计算机防病毒技术培训(69张)课件

1、计算机防病毒技术培训(69张)课件计算机防病毒技术培训(69张)课件病毒概述常见病毒类型说明及行为分析病毒处理技术典型病毒案例分析培训课程安排病毒概述培训课程安排病毒概述计算机防病毒技术培训(69张)课件当前用户面临的威胁随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁：病毒 PE蠕虫 WORM木马 TROJ后门 BKDR间谍软件 TSPY其他以上统称为恶意代码。当前用户面临的威胁随着互联网的发展，我们的企业和个人用户在享当前用户面临的威胁ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhis

2、hingPharmingBotsAdwareTrojan SpywareDownloadersDroppersPassword StealersBackdoors防间谍软件产品覆盖范围防病毒产品覆盖范围当前用户面临的威胁ThreatsSpamMalwareGra现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件 (有恶意行为) 间谍软件(无恶意行为) 灰色软件（正邪难辨） (往往是用户不需要的程序)恶意程序：一种会带来危害结果的程序特洛伊木马：伪装成正常的应用程序或其它正常文件后门木马：一种会在主机上开放端口让远程计算机远程访问的恶意程序现代计算机病毒的分类病毒特洛伊木马后门蠕虫恶

3、意软件间谍软件现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件 (有恶意行为) 间谍软件(无恶意行为) 灰色软件（正邪难辨） (往往是用户不需要的程序)病毒：病毒会复制（感染）其它文件通过各种方法前附着插入C. 覆盖D. 后附着蠕虫:蠕虫自动传播自身的副本到其他计算机：通过邮件（邮件蠕虫）通过点对点软件 (点对点蠕虫)通过IRC (IRC 蠕虫)通过网络 (网络蠕虫)现代计算机病毒的分类病毒特洛伊木马后门蠕虫恶意软件间谍软件现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件 (有恶意行为) 间谍软件(无恶意行为) 灰色软件（正邪难辨） (往往是用户不需要的程序)间谍软

4、件： 此类软件会监测用户的使用习惯和个人信息，并且会将这些信息在未经用户的认知和许可下发送给第三方。包括键盘纪录，事件日志，cookies，屏幕信息等，或者是上面所列的信息的组合。对系统的影响表现为系统运行速度下降，系统变得不稳定，甚至当机。现代计算机病毒的分类病毒特洛伊木马后门蠕虫恶意软件间谍软件恶意的间谍软件灰色软件(无恶意的间谍软件)来源病毒制造者，黑客一些合法的软件开发程序员是否被视为恶意程序？肯定是不确定，依赖于用户的看法检测此类程序是否会带来法务上的问题？否是 Pattern 文件格式LPT$VPN.xxxTMAPTN.PTN检测与否默认开启默认关闭，用户必须手动开启恶意程序灰色地

5、带间谍软件不同种类的间谍软件恶意的间谍软件灰色软件(无恶意的间谍软件)来源病毒制造者，黑当前病毒流行趋势 范围：全球性爆发逐渐转变为地域性爆发 如WORM_MOFEI.B等病毒逐渐减少 TSPY_QQPASS, TSPY_WOW, PE_LOOKED等病毒逐渐增加 速度：越来接近零日攻击(Zero-Day Attack) 如WORM_ZOTOB,WORM_DOWNAD(飞客),欧洛拉（google）等 方式：病毒、蠕虫、木马、间谍软件联合 如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒当前病毒流行趋势 范围：全球性爆发逐渐转变为地域性爆 常见病毒类型说明及行为分

6、析计算机防病毒技术培训(69张)课件木马病毒： TROJ_XXXX.XX后门程序： BKDR_XXXX.XX蠕虫病毒： WORM_XXXX.XX间谍软件： TSPY_XXXX.XX广告软件： ADW_XXXX.XX文件型病毒： PE_XXXX.XX引导区病毒：目前世界上仅存的一种引导区病毒 POLYBOOT-B加壳软件：PACKER_XXXX.XX趋势科技对恶意程序的分类木马病毒： TROJ_XXXX.XX趋势科技对恶意程病毒感染系统时，感染的过程大致可以分为：通过某种途径传播，进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能如： 打开后门等待连接 发起DDOS攻

7、击 进行键盘记录 病毒感染的一般方式病毒感染系统时，感染的过程大致可以分为：病毒感染的一般方式 除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。对于不同类型的病毒，它们传播、感染系统的方法也有所不同。常见病毒传播途径 除引导区病毒外，所有其他类型的病毒，无一例常见病毒传播途径传播方式主要有： 电子邮件 网络共享 P2P 共享 系统漏洞 移动磁盘传播IE 零日攻击Adobe漏洞Windows操作系统漏洞U盘病毒常见病毒传播途径传播方式主要有：IE 零日攻击U盘病毒常见病毒传播途径 电子邮件HTML正文可能被嵌入恶意脚本，邮件附件携带病毒压缩文件利用

8、社会工程学进行伪装，增大病毒传播机会快捷传播特性例：WORM_MYTOB，WORM_STRATION等病毒常见病毒传播途径 常见病毒传播途径 网络共享 病毒会搜索本地网络中存在的共享，包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测，获得完全访问权限 病毒自带口令猜测列表将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名例：WORM_SDBOT 等病毒常见病毒传播途径 常见病毒传播途径 P2P共享软件将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名通过P2P软件共享给网络用户利用社会工程学进行伪装，诱使用户下载例：WORM_

9、PEERCOPY.A等病毒常见病毒传播途径 常见病毒传播途径 系统漏洞由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞. 病毒往往利用系统漏洞进入系统, 达到传播的目的。常被利用的漏洞RPC-DCOM 缓冲区溢出 (MS03-026)Web DAV (MS03-007)LSASS (MS04-011) (Local Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒常见病毒传播途径 系统漏洞常见病毒传播途径 案例SQL Slammer攻击网络上任意IP的1434端口

10、，实现DDOS攻击造成大量网络流量，阻塞网络2005年3月，国内某银行一台服务器感染该病毒，导致核心交换机负载达到99%，引起网络瘫痪从ServerProtect日志中确认为SQL Slammer病毒SQL服务器未安装补丁安装SQL Server 2000 SP3，并再次使用ServerProtect查杀病毒，问题解决。常见病毒传播途径 案例Google被黑事件“极光行动 Operation Aurora” 或“欧若拉行动”攻击使用的是以前所有版本的IE中都未发现的漏洞，除了5.01 (CVE-2010-0249). 在最近的安全咨询中，微软承认此漏洞被利用来攻击谷歌和其他机构，并且推荐了一些

11、变通解决方案来减少此漏洞带来的影响。Google被黑事件“极光行动 Operation Auro百度“被黑”事件不法分子并没有攻击百度的服务器，而是选取美国域名注册商为攻击对象，非法篡改。在此次攻击事件当中，黑客实际上是绕开了百度本身的安全保护，而攻击了DNS管理服务器百度“被黑”事件不法分子并没有攻击百度的服务器，而是选取美国常见病毒传播途径移动存储设备利用自动播放、自动执行功能进行传播。和使用者操作习惯相关。多通过U盘等移动存储设备传播，故又被称为“U盘病毒”例子，PE_PAGIPEF等病毒常见病毒传播途径移动存储设备常见病毒传播途径其他常见病毒感染途径： 网页感染 与正常软件捆绑 用户直

12、接运行病毒程序 由其他恶意程序释放 目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。常见病毒传播途径其他常见病毒感染途径： 广告软件/灰色软件 由于广告软件/灰色软件的定义，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定。常见病毒传播途径 广告软件/灰色软件常见病毒传播途径及时更新系统和应用软件补丁，修补漏洞强化密码设置的安全策略，增加密码强度加强网络共享的管理增强员工的病毒防范意识防止病毒入侵及时更新系统和应用软件补丁，修补漏洞防止病毒入侵 自启动特性 除引导区病毒外，绝大多数病毒感染系统后，都具有自启动特性。 病毒在系统中的行为是基于病毒在系

13、统中运行的基础上的，这就决定了病毒必然要通过对系统的修改，实现开机后自动加载的功能。病毒自启动方式修改注册表将自身添加为服务将自身添加到启动文件夹修改系统配置文件加载方式服务和进程病毒程序直接运行嵌入系统正常进程DLL文件和OCX文件等驱动SYS文件 自启动特性病毒自启动方式修改注册表加载方式 修改注册表注册表启动项文件关联项系统服务项BHO项其他病毒自启动方式 修改注册表病毒自启动方式注册表启动HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices RunServicesOnce Run RunOnceHK

14、EY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下： Run RunOnce（当次运行时出现） RunServices以上这些键一般用于在系统启动时执行特定程序病毒自启动方式注册表启动病毒自启动方式文件关联项HKEY_CLASSES_ROOT下：exefileshellopencommand =%1 %*comfileshellopencommand =%1 %*batfileshellopencommand =%1 %*htafileShellOpenCommand =%1 %*piffileshellopencommand =%1

15、%*“病毒将%1 %*改为 “virus.exe %1 %*virus.exe将在打开或运行相应类型的文件时被执行病毒自启动方式文件关联项病毒自启动方式 修改配置文件%windows% wininit.ini中Rename节 NUL=c:windowsvirus.exe 将c:windowsvirus.exe设置为NUL,表示让windows在将virus.exe 运行后删除.Win.ini中的windows节 load = virus.exe run = virus.exe 这两个变量用于自动启动程序。System.ini 中的boot节 Shell = Explorer.exe,virus

16、.exe Shell变量指出了要在系统启动时执行的程序列表。病毒自启动方式 修改配置文件病毒自启动方式病毒常修改的Bat文件%windows%winstart.bat 该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。Autoexec.bat 在DOS下每次自启动病毒自启动方式病毒常修改的Bat文件病毒自启动方式 修改启动文件夹(比较少，如磁碟机)当前用户的启动文件夹 可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项公共的启动文件夹

17、 可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。病毒自启动方式 修改启动文件夹(比较少，如磁碟机)病毒自启动方式 病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。 常见病毒行为无论病毒在系统表现形式如何我们需要关注的是病毒的隐性行为！ 病毒感染系统后，无疑会对系统做出

18、各种修 下载特性 很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。后门特性 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。下载与后门特性-Downloader & Backdoor 下载特性下载与后门特性-Downloader & Back 信息收集特性 大多数间谍软件和一些木马都会收集系统中用户的私人信息，特别各种帐号和密码。收集到的信息通常都会被病毒通过自带的

19、SMTP引擎发送到指定的某个指定的邮箱。信息收集特性-StealerQQ密码和聊天记录网络游戏帐号密码网上银行帐号密码用户网页浏览记录和上网习惯 信息收集特性信息收集特性-StealerQQ密码和聊天记录自身隐藏特性 多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性，更有一些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改，以使其更加隐蔽不易被发现。自身隐藏特性-Hide & Rootkit 有一些病毒会使用Rootkit技术来隐藏自身的进程和文件，使得用户更难以发现。 使用Rootkit技术的病毒，通常都会有一个.SYS文件加载在系统的驱动中，用以实现Rootk

20、it技术的隐藏功能。自身隐藏特性自身隐藏特性-Hide & Rootkit 文件感染特性 文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。 有的文件型病毒会感染系统中其他类型的文件。文件感染特性-Infector典型-PE_LOOKED 维京PE_FUJACKS 熊猫烧香文件感染特性文件感染特性-Infector典型-网络攻击 一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击，从而导致受攻击的计算机出现各种异常现象，或是通过漏洞在受攻击的计算机上远程执行恶意

21、代码。 一些木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。网络攻击特性-Attacker振荡波利用MS04-011漏洞攻击 ARP攻击网络攻击网络攻击特性-Attacker振荡波利用MS04-网络攻击特性-Attacker 案例ARP 攻击/欺骗利用ARP协议自身的高信任特性，欺骗用户端ARP缓存表中的记录客户端连接到虚假网关地址，无法上网，引起局域网瘫痪2006年8月，某公司多台计算机感染具有ARP欺骗特性的病毒，引起办公、开发的部

22、分网段频繁出现网络时通时断现象这部分客户机长期无人维护补丁缺失，无防毒软件安装多种恶意软件网络攻击特性-Attacker 案例病毒处理技术计算机防病毒技术培训(69张)课件疑似病毒现象经常出现系统错误或系统崩溃系统反应变慢，网络拥塞陌生进程或服务可疑的打开端口可疑的自启动程序病毒邮件疑似病毒现象经常出现系统错误或系统崩溃进行系统诊断趋势科技提供SIC 工具 (system information collector) 进行系统的诊断，并收集系统信息，包括网络共享网络连接注册表自启动项已注册的系统服务当前进行列表引导区信息等其他工具：HijackThis，SREng进行系统诊断趋势科技提供SIC

23、 工具病毒清除方法标识病毒文件和进程中止病毒进程或服务使用windows自带的任务管理器使用第三方的进程管理工具， 如process explorer或是pstools。病毒清除方法标识病毒文件和进程病毒清除方法恢复注册表的设定根据病毒修改的具体情况，删除或还原相应的注册表项。 您可以从趋势科技网站的以下链接中查找病毒相关的信息： /vinfo/virusencyclo/default.asp工具：注册表编辑器 regedit.exe 您可以用以下命令运行: command /c copy %WinDir%regedit.exe | 提示：如果您不确信找到的键值是不是属于该病毒的，您可以写信给

24、趋势科技的技术人员寻求进一步的信息。病毒清除方法恢复注册表的设定病毒清除方法恢复系统配置文件的设定检查 Win.ini 配置文件的 windows 节中的项：如: windows load= virus.exe run = virus.exe检查 System.ini 配置文件的 boot 节中的项：如: boot Shell=Explorer.exe virus.exe删除病毒相关的部分.病毒清除方法恢复系统配置文件的设定常用工具介绍工具：SIC，HijackThis 系统诊断Process Explorer 分析进程TCPView 分析网络连接Regmon,InstallRite 监视注册

25、表Filemon,InstallRite 监视文件系统WinPE常用工具介绍工具：InstallRite InstallRite功能:跟踪文件系统的变化跟踪注册表的变换注:若恶意程序带有RootKit功能, 请重启后进入安全模式再分析系统变化(如灰鸽子某些变种)局限性: 解决方法无法跟踪进程树的变化 Process Explorer无法跟踪网络连接和端口情况 TCP ViewerInstallRite InstallRite功能:InstallRite 演示InstallRite 演示InstallRite 演示InstallRite 演示Process Explorer Process Ex

26、plorer 功能:用来查看系统中正在运行的进程列表可以查看有些隐藏的进程可以查看某个进程的具体信息可以搜索引用某个dll文件的所有进程动态刷新列表Process Explorer Process ExploProcess Explorer 演示Process Explorer 演示TCP ViewTCP View 功能:查看系统的网络连接信息(远程地址,协议,端口号)查看系统的网络连接状况(发起连接,已连接,已断开)查看进程打开的端口动态刷新列表多用于查看 蠕虫,后门,间谍等恶意程序TCP ViewTCP View 功能:TCP View 演示TCP View 演示RegmonRegmon主

27、要功能:监视系统中注册表的操作: 如 注册表的打开,写入,读取,查询,删除,编辑等多用于监视病毒的自启动信息和方式.55RegmonRegmon主要功能:573.4.4 Regmon 演示3.4.4 Regmon 演示FilemonFilemon主要功能:监视文件系统的操作: 如 建立文件,打开文件,写文件, 读文件,查询文件信息等多用于查找Dropper的主体程序.FilemonFilemon主要功能:Filemon 演示Filemon 演示WinPE微软在2002年7月22日推出了Windows PreInstallation Environment（简称WinPE）按微软官方对它的定义是

28、： “Windows预安装环境（WinPE）是带有限服务的最小Win32子系统，基于以保护模式运行的Windows XP Professional内核。 WinPE微软在2002年7月22日推出了Windows PWinPEWinPE可用于清除有些顽固的PE病毒(文件感染型)有时在 Windows环境下, 用杀毒软件无法彻底清除文件感染型病毒或关键系统文件已被病毒损坏或替换.WinPE启动后为干净的系统(无毒)WinPE集成了很多常用的工具WinPEWinPE可用于清除有些顽固的PE病毒(文件感染型典型病毒案例分析计算机防病毒技术培训(69张)课件案例：灰鸽子 BKDR_HUPIGON灰鸽子的

29、自行安装在无意中执行了灰鸽子后门程序后, 会在windows目录中释放4个文件：G_SERVER.DLL G_SERVER.EXE 【copy of itself】 G_SERVER_HOOK.DLL G_SERVERKEY.DLL 使用了rootkit技术隐藏以上文件， 导致用户手工查看时不可见。案例：灰鸽子 BKDR_HUPIGON灰鸽子的自行安装案例：灰鸽子 BKDR_HUPIGON灰鸽子的自启动：注册为服务通过将自身注册成服务，并添加以下注册表服务项，常驻内存 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesGrayPigeonServ

30、er执行后门功能： 打开一个随机的端口，允许远程用户连接受感染系统。 一旦连接成功，它将在本地执行以下命令Create registry entries Startkill services Startkill processes Create files in any folder chosen by the remote user Create threads Get disk status Download files from the Internet to the affected system Log keystrokes Inject processes 案例：灰鸽子 BKDR_

31、HUPIGON灰鸽子的自启动：注册为案例：灰鸽子 BKDR_HUPIGON清除灰鸽子 BKDR_HUPIGON 以windows XP 为例，步骤如下 ： 关闭XP系统还原；重启进入安全模式，由于正常模式下文件不可见； 打开文件夹的显示隐藏文件、系统文件功能；找到并删除windows目录下灰鸽子的4个文件；打开regedit，删除HKEY_LOCAL_MACHINESystemCurrentControlSetServices 下的 GrayPigeonServer项 ；清除完成。案例：灰鸽子 BKDR_HUPIGON清除灰鸽子 BKDR_案例：灰鸽子 BKDR_HUPIGON演示:灰鸽子 B

32、KDR_HUPIGON案例：灰鸽子 BKDR_HUPIGON演示:附录反病毒处理流程附录反病毒处理流程Trend Micro Confidential 3/3/201967Trend Micro Confidential 3/3/Q & A?Thank you!Q & A?Thank you!谢谢！Trend Micro Confidential 3/3/201969谢谢！Trend Micro Confidential 31、想要体面生活，又觉得打拼辛苦；想要健康身体，又无法坚持运动。人最失败的，莫过于对自己不负责任，连答应自己的事都办不到，又何必抱怨这个世界都和你作对？人生的道理很简单，你

33、想要什么，就去付出足够的努力。2、时间是最公平的，活一天就拥有24小时，差别只是珍惜。你若不相信努力和时光，时光一定第一个辜负你。有梦想就立刻行动，因为现在过的每一天，都是余生中最年轻的一天。3、无论正在经历什么，都请不要轻言放弃，因为从来没有一种坚持会被辜负。谁的人生不是荆棘前行，生活从来不会一蹴而就，也不会永远安稳，只要努力，就能做独一无二平凡可贵的自己。4、努力本就是年轻人应有的状态，是件充实且美好的事，可一旦有了表演的成分，就会显得廉价，努力，不该是为了朋友圈多获得几个赞，不该是每次长篇赘述后的自我感动，它是一件平凡而自然而然的事，最佳的努力不过是：但行好事，莫问前程。愿努力，成就更好的你！5、付出努力却没能实现的梦想，爱了很久却没能在一起的人，活得用力却平淡寂寞的青春，遗憾是每一次小的挫折，它磨去最初柔软的心智、让我们懂得累积时间的力量；那些孤独沉寂的时光，让我们学会守候内心的平和与坚定。那些脆弱的不完美，都会在努力和坚持下，改变模样。6、人生中总会有一段艰难的路，需要自己独自走完，没人帮助，没人陪伴，不必畏惧，昂头走过去就是了，经历所有的挫折与磨难，你会发现，自己远比想象中要强大得多。多