.exe autoruns.exe是一款很强大的查看系统启动项的工具。也是一款很强大的系统启动项管理工具。 Tcpview.exe Tcpview.exe是一款网络查看工具，可以查看系统TCP和UDP的连接。 Procmon.exe Procmon.exe实时监视文件系统，注册表、进程、线程和DLL加载。 小结 通常情况下，使用autoruns和procexp二个工具就能够解决大部份木马。 如果上面二个还解决不了，就得使用上接下来将要介绍的anti-rootkit工具。 Rootkit安全辅助工具 Rootkit Unhooker(RKU) IceSword(冰刃) SnipeSword(狙剑) wsyscheck XueTr 等等 Rootkit Unhooker(RKU) 反Rootkit常用工具。 IceSword(冰刃) 国产老牌，作者PJF已经加盟360安全卫士。 软件很长时间没有更新，已经有很多超过冰刃的技术。 SnipeSword(狙剑) 作者徐贵斌，分析查杀组Leader。在作者加盟360安全卫士后便没有更新了。 软件有较多BUG，特别是主动防御方面。但是，软件比冰刃好用。 wsyscheck 反Rootkit常用工具。 XueTr 比较新的一款反rootkit工具，支持win7系统。 小结 以上几款工具功能大同小异，一般熟练一款即可。 通常情况，是不建议使用此类工具的。此类工具功能强大，但风险也大。比如蓝屏等。 在使用注册表编辑及文件粉碎时，请仔细。 经典案例分析 kuku530篡改首页 现象：在注册表中找不到篡改的首页，但是每次打开IE时都会打开KUKU530的首页。 使用进程管理器查看不到可疑进程。 iexplorer.exe下面有一个可疑dll加载，但是找不着dll的加载项。 使用反rootkit工具后，又发现问题！ IE篡改常用手段 木马写启动项，反复篡改首页 木马篡改首页，并对相关键值设置权限，使得常用工具不易清理。 木马篡改首页，使用UNICODE编码等对数据加密，使常规搜索注册表找不到关键项。 一些软件使用超级巡警的IE保护功能来进行篡改首页，这样也难发现。 文件及文件夹被隐藏 使用attrib命令修复。如：attrib -r -a -s -h d:\*.* /s /d更多用法，请使用attrib /? 修复注册表，使系统显示隐藏文件。 安全软件无法运行 这种情况在中毒的机器上较为常见 处理方法一般都是有针对性的下载专杀工具。比如360顽固木马专杀大全或360JAV专杀，在使用这些专杀工具的时候对工具进行改名。 使用一些修改版的安全工具，修改标题，修改文件名运行，找到可疑进程后结束提取回来分析。 日志分析 各种安全工具的日志分析，主要查看系统的RUN项及服务项。排查可疑文件。 目前除SREng的日志，360安全卫士的诊断日志也较为详细，可以作为参考。 后记 本次主要讲解安全辅助工具的使用。 更多关于木马方面的信息建议大家空余时间阅读一下《疱丁解马教程－木马查杀深度剖析》。 由于样本管理规定，此次案例样本不便于给大家，还请见谅。 * 查杀病毒木马技巧 --360一对一服务组 *