病毒处理技术.ppt

病毒处理技术 Martin Chen 课程目标 掌握反病毒知识 熟悉反病毒工具的使用 培养现场反病毒应急响应能力 培训课程安排 病毒概述 1.1 当前面临的威胁 1.2 计算机病毒的分类 1.3 当前病毒流行的趋势 常见病毒类型说明及行为分析 2.1 常见病毒传播途径 2.2 病毒自启动方式 2.3 常见病毒行为 培训课程安排 病毒处理技术 3.1 趋势防病毒产品工作机制介绍 3.2 病毒问题标准处理流程 3.3 常用的病毒处理方法 3.4 常用工具介绍 典型病毒案例分析 1. 病毒概述 病毒概述 课程进度 病毒概述 1.1 当前用户面临的威胁 1.2 计算机病毒的分类 1.3 当前病毒流行趋势 常见病毒类型说明及行为分析 2.1 常见病毒传播途径 2.2 病毒自启动方式 2.3 常见病毒行为 1.1 当前用户面临的威胁 不同种类的间谍软件 1.3 当前病毒流行趋势 范围：全球性爆发逐渐转变为地域性爆发 如WORM_MOFEI.B等病毒逐渐减少 TSPY_QQPASS, TSPY_WOW, PE_LOOKED等病毒逐渐增加 速度：越来接近零日攻击(Zero-Day Attack) 如WORM_ZOTOB, WORM_IRCBOT等 方式：病毒、蠕虫、木马、间谍软件联合 如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒 2. 常见病毒类型说明及行为分析 常见病毒类型说明及行为分析 课程进度 病毒概述 1.1 当前用户面临的威胁 1.2 计算机病毒的分类 1.3 当前病毒流行趋势 常见病毒类型说明及行为分析 2.1 常见病毒传播途径 2.2 病毒自启动方式 2.3 常见病毒行为 2.1 常见病毒传播途径 传播方式主要有： 电子邮件 网络共享 P2P 共享 系统漏洞 移动磁盘传播 2.1 常见病毒传播途径 电子邮件 HTML正文可能被嵌入恶意脚本， 邮件附件携带病毒压缩文件 利用社会工程学进行伪装，增大病毒传播机会 快捷传播特性 例：WORM_MYTOB，WORM_STRATION等病毒 2.1 常见病毒传播途径 网络共享 病毒会搜索本地网络中存在的共享，包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测，获得完全访问权限 病毒自带口令猜测列表 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 例：WORM_SDBOT 等病毒 2.1 常见病毒传播途径 P2P共享软件 将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名 通过P2P软件共享给网络用户 利用社会工程学进行伪装，诱使用户下载 例：WORM_PEERCOPY.A等病毒 2.1 常见病毒传播途径 系统漏洞 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞. 病毒往往利用系统漏洞进入系统, 达到传播的目的。 常被利用的漏洞 RPC-DCOM 缓冲区溢出 (MS03-026) Web DAV (MS03-007) LSASS (MS04-011) (Local Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒 2.1 常见病毒传播途径 其他常见病毒感染途径： 网页感染 与正常软件捆绑 用户直接运行病毒程序 由其他恶意程序释放 目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。 3. 病毒处理技术 病毒处理技术 课程进度 病毒处理技术 3.1 趋势防病毒产品工作机制介绍 3.2 病毒问题标准处理流程 3.3 常用的病毒处理方法 3.4 常用工具介绍 典型病毒案例分析 3.1 趋势防病毒产品工作机制介绍 扫毒模块 扫描并检测含有恶意代码的文件，对其做出处理。对于被文件型病毒感染的可执行文件进行修复。 扫描引擎-VSAPI TMFilter 病毒码-LPT$VPN.xxx 间谍软件病毒码-TMAPTN.xxx 网络病毒码-TMFxxxxx.PTN 3.1 趋势防病毒产品工作机制介绍 损害清除服务(DCS) 对于正在运行/已经加载的病毒进行清除（包括终止进程、脱钩DLL文件、删除文件