恶意代码技术分析与应急响应.ppt

* 恶意代码技术分析及应急响应 * 本地病毒木马程序检查 查找相关木马程序所在位置: 直接使用杀毒软件查杀 将可疑进程的名字到google上去查找看是否有相关资料 自己使用netstat –ano(winxp以上版本)或者fport.exe(win2000及以下版本)软件查看 到注册表里去查找 使用一些其他的进程查看软件 * 恶意代码技术分析及应急响应 * 本地病毒木马程序检查 手动清除的基本过程: 关闭系统还原功能 重新启动系统到安全模式下(启动时按F8) 找到相应文件删除掉 修改相应的注册表值 * 恶意代码技术分析及应急响应 * 本地病毒木马程序检查 修改注册表,恢复系统查看隐藏文件的功能: HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN 将CheckedValue的值改为2 HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 将CheckedValue的值改为1 * 恶意代码技术分析及应急响应 * 本地病毒木马程序检查 到C:/windows/system32下去找到刚才注册表里查看的KB896588M.LOG,删除掉它 修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 的AppInit\DLLs 值改为空 重新启动系统,并及时安装杀毒软件,进行全面杀毒 * 恶意代码技术分析及应急响应 * 提纲 恶意代码及其分类 恶意代码技术的发展 恶意代码分析与防范 讨论 回答问题：你觉得恶意代码技术的发展对计算机网络相关技术和领域的发展起了哪些作用？ * 恶意代码技术分析及应急响应 * Thanks, See you later…… * 攻击的复杂性在增加，攻击者的知识和技能需求在下降。 80年代初，黑客需要手工测试系统的漏洞，自己发现系统的漏洞，猜测计算机系统的口令，手工编写代码利用系统的漏洞，他能够控制的计算机也很少10几台或几十台； 现在，关于网络和系统漏洞的站点有很多，利用这些漏洞的源代码也很容易得到，网络上已经有很多自动化的工具可以用（扫描目标系统、自动入侵、自动汇总攻击结果），而且经常交流，新的漏洞公布以后，黑客可以重用大部分代码，一夜之间可以控制成百、上前，甚至数十万台计算机 * 0day * * 著名的病毒“Anna Kornikova”就是用病毒机生产出来的，它是病毒机制造的病毒中最典型的代表。该蠕虫是一个20岁的荷兰小男孩用VBSWG生产的，而他甚至承认自己根本就不会写程序。然而，由于这个VBS蠕虫具有群发邮件的能力，再结合社会工程（Social Engineering）的攻击技术，其效果还相当完美，毕竟，很多用户渴望看到Anna Kornikova最新的玉照，而不是执行病毒的脚本文件。 * 演示如何备份注册表 演示如何修改和删除注册表的键值 演示注册表管理软件的查找功能 演示注册表管理软件的收藏功能（和IE的收藏功能很像） 使用记事本编辑注册表文件wsus.reg,并将其导入系统 * 演示netstat 系统命令 演示系统进程管理器查看可疑进程 * * 恶意代码技术分析及应急响应 * 恶意代码自保护技术 反反汇编（Antidisassembly） 多态病毒（Polymorphic Viruses ） 变形病毒（Metamorphic Viruses） 反跟踪（Antidebugging） 反制病毒 * 恶意代码技术分析及应急响应 * 反反汇编（Antidisassembly） 数据压缩 数据加密 Fix2001 干扰代码 MOV CX, 100h ; this many bytes MOV AH, 40h ; to write INT 21h ; use main DOS handler MOV CX,003Fh ; CX=003Fh INC CX ; CX=CX+1 (CX=0040h) XCHG CH,CL ; swap CH and CL (CX=4000h) XCHG AX,CX ; swap AX and CX (AX=4000h) MOV CX,0100h ; CX=100h INT