《信息安全基础》课件_4.3 病毒与木马防范.pptx

第3节病毒与木马防范第4章

目录病毒与木马检测病毒与木马防范方法0102病毒与木马防范意识03

01病毒与木马检测

情景导入警惕“电脑自己有想法”某公司一名员工正在写策划案。突然，电脑浏览器打开。一开始，这位员工并不在意，认为是自己在打字时不小心打开了浏览器。过了一会，电脑弹出一个警告框和许多图片。这位员工意识到自己电脑是不是中病毒了，急忙想关掉弹出框，但是发现关不掉，并且警告框越来越多。这位员工一时半会不知道怎么办，吓得急忙关掉电脑。这位员工冷静下来之后，觉得自己电脑应该是中毒了。接下来，他找到公司安全管理人员，寻求安全管理员的帮助。注：关于病毒木马检测的内容介绍，请参阅第四章/病毒木马检测.mp4

病毒与木马常见检测方法检测方法如果你不小心遇到跟上述案例员工一样的事情，你会怎么处理呢？如何去检测和判定电脑中毒情况？基本信息排查进程分析自启动项检查自动化检测日志分析50常见检测方法

基本信息排查网络排查排查可疑链接检查目标系统是否存在可疑链接，用户是否误点击了可疑链接，导致目标系统被植入了病毒木马。正常链接可疑链接排查IP地址检查目标系统是否存留可疑IP地址，警惕外部IP远程登录或者控制本地系统。

基本信息排查网络连接排查检查端口连接情况，是否有远程连接、可疑连接。排查方法1、netstat-ano查看目前的网络连接，定位可疑的ESTABLISHED2、根据netstat定位出的pid，再通过tasklist命令进行进程定位tasklist|findstr“PID”

基本信息排查网络连接排查对可疑连接或者进程进一步分析使用方法3、获取当前的进程(某可疑进程)、进程路径、命令行、进程ID等信息4、列出某进程的详细信息

基本信息排查定时作业排查病毒木马入侵系统之后，并不一定马上执行，而是选择藏于任务计划程序库，等待特定的时间点去运行。排查方法单击【开始】【运行】，输入control选择“系统和安全”在管理工具中打开“任务计划程序”

基本信息排查CPU排查查看CPU相关参数，比如利用率、速度、进程等。如果系统一开机，CPU使用率就一直保持在80%（或者某个高峰值）以上，那么就需要排查哪个程序占用资源。内存排查病毒木马运行时，会自动打开系统当中某些服务，导致内存被占用。如果系统启动后，内存使用就保持在高峰值，那么就需要排查哪个进程占据内存资源。

进程分析任务管理器进程分析病毒木马只有在运行之后才会对目标系统造成破坏。当病毒木马运行时，一般在进程中可以找到对应的运行程序，一旦发现可疑进程，要及时采取对应措施。一般步骤打开“任务管理器”STEP1查看进程STEP2删除可疑进程STEP3

进程分析进程分析工具ProcessHacker是一款功能丰富的系统进程管理工具，可查看所有进程信息，包括进程加载的dll、进程打开的文件、进程读写的注册表等。用户借助该程序可以方便、快捷地查看相关进程的速度，内存，及模块等等。另外，还可以对相关的进程进行管理工作。ProcessHacker

进程分析进程分析工具ProcessMonitor是一款微软官方推荐，实时刷新的进程信息监控工具，其稳定性和兼容性出色，同时展示的信息全面，专门用来监视系统中的文件操作过程与用来监视注册表的读写操作过程。ProcessMonitor

进程分析其他进程分析工具1一个Windows系统信息查看软件，可协助排查木马、后门等病毒XueTr2XueTr的增强版，功能和XueTr差不多，相比之下，减少出故障的概率PCHunter3可对指定的进程，将其进程空间内的所有模块单独Dump出来，甚至可Dump出隐藏的模块ProcessDump

自启动项检查自启动服务排查排查任务管理器中相关服务，重点排查自启动服务，发现可疑服务，以便及时处理。排查方式（一）打开“任务管理器”STEP1排查“服务”STEP2删除可疑进程STEP3

STEP1自启动项检查排查方式（二）STEP2单击【开始】【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。在PowerShell下输入service。

自启动项检查启动项分析工具AutoRuns是一款出色的启动项目管理工具，其作用是检查开机自动加载的所有程序，例如硬件驱动程序，Windows核心启动程序和应用程序。AutoRuns

自动化检测扫描工具D盾通过自动化工具检测病毒与木马能起到事半功倍的效果。D盾是一款Webshell查杀工具，使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的WebShell后门行为。一般步骤选择“自定义扫描”STEP1选择可疑的文件或文件夹STEP2根据说明内容进行排查STEP3注：关于D盾查杀木马的内容介绍，请参阅第四章/D盾查杀木马.mp4

自动