02.20.恶意代码排查服务技术白皮书v2.0.pdfVIP

绿盟科技安全服务技术白皮书

恶意代码排查服务

■文档编号NSF-2014SI■密级内部使用

■版本编号2.0■日期2014/12/12

©2014绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿

盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方

式复制或引用本文的任何片断。

■版本变更记录

时间版本说明修改人

2014/01/01V1.0文档创建、丰富内容安全服务部

2014/12/12V2.0丰富内容安全服务部

■适用性声明

本文档是主要介绍北京神州绿盟信息安全股份有限公司（以下简称“绿盟科技”）的恶意代码排查服务具

体内容和方法，用于客户的相关人员了解绿盟科技的恶意代码排查服务。

目录

一.概述1

1.1基本概念1

1.2恶意代码排查与应急响应区别1

1.3恶意代码排查的必要性1

1.4客户收益2

二.绿盟科技恶意代码排查服务2

2.1服务范围2

2.2服务内容2

2.3服务的流程3

2.4服务报告4

2.5服务注意事项4

三.相关工具5

3.1WINDOWS检查工具5

3.2UNIX/LINUX检查工具6

3.3WEB检查工具7

四.为什么选择绿盟科技7

-I-

绿盟科技安全服务技术白皮书

一.概述

1.1基本概念

恶意代码排查是对当前操作系统和应用的运行环境进行恶意代码安全检查的过程，该项

服务是由具备高技能和高素质的安全服务人员来进行的。通过对当前系统和应用的运行环境，

包括可疑文件、可疑服务、可疑进程、可疑端口、可疑的网络连接、网站WebShell后门等内

容进行一系列的深入检查和分析，来综合评估当前系统的运行环境安全情况，最终提出切实

可行的改进建议的一种安全服务形式。

恶意代码排查的目的在于协助客户发现并解决其系统可能存在的安全性问题和隐患，解

决长期困扰管理人员的，在发现入侵迹象或可疑行为后，系统的实际安全现状问题。

1.2恶意代码排查与应急响应区别

恶意代码排查不同于应急响应，他们的区别主要体现在服务的目标、对象和时间上的差

异。应急响应的目标是快速处理安全事件、防范影响扩大。在控制安全事件影响的前提下，

找出安全事件发生的原因，防微杜渐。

应急响应是以发生安全事件为前提，针对事件内容处理该事件中涉及的直接对象，例如

相关设备、服务器或网站系统等，而恶意代码排查，更多是非直接对象，是可能受到“二次

入侵”的同网段其他设备、服务器或系统。

对于时间而言，应急响应注重短时间内控制安全事件发生的范围，减少影响；而恶意代

码排查则是需要对服务器、网站系统逐一检查和分析，并不要求短时间内完成。

1.3恶意代码排查的必要性

在发生安全事件后，例如网站被入侵，挂马，服务器被非法登录等，客户往往担心，内

部是否有其他服务器、网站、应用系统也同样遭受攻击，是否已经也被入侵？是否存在恶意

程序？是否被远程非法控制？当客户出现类似的苦恼时，恶意代码排查可为客户排忧解难。

实施恶意代码排查，我们可以准确发