病毒處理技術(shù)淺談

1、病毒處理技術(shù)淺談?wù)莆辗床《局R(shí)熟悉反病毒工具的使用培養(yǎng)現(xiàn)場(chǎng)反病毒應(yīng)急響應(yīng)能力課程目標(biāo)病毒概述1.1 當(dāng)前面臨的威脅1.2 計(jì)算機(jī)病毒的分類1.3 當(dāng)前病毒流行的趨勢(shì)常見病毒類型說(shuō)明及行為分析2.1 常見病毒傳播途徑2.2 病毒自啟動(dòng)方式2.3 常見病毒行為培訓(xùn)課程安排病毒處理技術(shù)3.1 趨勢(shì)防病毒產(chǎn)品工作機(jī)制介紹3.2 病毒問(wèn)題標(biāo)準(zhǔn)處理流程3.3 常用的病毒處理方法3.4 常用工具介紹典型病毒案例分析培訓(xùn)課程安排病毒概述1. 病毒概述病毒概述1.1 當(dāng)前用戶面臨的威脅1.2 計(jì)算機(jī)病毒的分類1.3 當(dāng)前病毒流行趨勢(shì)常見病毒類型說(shuō)明及行為分析2.1 常見病毒傳播途徑2.2 病毒自啟動(dòng)方式2.3

2、常見病毒行為課程進(jìn)度1.1 當(dāng)前用戶面臨的威脅隨著互聯(lián)網(wǎng)的開展，我們的企業(yè)和個(gè)人用戶在享受網(wǎng)絡(luò)帶來(lái)的快捷和商機(jī)的同時(shí)，也面臨無(wú)時(shí)不在的威脅：病毒 蠕蟲 木馬 后門 間諜軟件 其他以上統(tǒng)稱為惡意代碼。1.1 當(dāng)前用戶面臨的威脅ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojan SpywareDownloadersDroppersPassword StealersBackdoors防間諜軟件產(chǎn)品覆蓋范圍防病毒產(chǎn)品覆蓋范圍1.2 現(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件

3、間諜軟件 (有惡意行為) 間諜軟件(無(wú)惡意行為) 灰色軟件正邪難辨 (往往是用戶不需要的程序)惡意程序：一種會(huì)帶來(lái)危害結(jié)果的程序特洛伊木馬：一種會(huì)在主機(jī)上未經(jīng)授權(quán)就自己執(zhí)行的惡意程序 后門木馬：一種會(huì)在主機(jī)上開放端口讓遠(yuǎn)程計(jì)算機(jī)遠(yuǎn)程訪問(wèn)的惡意程序1.2 現(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件間諜軟件 (有惡意行為) 間諜軟件(無(wú)惡意行為) 灰色軟件正邪難辨 (往往是用戶不需要的程序)病毒：病毒會(huì)復(fù)制感染其它文件通過(guò)各種方法前附著插入C. 覆蓋D. 后附著蠕蟲:蠕蟲自動(dòng)傳播自身的副本到其他計(jì)算機(jī)：通過(guò)郵件郵件蠕蟲通過(guò)點(diǎn)對(duì)點(diǎn)軟件 (點(diǎn)對(duì)點(diǎn)蠕蟲)通過(guò) ( 蠕蟲)通過(guò)網(wǎng)絡(luò) (網(wǎng)絡(luò)蠕蟲)

4、1.2 現(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件間諜軟件 (有惡意行為) 間諜軟件(無(wú)惡意行為) 灰色軟件正邪難辨 (往往是用戶不需要的程序)間諜軟件： 此類軟件會(huì)監(jiān)測(cè)用戶的使用習(xí)慣和個(gè)人信息，并且會(huì)將這些信息在未經(jīng)用戶的認(rèn)知和許可下發(fā)送給第三方。包括鍵盤紀(jì)錄，事件日志，屏幕信息等，或者是上面所列的信息的組合。對(duì)系統(tǒng)的影響表現(xiàn)為系統(tǒng)運(yùn)行速度下降，系統(tǒng)變得不穩(wěn)定，甚至當(dāng)機(jī)。惡意的間諜軟件灰色軟件(無(wú)惡意的間諜軟件)來(lái)源病毒制造者，黑客一些合法的軟件開發(fā)程序員是否被視為惡意程序？肯定是不確定，依賴于用戶的看法檢測(cè)此類程序是否會(huì)帶來(lái)法務(wù)上的問(wèn)題？否是 文件格式$檢測(cè)與否默認(rèn)開啟默認(rèn)關(guān)閉

5、，用戶必須手動(dòng)開啟惡意程序灰色地帶間諜軟件不同種類的間諜軟件1.3 當(dāng)前病毒流行趨勢(shì) 范圍：全球性爆發(fā)逐漸轉(zhuǎn)變?yōu)榈赜蛐员l(fā) 如等病毒逐漸減少 , , 等病毒逐漸增加 速度：越來(lái)接近零日攻擊( ) 如, 等 方式：病毒、蠕蟲、木馬、間諜軟件聯(lián)合 如病毒感染的同時(shí)也會(huì)從網(wǎng)絡(luò)下載感染病毒 常見病毒類型說(shuō)明及行為分析2. 常見病毒類型說(shuō)明及行為分析病毒概述1.1 當(dāng)前用戶面臨的威脅1.2 計(jì)算機(jī)病毒的分類1.3 當(dāng)前病毒流行趨勢(shì)常見病毒類型說(shuō)明及行為分析2.1 常見病毒傳播途徑2.2 病毒自啟動(dòng)方式2.3 常見病毒行為課程進(jìn)度木馬病毒： 后門程序： 蠕蟲病毒： 間諜軟件： 廣告軟件： 文件型病毒： 引

6、導(dǎo)區(qū)病毒：目前世界上僅存的一種引導(dǎo)區(qū)病毒 趨勢(shì)科技對(duì)惡意程序的分類病毒感染系統(tǒng)時(shí)，感染的過(guò)程大致可以分為：通過(guò)某種途徑傳播，進(jìn)入目標(biāo)系統(tǒng)自我復(fù)制,并通過(guò)修改系統(tǒng)設(shè)置實(shí)現(xiàn)隨系統(tǒng)自啟動(dòng)激活病毒負(fù)載的預(yù)定功能如： 翻開后門等待連接 發(fā)起攻擊 進(jìn)展鍵盤記錄 2 病毒感染的一般方式 除引導(dǎo)區(qū)病毒外，所有其他類型的病毒，無(wú)一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能實(shí)現(xiàn)感染系統(tǒng)的目的。對(duì)于不同類型的病毒，它們傳播、感染系統(tǒng)的方法也有所不同。2.1 常見病毒傳播途徑2.1 常見病毒傳播途徑傳播方式主要有： 電子郵件 網(wǎng)絡(luò)共享 P2P 共享 系統(tǒng)漏洞 移動(dòng)磁盤傳播2.1 常見病毒傳播途徑 電子郵件正文可能被嵌入惡意

7、腳本，郵件附件攜帶病毒壓縮文件利用社會(huì)工程學(xué)進(jìn)展偽裝，增大病毒傳播時(shí)機(jī)快捷傳播特性例：，等病毒2.1 常見病毒傳播途徑 網(wǎng)絡(luò)共享 病毒會(huì)搜索本地網(wǎng)絡(luò)中存在的共享，包括默認(rèn)共享 如$ $ $ 通過(guò)空口令或弱口令猜測(cè)，獲得完全訪問(wèn)權(quán)限 病毒自帶口令猜測(cè)列表將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中 通常以游戲等相關(guān)名字命名例： 等病毒2.1 常見病毒傳播途徑 P2P共享軟件將自身復(fù)制到P2P共享文件夾 通常以游戲等相關(guān)名字命名通過(guò)P2P軟件共享給網(wǎng)絡(luò)用戶利用社會(huì)工程學(xué)進(jìn)展偽裝，誘使用戶下載例：等病毒2.1 常見病毒傳播途徑 系統(tǒng)漏洞由于操作系統(tǒng)固有的一些設(shè)計(jì)缺陷,導(dǎo)致被惡意用戶通過(guò)畸形的方式利用后,可執(zhí)行任意代

8、碼,這就是系統(tǒng)漏洞. 病毒往往利用系統(tǒng)漏洞進(jìn)入系統(tǒng), 到達(dá)傳播的目的。常被利用的漏洞 緩沖區(qū)溢出 (03-026) (03-007) (04-011) ( ) 例： 、等病毒2.1 常見病毒傳播途徑其他常見病毒感染途徑： 網(wǎng)頁(yè)感染 與正常軟件捆綁 用戶直接運(yùn)行病毒程序 由其他惡意程序釋放 目前大多數(shù)的木馬、間諜軟件等病毒都是通過(guò)這幾種方式進(jìn)入系統(tǒng)。它們通常都不具備傳播性。 廣告軟件/灰色軟件 由于廣告軟件/灰色軟件的定義，它們有時(shí)候是由用戶主動(dòng)安裝，更多的是與其他正常軟件進(jìn)展綁定。2.1 常見病毒傳播途徑及時(shí)更新系統(tǒng)和應(yīng)用軟件補(bǔ)丁，修補(bǔ)漏洞強(qiáng)化密碼設(shè)置的平安策略，增加密碼強(qiáng)度加強(qiáng)網(wǎng)絡(luò)共享的管理

9、增強(qiáng)員工的病毒防范意識(shí)2.1 防止病毒入侵針對(duì)病毒傳播渠道，趨勢(shì)科技產(chǎn)品應(yīng)用利用的爆發(fā)阻止功能，阻斷病毒通過(guò)共享和漏洞傳播2.1 防止病毒入侵 自啟動(dòng)特性 除引導(dǎo)區(qū)病毒外，絕大多數(shù)病毒感染系統(tǒng)后，都具有自啟動(dòng)特性。 病毒在系統(tǒng)中的行為是基于病毒在系統(tǒng)中運(yùn)行的根底上的，這就決定了病毒必然要通過(guò)對(duì)系統(tǒng)的修改，實(shí)現(xiàn)開機(jī)后自動(dòng)加載的功能。2.2 病毒自啟動(dòng)方式修改注冊(cè)表將自身添加為效勞將自身添加到啟動(dòng)文件夾修改系統(tǒng)配置文件加載方式效勞和進(jìn)程病毒程序直接運(yùn)行嵌入系統(tǒng)正常進(jìn)程文件和文件等驅(qū)動(dòng)文件 修改注冊(cè)表注冊(cè)表啟動(dòng)項(xiàng)文件關(guān)聯(lián)項(xiàng)系統(tǒng)效勞項(xiàng)項(xiàng)其他2.2 病毒自啟動(dòng)方式注冊(cè)表啟動(dòng)下： 下： 以上這些鍵一般用于

10、在系統(tǒng)啟動(dòng)時(shí)執(zhí)行特定程序2.2 病毒自啟動(dòng)方式文件關(guān)聯(lián)項(xiàng)下： %1 %* %1 %* %1 %* %1 %* %1 %*“病毒將%1 %*改為 “ %1 %*將在翻開或運(yùn)行相應(yīng)類型的文件時(shí)被執(zhí)行2.2 病毒自啟動(dòng)方式 修改配置文件 中節(jié) : 將c:設(shè)置為,表示讓在將 運(yùn)行后刪除.中的節(jié) = = 這兩個(gè)變量用于自動(dòng)啟動(dòng)程序。 中的節(jié) = 變量指出了要在系統(tǒng)啟動(dòng)時(shí)執(zhí)行的程序列表。2.2 病毒自啟動(dòng)方式病毒常修改的文件 該文件在每次系統(tǒng)啟動(dòng)時(shí)執(zhí)行，只要在該文件中寫入欲執(zhí)行的程序，該程序即可在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行。 在下每次自啟動(dòng)2.2 病毒自啟動(dòng)方式 修改啟動(dòng)文件夾當(dāng)前用戶的啟動(dòng)文件夾 可以通過(guò)如下注

11、冊(cè)表鍵獲得: 中的 項(xiàng)公共的啟動(dòng)文件夾 可以通過(guò)如下注冊(cè)表鍵獲得: 中的 項(xiàng)病毒可以在該文件夾中放入欲執(zhí)行的程序，或直接修改其值指向放置有要執(zhí)行程序的路徑。2.2 病毒自啟動(dòng)方式 病毒感染系統(tǒng)后，無(wú)疑會(huì)對(duì)系統(tǒng)做出各種修改和破壞。有時(shí)病毒會(huì)使受感染的系統(tǒng)出現(xiàn)自動(dòng)彈出網(wǎng)頁(yè)、占用高資源、自動(dòng)彈出/關(guān)閉窗口、自動(dòng)終止某些進(jìn)程等各種不正?，F(xiàn)象。 2.3 常見病毒行為無(wú)論病毒在系統(tǒng)表現(xiàn)形式如何我們需要關(guān)注的是病毒的隱性行為！ 下載特性 很多木馬、后門程序間諜軟件會(huì)自動(dòng)連接到某站點(diǎn)，下載其他的病毒文件或該病毒自身的更新版本/其他變種。后門特性 后門程序及很多木馬、蠕蟲和間諜軟件會(huì)在受感染的系統(tǒng)中開啟并偵聽某

12、個(gè)端口，允許遠(yuǎn)程惡意用戶來(lái)對(duì)該系統(tǒng)進(jìn)展遠(yuǎn)程操控。有時(shí)候病毒還會(huì)自動(dòng)連接到某站點(diǎn)某頻道中，使得該頻道中特定的惡意用戶遠(yuǎn)程訪問(wèn)受感染的計(jì)算機(jī)。下載與后門特性 & 信息收集特性 大多數(shù)間諜軟件和一些木馬都會(huì)收集系統(tǒng)中用戶的私人信息，特別各種帳號(hào)和密碼。收集到的信息通常都會(huì)被病毒通過(guò)自帶的引擎發(fā)送到指定的某個(gè)指定的郵箱。信息收集特性密碼和聊天記錄網(wǎng)絡(luò)游戲帳號(hào)密碼網(wǎng)上銀行帳號(hào)密碼用戶網(wǎng)頁(yè)瀏覽記錄和上網(wǎng)習(xí)慣自身隱藏特性 多數(shù)病毒會(huì)將自身文件設(shè)置為“隱藏、“系統(tǒng)和“只讀屬性，更有一些病毒會(huì)通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的文件夾訪問(wèn)權(quán)限、顯示權(quán)限等進(jìn)展修改，以使其更加隱蔽不易被發(fā)現(xiàn)。自身隱藏特性 & 有一些病毒會(huì)

13、使用技術(shù)來(lái)隱藏自身的進(jìn)程和文件，使得用戶更難以發(fā)現(xiàn)。 使用技術(shù)的病毒，通常都會(huì)有一個(gè)文件加載在系統(tǒng)的驅(qū)動(dòng)中，用以實(shí)現(xiàn)技術(shù)的隱藏功能。文件感染特性 文件型病毒的一個(gè)特性是感染系統(tǒng)中局部/所有的可執(zhí)行文件。病毒會(huì)將惡意代碼插入到系統(tǒng)中正常的可執(zhí)行文件中，使得系統(tǒng)正常文件被破壞而無(wú)法運(yùn)行，或使系統(tǒng)正常文件感染病毒而成為病毒體。 有的文件型病毒會(huì)感染系統(tǒng)中其他類型的文件。文件感染特性典型- 維京 熊貓燒香網(wǎng)絡(luò)攻擊 一些蠕蟲病毒會(huì)針對(duì)微軟操作系統(tǒng)或其他程序存在的漏洞進(jìn)展攻擊，從而導(dǎo)致受攻擊的計(jì)算機(jī)出現(xiàn)各種異常現(xiàn)象，或是通過(guò)漏洞在受攻擊的計(jì)算機(jī)上遠(yuǎn)程執(zhí)行惡意代碼。 一些木馬和蠕蟲病毒會(huì)修改計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置

14、，使該計(jì)算機(jī)無(wú)法訪問(wèn)網(wǎng)絡(luò)。有的木馬和蠕蟲還會(huì)向網(wǎng)絡(luò)中其他計(jì)算機(jī)攻擊、發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò)，甚至通過(guò)散步虛假網(wǎng)關(guān)地址的播送包來(lái)欺騙網(wǎng)絡(luò)中其他計(jì)算機(jī)，從而使得整個(gè)網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)攻擊特性振蕩波利用04-011漏洞攻擊 攻擊病毒處理技術(shù)3. 病毒處理技術(shù)病毒處理技術(shù)3.1 趨勢(shì)防病毒產(chǎn)品工作機(jī)制介紹3.2 病毒問(wèn)題標(biāo)準(zhǔn)處理流程3.3 常用的病毒處理方法3.4 常用工具介紹典型病毒案例分析課程進(jìn)度掃毒模塊掃描并檢測(cè)含有惡意代碼的文件，對(duì)其做出處理。對(duì)于被文件型病毒感染的可執(zhí)行文件進(jìn)展修復(fù)。掃描引擎 & 病毒碼$間諜軟件病毒碼網(wǎng)絡(luò)病毒碼3.1 趨勢(shì)防病毒產(chǎn)品工作機(jī)制介紹損害去除效勞()對(duì)于正在運(yùn)行/已

15、經(jīng)加載的病毒進(jìn)展去除包括終止進(jìn)程、脫鉤文件、刪除文件，并恢復(fù)被病毒修改正的注冊(cè)表內(nèi)容，起到修復(fù)系統(tǒng)的作用。可視為通用專殺工具。損害去除引擎()損害去除模板()間諜軟件去除病毒碼3.1 趨勢(shì)防病毒產(chǎn)品工作機(jī)制介紹當(dāng)病毒感染系統(tǒng)后，病毒進(jìn)程已經(jīng)被系統(tǒng)加載，或是病毒已經(jīng)嵌入到正在運(yùn)行的系統(tǒng)進(jìn)程中時(shí)，由于自身的特性，對(duì)于已經(jīng)加載的文件無(wú)法進(jìn)展改動(dòng)操作，從而導(dǎo)致病毒掃描引擎對(duì)檢測(cè)到的文件無(wú)法操作。已經(jīng)加載的病毒不包含在損害去除模板()中，損害去除效勞無(wú)法修復(fù)被病毒感染的系統(tǒng)。為什么會(huì)出現(xiàn)無(wú)法去除/隔離/刪除的病毒？ 針對(duì)中國(guó)地區(qū)特有的病毒形勢(shì)，趨勢(shì)科技發(fā)布 增強(qiáng)對(duì)中國(guó)區(qū)特有的病毒的檢測(cè)能力。針對(duì)日益廣泛

16、的病毒新變種所使用的加殼技術(shù)， 增加了對(duì)加殼文件的檢測(cè)。 5 5.3增強(qiáng)了對(duì)已加載程序的處理能力，強(qiáng)行終止病毒進(jìn)程，使掃描引擎能夠刪除/隔離病毒文件。中國(guó)區(qū)發(fā)布新增功能的，可在系統(tǒng)啟動(dòng)時(shí)強(qiáng)制刪除無(wú)法去除/隔離的文件 和 5 從病毒問(wèn)題處理角度劃分，病毒問(wèn)題可分為病毒問(wèn)題 防病毒軟件可以成功檢測(cè)到病毒，但由于病毒已經(jīng)感染了系統(tǒng)并在系統(tǒng)中運(yùn)行，導(dǎo)致防毒軟件無(wú)法對(duì)病毒進(jìn)展去除、隔離或刪除的操作。未知病毒問(wèn)題 防病毒軟件無(wú)法通過(guò)現(xiàn)有的病毒碼和掃描引擎檢測(cè)到該病毒。3.2 病毒問(wèn)題處理標(biāo)準(zhǔn)流程在征得同意的情況下，拔除網(wǎng)線。查看病毒日志，確認(rèn)并記錄該客戶機(jī)感染的病毒名、病毒感染文件路徑和文件名。根據(jù)病毒名

17、稱，訪問(wèn)趨勢(shì)科技病毒知識(shí)庫(kù)查詢?cè)摬《驹敿?xì)信息及其解決方案： 根據(jù)病毒詳細(xì)信息，視情況為計(jì)算機(jī)安裝相應(yīng)補(bǔ)丁，并了解傳播途徑，做好防范工作。根據(jù)病毒解決方案，手動(dòng)去除該系統(tǒng)中的病毒。 病毒問(wèn)題標(biāo)準(zhǔn)處理流程假設(shè)病毒知識(shí)庫(kù)中無(wú)法查詢到此病毒，或是病毒解決方案無(wú)效，那么請(qǐng)將該計(jì)算機(jī)病毒日志導(dǎo)出，并在該計(jì)算機(jī)上使用工具收集系統(tǒng)信息，同時(shí)收集病毒樣本一起提交至趨勢(shì)科技。假設(shè)感染同一病毒的計(jì)算機(jī)較多，無(wú)法快速有效的去除，那么需要將病毒樣本提交至趨勢(shì)科技，以制作特殊版本(專用去除工具，即專殺工具)。病毒問(wèn)題標(biāo)準(zhǔn)處理流程發(fā)現(xiàn)系統(tǒng)不正常，疑心感染有病毒時(shí)，在征得同意的情況下，拔除網(wǎng)線。在該計(jì)算機(jī)上使用 工具收集系統(tǒng)

18、信息，將日志提交至趨勢(shì)科技。 趨勢(shì)科技在分析日志后，得知系統(tǒng)中存在的可疑文件，并通知用戶。用戶收集可疑文件并提交至趨勢(shì)科技。趨勢(shì)科技提供病毒解決方案。未知病毒問(wèn)題標(biāo)準(zhǔn)處理流程根據(jù)病毒日志到相應(yīng)目錄下找到感染病毒的文件將該文件復(fù)制到某臨時(shí)文件夾。假設(shè)無(wú)法復(fù)制，需要重啟計(jì)算機(jī)進(jìn)入平安模式。使用壓縮軟件將該文件壓縮，并使用密碼加密加密后的壓縮文件即為病毒樣本文件，將該文件作為郵件附件發(fā)送給趨勢(shì)科技，并在郵件中附以問(wèn)題描述。注: 描述內(nèi)容包含:中毒情況簡(jiǎn)單說(shuō)明,病毒名,感染文件名及路徑最好能夠在提交病毒樣本的同時(shí)也提供病毒日志。在執(zhí)行以上操作時(shí)，如果找不到感染病毒的文件時(shí)，需要在“工具-“文件夾選項(xiàng)-

19、“查看中，選擇“顯示所有的文件和文件夾，并取消“隱藏受保護(hù)的系統(tǒng)文件前的復(fù)選框。 病毒樣本提交流程 大多數(shù)情況下，可以直接根據(jù)經(jīng)歷來(lái)迅速去除各種病毒。 處理過(guò)程包括修復(fù)病毒修改的注冊(cè)表/文件內(nèi)容和刪除病毒文件兩局部。3.3 常用病毒處理方法木馬病毒和后門程序間諜軟件、廣告軟件和灰色軟件蠕蟲病毒文件型病毒母體系統(tǒng)中了病毒，該怎么辦？重裝系統(tǒng)？系統(tǒng)復(fù)原？復(fù)原？ 處理病毒問(wèn)題時(shí)，假設(shè)病毒進(jìn)程在系統(tǒng)中運(yùn)行，那么可能會(huì)出現(xiàn)無(wú)法刪除文件、無(wú)法刪除注冊(cè)表主鍵/鍵值的情況，也可能出現(xiàn)刪除注冊(cè)表鍵值或文件后，被刪除的內(nèi)容會(huì)再次出現(xiàn)的情況。3.3 常用病毒處理方法最好在平安模式下操作終止所有可疑進(jìn)程和不必要的進(jìn)程

20、關(guān)閉系統(tǒng)復(fù)原檢查啟動(dòng)項(xiàng): 刪除不必要的啟動(dòng)項(xiàng)鍵值，如發(fā)現(xiàn)指向不正?；虿徽J(rèn)識(shí)的程序的鍵值，可將該鍵值刪除。;檢查注冊(cè)表中常見的病毒自動(dòng)加載項(xiàng)檢查效勞: 在控制面板-管理工具-效勞中，查看是否存在可疑效勞。假設(shè)無(wú)法確定效勞是否可疑，可直接查看該效勞屬性，檢查效勞所指向的文件。隨后可以檢查該文件是否為正常文件(文件檢查方法稍后會(huì)介紹)。對(duì)于不正常的效勞，可直接在注冊(cè)表中刪除該效勞的主鍵。檢查注冊(cè)表中常見的病毒自動(dòng)加載項(xiàng)檢查加載項(xiàng) 在注冊(cè)表中檢查相關(guān)加載項(xiàng)： = (默認(rèn)):32,(默認(rèn)) 以上和鍵值為默認(rèn)，假設(shè)發(fā)現(xiàn)被修改，可直接將其修改為默認(rèn)鍵值。檢查注冊(cè)表中常見的病毒自動(dòng)加載項(xiàng)檢查加載項(xiàng) 在注冊(cè)表中

21、檢查 相關(guān)加載項(xiàng)： 在下會(huì)有多個(gè)主鍵(目錄)，每個(gè)主鍵中的鍵值將指向一個(gè)文件。假設(shè)發(fā)現(xiàn)有指向可疑的文件時(shí)，請(qǐng)先確認(rèn)其指向的是否正常。假設(shè)不正常，可直接刪除這個(gè)主鍵。檢查注冊(cè)表中常見的病毒自動(dòng)加載項(xiàng)檢查其他加載項(xiàng) 在注冊(cè)表中檢查以下注冊(cè)表加載項(xiàng)鍵值： = “ = “ 該鍵值默認(rèn)為空。假設(shè)鍵值被修改，可直接將鍵值內(nèi)容清空。檢查注冊(cè)表中常見的病毒自動(dòng)加載項(xiàng)檢查 ()項(xiàng)項(xiàng)在注冊(cè)表中包含以下主鍵的內(nèi)容： 可以在下的32主鍵中查看項(xiàng)所指向的文件。當(dāng)發(fā)現(xiàn)指向了可疑文件時(shí)，可直接刪除以上注冊(cè)表路徑下所有包含了該的主鍵。使用工具可以迅速有效的分析系統(tǒng)中的項(xiàng)。該工具使用方法稍后會(huì)介紹。檢查注冊(cè)表中的項(xiàng)如何判斷文件

22、是否可疑？ 所有的正常系統(tǒng)文件都包含完整的版本信息。假設(shè)文件無(wú)版本信息，或版本信息異常，那么可判斷為可疑文件。直接刪除這樣的文件不會(huì)對(duì)系統(tǒng)造成影響。系統(tǒng)中的可疑文件查看文件版本信息之聯(lián)系趨勢(shì)科技工程師如何迅速查找這些可疑文件？ 對(duì)于這些目錄下的文件，按照修改日期排序，檢查修改日期為最近一段時(shí)間的文件：系統(tǒng)中的可疑文件3232可執(zhí)行文件 ，文件和文件文件有一些病毒會(huì)將文件偽裝成后綴的文件，可以直接雙擊翻開查看其內(nèi)容是否為文本。假設(shè)為亂碼，那么可疑。病毒文件被隱藏，如何查找？ 在工具-文件夾選項(xiàng)中，選擇“顯示所有文件并取消“隱藏受保護(hù)的系統(tǒng)文件復(fù)選框。 仍然無(wú)法顯示隱藏文件？檢查注冊(cè)表鍵值，確認(rèn)其

23、為以下值： = 2 = 2 = 1 = 2查找可疑文件可能遇到的問(wèn)題修復(fù)被病毒修改的文件 一些病毒會(huì)修改系統(tǒng)的文件，使用戶無(wú)法訪問(wèn)某些網(wǎng)站，或在用戶訪問(wèn)某些網(wǎng)站時(shí)，重定向到某些惡意站點(diǎn)。 檢查文件： 32 使用文本編輯工具翻開該文件檢查。默認(rèn)該文件包含一條記錄： 127.0.0.1 假設(shè)有其他可疑的記錄，可以直接刪除多余的記錄。檢查并修復(fù)文件病毒經(jīng)常存在于臨時(shí)目錄中 清空所有以上的目錄。刪除所有臨時(shí)文件C:臨時(shí)文件C: 應(yīng)用實(shí)例 & 其他工具 分析網(wǎng)絡(luò)連接 監(jiān)視注冊(cè)表 監(jiān)視文件系統(tǒng)3.4 常用工具介紹3.4 常用工具介紹 功能:查看系統(tǒng)的網(wǎng)絡(luò)連接信息(遠(yuǎn)程地址,協(xié)議,端口號(hào))查看系統(tǒng)的網(wǎng)絡(luò)連接

24、狀況(發(fā)起連接,已連接,已斷開)查看進(jìn)程翻開的端口動(dòng)態(tài)刷新列表多用于查看 蠕蟲,后門,間諜等惡意程序3.4 常用工具介紹主要功能:監(jiān)視系統(tǒng)中注冊(cè)表的操作: 如 注冊(cè)表的翻開,寫入,讀取,查詢,刪除,編輯等多用于監(jiān)視病毒的自啟動(dòng)信息和方式.3.4 常用工具介紹主要功能:監(jiān)視文件系統(tǒng)的操作:如建立文件,翻開文件,寫文件,讀文件,查詢文件信息等多用于查找的主體程序.3.4 常用工具介紹功能:跟蹤文件系統(tǒng)的變化跟蹤注冊(cè)表的變換注:假設(shè)惡意程序帶有功能, 請(qǐng)重啟后進(jìn)入平安模式再分析系統(tǒng)變化(如灰鴿子某些變種)局限性: 解決方法無(wú)法跟蹤進(jìn)程樹的變化 無(wú)法跟蹤網(wǎng)絡(luò)連接和端口情況 典型病毒案例分析4. 典型病

25、毒案例分析病毒處理技術(shù)3.1 趨勢(shì)防病毒產(chǎn)品工作機(jī)制介紹3.2 病毒問(wèn)題標(biāo)準(zhǔn)處理流程3.3 常用的病毒處理方法3.4 常用工具介紹典型病毒案例分析課程進(jìn)度4. 典型病毒案例分析案例1： 后門：灰鴿子 【】案例2： 木馬：傳奇木馬 【】案例3： 蠕蟲： 【】案例4： 病毒 【】 4.1 案例1：灰鴿子 灰鴿子的自行安裝在無(wú)意中執(zhí)行了灰鴿子后門程序后, 會(huì)在目錄中釋放4個(gè)文件： 【 】 使用了技術(shù)隱藏以上文件， 導(dǎo)致用戶手工查看時(shí)不可見。4.1 案例1：灰鴿子 灰鴿子的自啟動(dòng)：注冊(cè)為效勞通過(guò)將自身注冊(cè)成效勞，并添加以下注冊(cè)表效勞項(xiàng)，常駐內(nèi)存 執(zhí)行后門功能： 翻開一個(gè)隨機(jī)的端口，允許遠(yuǎn)程用戶連承受感

26、染系統(tǒng)。 一旦連接成功，它將在本地執(zhí)行以下命令 4.1 案例1：灰鴿子 去除灰鴿子 以 為例，步驟如下 ： 關(guān)閉系統(tǒng)復(fù)原；重啟進(jìn)入平安模式，由于正常模式下文件不可見； 翻開文件夾的顯示隱藏文件、系統(tǒng)文件功能；找到并刪除目錄下灰鴿子的4個(gè)文件；翻開，刪除 下的 項(xiàng) ；去除完成。4.2 案例2：傳奇木馬 用于盜取一款網(wǎng)絡(luò)游戲傳奇的游戲用戶信息帳號(hào)、密碼等，并通過(guò)電子郵件將偷到的信息發(fā)送給遠(yuǎn)程的惡意用戶。該木馬執(zhí)行后，會(huì)在系統(tǒng)文件夾中釋放以下文件： 0 1 0 a 4.2 案例2：傳奇木馬 該木馬創(chuàng)立以下注冊(cè)表鍵值1 081200103-11D746770E4459F2F1 081200103-11D746770E4459F2F 081200103-11D746770E4459F2F = 4.2 案例2：傳奇木馬 去除傳奇木馬 以 為例，步驟如下：關(guān)閉系統(tǒng)復(fù)原；標(biāo)識(shí)病毒程序和文件：更新病毒庫(kù)，用趨勢(shì)產(chǎn)品掃描；完畢病毒相關(guān)的惡意進(jìn)程：進(jìn)程管理器， 刪除病毒相關(guān)的注冊(cè)表項(xiàng)：具體項(xiàng)見前頁(yè)；去除完成。4.3 案例3： 的自身安裝該蠕蟲會(huì)在執(zhí)行