恶意代码一般原理及分析简介 病毒问题处理方法.pptVIP

3.4.1 InstallRite 演示 3.4.1 InstallRite 演示 3.4.2 Process Explorer ? Process Explorer 功能 : ? 用来查看系统中正在运行的进程列表 ? 可以查看有些隐藏的进程 ? 可以查看某个进程的具体信息 ? 可以搜索引用某个 dll 文件的所有进程 ? 动态刷新列表 ? 多用于查看带 RootKit 功能 , 进程隐藏 , 内存驻留的恶意程序 3.4.2 Process Explorer 演示 3.4.3 TCP View ? TCP View 功能 : ? 查看系统的网络连接信息 ( 远程地址 , 协议 , 端口号 ) ? 查看系统的网络连接状况 ( 发起连接 , 已连接 , 已断开 ) ? 查看进程打开的端口 ? 动态刷新列表 ? 多用于查看 蠕虫 , 后门 , 间谍等恶意程序 3.4.3 TCP View 演示 3.4.4 Regmon ? Regmon 主要功能 : ? 监视系统中注册表的操作 : ? 如 注册表的打开 , 写入 , 读取 , 查询 , 删除 , 编辑等 ? 多用于监视病毒的自启动信息和方式 . 3.4.4 Regmon 演示 3.4.5 Filemon ? Filemon 主要功能 : ? 监视文件系统的操作 : ? 如 建立文件 , 打开文件 , 写文件 , ? 读文件 , 查询文件信息等 ? 多用于查找 Dropper 的主体程序 . 3.4.5 Filemon 演示 3.4.6 WinPE ? 微软在 2002 年 7 月 22 日推出了 Windows PreInstallation Environment （简称 WinPE ） ? 按微软官方对它的定义是： “ Windows 预安装环境（ WinPE ）是带有限服务的最小 Win32 子系统，基于以保护模式运行的 Windows XP Professional 内核。 3.4.6 WinPE ? WinPE 可用于清除有些顽固的 PE 病毒 ( 文件感染型 ) – 有时在 Windows 环境下 , 用杀毒软件无法彻底清除文件感染型病 毒或关键系统文件已被病毒损坏或替换 . – WinPE 启动后为干净的系统 ( 无毒 ) – WinPE 集成了很多常用的工具 课程进度 ? 1. 病毒概述 1.1 当前面临的威胁 1.2 当前病毒流行的趋势 ? 2. 病毒感染过程和行为 2.1 病毒的传播方式 2.2 病毒自启动方式 ? 3. 常用的病毒处理方法 3.1 疑似病毒现象 3.2 进行系统诊断 3.3 病毒清除方法 3.4 常用的工具介绍 ? 4. 典型的病毒案例分析 ? 5. 防病毒现场演练 4. 典型病毒案例分析 ? 案例 1 ： 后门：灰鸽子 【 BKDR_HUPIGON.G 】 ? 案例 2 ： 木马：传奇木马 【 TROJ_LEGMIR.CN 】 ? 案例 3 ： 蠕虫： 【 WORM_LOVGATE.AE 】 4.1 案例 1 ：灰鸽子 BKDR_HUPIGON.G 灰鸽子的自行安装 ? 在无意中执行了灰鸽子后门程序后 , 会在 windows 目录中释放 4 个文件： – G_SERVER.DLL – G_SERVER.EXE 【 copy of itself 】 – G_SERVER_HOOK.DLL – G_SERVERKEY.DLL ? 使用了 rootkit 技术隐藏以上文件， 导致用户手工查看时不可见。 4.1 案例 1 ：灰鸽子 BKDR_HUPIGON.G ? 灰鸽子的自启动：注册为服务 – 通过将自身注册成服务，并添加以下注册表服务项，常驻内存 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GrayPigeonServer ? 执行后门功能：