安全培训课件04_主机恶意代码分析防范.pptxVIP

主机恶意代码分析防范;恶意代码概述;;;;;;;;;;远程控制与木马;;;;;;;IP可能是动态 处于内网 防火墙拦截 固定监听端口，容易被发现;;;两类进程： 独立进程，共享进程（svchost） 共享进程（寄生） 本身不提供任何服务，别的服务在这里启动 服务使用动态链接库文件，把执行程序指向svchost svchost调用相应服务的DLL文件来启动服务 举例： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters\ServiceDll;;;;;;;网络蠕虫;;;;;;;;网页挂马;;;;键盘记录木马;键盘记录实现方式 键盘消息监听 安装键盘钩子 ;通过进程注入方式注入记事本进程 hook掉键盘消息;rootkit;;;;;;Linux用户模式rootkit (LRK5) bindshell port/shell type daemon! find Trojaned! Hide files ifconfig Trojaned! Hide sniffing linsniffer Packet sniffer! login Trojaned! Remote access ls Trojaned! Hide files netstat Trojaned! Hide connections ps Trojaned! Hide processes syslogd Trojaned! Hide logs tcpd Trojaned! Hide connections, avoid denies z2 Zap2 utmp/wtmp/lastlog eraser! ;Linux内核模式rootkit LKM (Loadable Kernel Modules) LKM是Linux的一个合法组件，用来增加对新硬件的支持 或者在内核中插入代码以支持新的功能 insmod –o rootkit.o 原理：修改系统调用表 ;实例：Adore 组成： LKM模块 和 AVA控制程序 功能： 支持Linux 2.4 和 2.6 的内核 隐藏文件 隐藏特定的进程 以root权限执行命令，不管当前用户是否具有root权限 ;Adore-ng参数 Usage: ./ava [option] filename/PID I print info (secret UID etc) h hide file u unhide file r execute as root R remove PID forever U uninstall adore i make PID invisible v make PID visible ;;;;;;;Rootkit Hunter Rootkit scanner is scanning tool to ensure you for about 99.9%* youre clean of nasty tools. This tool scans for rootkits, backdoors and local exploits by running tests like:- MD5 hash compare- Look for default files used by rootkits- Wrong file permissions for binaries- Look for suspected strings in LKM and KLD modules- Look for hidden files- Optional scan within plaintext and binary files http://www.rootkit.nl:80/projects/rootkit_hunter.html ;;恶意代码辅助分析工具;恶意代码分析方法 1，静态分析：IDA等 ;;;;;;;;Linux下分析工具 Strace strace常用来跟踪进程执行时的系统调用和所接收的信号 strace可以跟踪到一个进程产生的系统调用,包括参数，返回值，执行消耗的时间 ;lsof lsof（list open files）是一个列出当前系统打开文件的工具 lsof??filename 显示打开指定文件的所有进程? ;恶意代码防范;;谢谢！