网络恶意代码诊断及查杀方法.pptx

网络恶意代码诊断及查杀方法网络恶意代码诊断及查杀方法第1页

2目录1.ASEC业务进程2.V3引擎结构3.V3引擎诊疗方法及治疗网络恶意代码诊断及查杀方法第2页

31.ASEC业务进程网络恶意代码诊断及查杀方法第3页

4监控对策监控恶性代码及安全威胁经过V3,SpyZero及网络信号对安全威胁应用对策保护保护客户IT资产及Infra1.ASEC业务进程1.ASEC(AhnLabSecurityEmergencyresponseCenter)Mission网络恶意代码诊断及查杀方法第4页

5紧急对策引擎开发提供安全服务V3产品群,SpyZero产品群引擎开发对应防蠕虫,防间谍软件网络信号VBS(VirusBlockingService)OM(OutbreakManagement)PolicyWindows安全及Application补丁24小时365天监控分析漏洞恶性代码引擎升级提供分析信息1.ASEC业务进程2.ASECRoleResponsibilities网络恶意代码诊断及查杀方法第5页

63.ASEC组织结构图ASEC由以下4个小组组成1)对应小组364天,24小时实时监控,恶性代码早期对应,病毒申报中心V3及SZ引擎装卸2)分析1小组分析恶性代码,制作V3引擎,制作恶性代码分析信息,表达诊疗及治疗代码制作OMPolicy3)分析2小组制作TrusGuard信号,制作Spyware引擎,分析系统及网络漏洞4)引擎开发小组开发引擎,Flight引擎维修,Flight引擎改进1.ASEC业务进程网络恶意代码诊断及查杀方法第6页

74.ASEC恶性代码样品接收恶性代码样品接收路径韩国我国个人客户及企业客户韩国我国政府机关及情报保护单位中国法人,日本法人,国外政府机关,国外情报保护单位经过HoneyPot自行搜集恶性代码样品与国外Anti-Virus企业交换样品(如在中国,与瑞星、江民及金山进行样本交流）接收样品分析[对应小组][分析1小组与分析2小组1.ASEC业务进程网络恶意代码诊断及查杀方法第7页

82.V3引擎结构网络恶意代码诊断及查杀方法第8页

92.V3引擎结构1.V3引擎文件现在V3产品群使用V3Flight(FastandLightHyperTechnology)引擎V3pro32e.dll–Flight引擎文件在C:\ProgramFiles\AhnLab\V3\System\13文件夹V3warpn.v3d–Flight引擎使用恶性代码诊疗名数据文件在Windows系统文件夹V3warpd.v3d–Flight引擎使用恶性代码诊疗及治疗数据文件在Windows系统文件夹网络恶意代码诊断及查杀方法第9页

102.V3引擎装卸以引擎初始化阶段,确保系统资料,准备检验执行文件检验感染时,治疗后再重新心检验执行引擎去除后,结束2.V3引擎结构网络恶意代码诊断及查杀方法第10页

113.V3引擎诊疗方法及治疗网络恶意代码诊断及查杀方法第11页

123.V3引擎诊疗方法与治疗1.V3主要诊疗方法V3Flight引擎主要有5个诊疗方法,以CRC检验为基础.1)PE-CRC在诊疗普通PE文件时使用2)PE-EXTRA-CRC在普通PE文件中,CRC2选择困难时3)COM-CRC诊疗DOS文件COM文件时使用4)EXE-CRC诊疗DOSEXE文件与HEAD诊疗为MZ文件时使用5)Script-CRC诊疗Script文件(VBS,HTML,ASP,JS)等相同Text基础文件时使用网络恶意代码诊断及查杀方法第12页

132.PE-CRC诊疗方法是最常被使用诊疗方法,共使用3个CRC与1个文件Offset1)CRC1在PEHEAD选择共12BytesCRC2)CRC2在文件EntryPoint选择100H之外78H大小CRC3)CRC3(UserCRC)在分析人员选择文件Offset选择78HCRCPE-CRC在PE文件中使用共252Bytes选择CRC3.V3引擎诊疗方法及治疗网络恶意代码诊断及查杀方法第13页

143.PE-EXTRA-CRC诊疗方法3.V3引擎诊疗方法及治疗基础上与PE-CR