02.20.恶意代码排查服务技术白皮书v2.0.docxVIP

绿盟科技安全服务技术白皮书

恶意代码排查服务

■文档编号

NSF-2014SI

■密级

内部使用

■版本编号

3.0

■日期

2016/9/26

?DATE\@yyyy2016绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2014/01/01

V1.0

文档创建、丰富内容

安全服务部

2014/12/12

V2.0

丰富内容

安全服务部

2016/9/26

V3.0

丰富内容

安全服务部

■适用性声明

本文档是主要介绍北京神州绿盟信息安全股份有限公司（以下简称“绿盟科技”）的恶意代码排查服务具体内容和方法，用于客户的相关人员了解绿盟科技的恶意代码排查服务。

-PAGE\*ROMAN

-PAGE\*ROMANI-

目录

TOC\h\z\t附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3一.概述 1

1.1基本概念 1

1.2恶意代码排查与应急响应区别 1

1.3恶意代码排查的必要性 1

1.4客户收益 2

二.绿盟科技恶意代码排查服务 2

2.1服务范围 2

2.2服务内容 2

2.3服务的流程 3

2.4服务报告 4

2.5服务注意事项 4

三.相关工具 5

3.1Windows检查工具 5

3.2UNIX/Linux检查工具 6

3.3Web检查工具 7

四.为什么选择绿盟科技 7

DOCPROPERTYTitle绿盟科技安全服务技术白皮书

PAGE7

-PAGE8-

?DATE\@yyyy2016绿盟科技 密级：内部使用

概述

基本概念

恶意代码排查是对当前操作系统和应用的运行环境进行恶意代码安全检查的过程，该项服务是由具备高技能和高素质的安全服务人员来进行的。通过对当前系统和应用的运行环境，包括可疑文件、可疑服务、可疑进程、可疑端口、可疑的网络连接、网站WebShell后门等内容进行一系列的深入检查和分析，来综合评估当前系统的运行环境安全情况，最终提出切实可行的改进建议的一种安全服务形式。

恶意代码排查的目的在于协助客户发现并解决其系统可能存在的安全性问题和隐患，解决长期困扰管理人员的，在发现入侵迹象或可疑行为后，系统的实际安全现状问题。

恶意代码排查与应急响应区别

恶意代码排查不同于应急响应，他们的区别主要体现在服务的目标、对象和时间上的差异。应急响应的目标是快速处理安全事件、防范影响扩大。在控制安全事件影响的前提下，找出安全事件发生的原因，防微杜渐。

应急响应是以发生安全事件为前提，针对事件内容处理该事件中涉及的直接对象，例如相关设备、服务器或网站系统等，而恶意代码排查，更多是非直接对象，是可能受到“二次入侵”的同网段其他设备、服务器或系统。

对于时间而言，应急响应注重短时间内控制安全事件发生的范围，减少影响；而恶意代码排查则是需要对服务器、网站系统逐一检查和分析，并不要求短时间内完成。

恶意代码排查的必要性

在发生安全事件后，例如网站被入侵，挂马，服务器被非法登录等，客户往往担心，内部是否有其他服务器、网站、应用系统也同样遭受攻击，是否已经也被入侵？是否存在恶意程序？是否被远程非法控制？当客户出现类似的苦恼时，恶意代码排查可为客户排忧解难。

实施恶意代码排查，我们可以准确发现被恶意程序，将潜伏的病毒、木马、WebShell后门等恶意代码程序发现并清除。保证当前系统不会再存在任何恶意代码程序的隐患。

客户收益

对客户而言，实施恶意代码排查能够带来如下收益：

排除潜在的恶意代码隐患

恶意代码排查是针对某系统被入侵后，检查系统和内部其他服务器是否可能残留恶意代码风险的过程。安全人员均具有丰富的攻防经验，可以准确发现可疑的病毒、木马、WebShell后门等程序，并将其安全清除。

提高技术人员安全技能水平

在安全人员与用户的交互过程中，可提升用户的安全技能。另外，通过专业的恶意代码排查报告，也能为用户提供处理安全事件、排除安全隐患的最佳实践经验。

绿盟科技恶意代码排查服务

服务范围

恶意代码排查的服务范围主要针对被入侵网站、应用系统等服务器，同时包括与其