病毒防范及处理方法解析课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,病毒防范及处理方法解析,趋势科技,沈赟,病毒防范及处理方法解析趋势科技沈赟,概述,病毒类型概述,病毒行为分析,趋势的病毒应对方式,病毒的处理建议,病毒案例分享,概述病毒类型概述,概述,病毒类型概述,病毒行为分析,趋势的病毒应对方式,病毒的处理建议,病毒案例分享,概述病毒类型概述,互联网威胁,病毒,通过各种方式复制感染其它文件,蠕虫,自动传播自身的副本到其它计算机,木马,在主机上未经授权自动执行,后门,在主机上开放端口允许远程计算机访问,间谍软件,检测用户的使用习惯和个人信息，在未经用户认知和许可下发送给第三方,以上统称：,恶意代码,互联网威胁病毒通过各种方式复制感染其它文件,威胁分类,Threats,Spam,Malware,Grayware,Viruses,Trojans,Worms,Spyware,Phishing,Pharming,Bots,Adware,Trojan Spyware,Downloaders,Droppers,Password Stealers,Backdoors,防间谍软件产品覆盖范围,防病毒产品覆盖范围,威胁分类ThreatsSpamMalwareGrayware,趋势科技对恶意程序的定义,病毒名称前缀,病毒类型,TROJ,木马,WORM,蠕虫,PE,文件感染型,ADW,广告组件,TSPY,间谍木马,JS,脚本,VBS,VB,脚本,PACKER,加壳文件,BKDR,后门程序,JOKE,玩笑程序,EXPL,利用漏洞攻击,趋势科技对恶意程序的定义病毒名称前缀病毒类型TROJ木马WO,病毒流行趋势,范围：全球性爆发逐渐转变为地域性爆发,如,WORM_MOFEI.B,等病毒逐渐减少,TSPY_QQPASS,TSPY_WOW,PE_LOOKED,等病毒逐渐增加,速度：越来接近零日攻击,(Zero-Day Attack),如,WORM_ZOTOB,WORM_IRCBOT,等,方式：病毒、蠕虫、木马、间谍软件联合,如,PE_LOOKED,病毒感染的同时也会从网络下载感染,TSPY_LINAGE,病毒,病毒流行趋势范围：全球性爆发逐渐转变为地域性爆发,病毒传播或感染途径,电子邮件：,WORM_MYTOB,，,WORM_STRATION,网络共享：,WORM_SDBOT,P2P,共享：,WORM_PEERCOPY.A,系统漏洞：,WORM_MYTOB,、,WORM_SDBOT,其它（目前大多数木马、间谍软件的感染方式）,移动磁盘传播,网页感染,与正常软件捆绑,用户直接运行病毒程序,由其他恶意程序释放,病毒传播或感染途径电子邮件：WORM_MYTOB，WORM_,概述,病毒类型概述,病毒行为分析,趋势的病毒应对方式,病毒的处理建议,病毒案例分享,概述病毒类型概述,病毒感染的一般过程,通过某种途径传播，进入目标系统,自我复制,并通过修改系统设置实现随系统自启动,激活病毒负载的预定功能,打开后门等待连接,发起,DDOS,攻击,进行键盘记录,.,除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。,病毒感染的一般过程通过某种途径传播，进入目标系统,病毒自启动方式,修改系统,修改注册表,启动项,文件关联项,系统服务项,BHO,项,将自身添加为服务,将自身添加到启动文件夹,修改系统配置文件,自动加载,服务和进程病毒程序直接运行,嵌入系统正常进程,DLL,文件和,OCX,文件等,驱动,SYS,文件,病毒自启动方式修改系统,常见的病毒行为,自动弹出网页,占用高,CPU,资源,自动关闭窗口,自动终止某些进程,.,无论病毒在系统表现形式如何,我们需要关注的是病毒的隐性行为！,常见的病毒行为自动弹出网页无论病毒在系统表现形式如何,病毒的隐性行为（一）,下载特性,自动连接到,Internet,某,Web,站点，下载其他的病毒文件或该病毒自身的更新版本,/,其他变种,后门特性,开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控,信息收集特性,收集私人信息，特别是帐号密码等信息，自动发送,自身隐藏特性,使用,Rootkit,技术隐藏自身的文件和进程,病毒的隐性行为（一）下载特性,病毒的隐性行为（二）,文件感染特性,感染系统中部分,/,所有的可执行文件，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。,典型,PE_LOOKED,维京,PE_FUJACKS,熊猫烧香,网络攻击特性,针对微软操作系统或其他程序存在的漏洞进行攻击,修改计算机的网络设置,向网络中其它计算机发送大量数据包以阻塞网络,典型,震荡波,ARP,攻击,病毒的隐性行为（二）文件感染特性,概述,病毒类型概述,病毒行为分析,趋势的病毒应对方式,病毒的处理建议,病毒案例分享,概述病毒类型概述,趋势产品杀毒机制（一）,扫毒模块,扫描并检测含有恶意代码的文件，对其进行识别,对于被文件型病毒感染的可执行文件进行修复,组件,扫描引擎,-VSAPI&TMFilter,病毒码,-LPT$VPN.xxx,间谍软件病毒码,-TMAPTN.xxx,网络病毒码,-TMFxxxxx.PTN,趋势产品杀毒机制（一）扫毒模块,趋势产品杀毒机制（二）,杀毒模块,损害清除服务,(DCS),对于正在运行,/,已经加载的病毒进行清除,终止进程,脱钩,DLL,文件,删除文件,恢复被病毒修改过的注册表内容，起到修复系统的作用,可视为趋势通用专杀工具,组件,损害清除引擎,(DCE)-TSC.EXE,损害清除模板,(DCT)-TSC.PTN,间谍软件清除病毒码,-TMADCE.PTN,趋势产品杀毒机制（二）杀毒模块,中国区病毒码（,China Pattern,）,本地化，主动性,通过“主动”收集中国地区大量病毒样本,(Sourcing),，快速分析，由,China Regional Trend Labs,发布针对中国地区的病毒码。,包含全球病毒码特性,中国区病毒码完全包含全球病毒码，并极大增加了对本地病毒的查杀数目和能力。是根据中国病毒的特点，发布的病毒码版本。,技术领先特性，增强查杀率,中国区病毒码整合了多项智能扫描病毒技术，,Intellitrap,技术，最新杀病毒,DCE5,技术等多项查杀毒功能，大大增强了病毒查杀率。,中国区病毒码（China Pattern）本地化，主动性,载体程序,为什么会出现无法清除的病毒？,有病毒本身的特性决定,恶意代码,恶意代码,载体程序为什么会出现无法清除的病毒？有病毒本身的特性决定恶意,为什么会出现无法隔离,/,删除的病毒？,当病毒感染系统后,病毒进程已经被系统加载,病毒,DLL,文件已经嵌入到正在运行的系统进程中,Windows,自身的特性：对于已经加载的文件无法进行改动操作，从而导致病毒扫描引擎对检测到的文件无法操作。,已经加载的病毒不包含在损害清除模板,(DCT),中,为什么会出现无法隔离/删除的病毒？当病毒感染系统后,病毒问题处理的标准流程,发现系统异常，怀疑有产品无法查到或处理的病毒,在征得用户同意的情况下，拔除网线,收集病毒日志,客户机端,pccnt35.log,收集系统日志和样本,运行,sic,工具收集系统信息,使用在线分析系统，上传,sic,日志，获取样本提取工具,运行样本提取工具，提取病毒样本包,将步骤,3,和,4,生成的三个文件提交给趋势科技,趋势提供病毒解决方案,病毒问题处理的标准流程发现系统异常，怀疑有产品无法查到或处理,概述,病毒类型概述,病毒行为分析,趋势的病毒应对方式,病毒的处理建议,病毒案例分享,概述病毒类型概述,手动病毒处理方法,如何来防病毒？,安装杀毒软件，并及时更新防病毒组件,及时更新系统和应用软件补丁，修补漏洞,强化密码设置的安全策略，增加密码强度,加强网络共享的管理,增强员工的病毒防范意识,中毒了怎么办？,重装系统,系统还原,Ghost,还原,删除病毒文件,修复病毒修改的注册表和文件,手动病毒处理方法如何来防病毒？删除病毒文件,手动病毒处理步骤（一）,关闭系统还原,进入安全模式,终止所有可疑进程和不必要的进程,显示隐藏文件,工具,-,文件夹选项,选择“显示所有文件”,取消“隐藏受保护的系统文件”,仍然无法显示隐藏文件,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN,CheckedValue=2,DefaultValue=2,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL,CheckedValue=1,DefaultValue=2,手动病毒处理步骤（一）关闭系统还原,手动病毒处理步骤（二）,判断可疑文件,路径,%SystemRoot%,%SystemRoot%System32,%SystemRoot%System32drivers,按照日期排列文件，查看文件版本信息,可执行文件,.EXE,，,.COM,，,.SCR,，,.PIF,DLL,文件和,OCX,文件,LOG,文件,有一些病毒会将,DLL,文件伪装成,LOG,后缀的文件，可以直接双击打开查看其内容是否为文本。若为乱码，则可疑。,Google,之,联系趋势科技工程师,手动病毒处理步骤（二）判断可疑文件,手动病毒处理步骤（三）,修复被病毒修改的,host,文件,%SystemRoot%System32driversetchost,默认仅包含一条,host,记录,127.0.0.1 localhost,清空临时文件夹,%SystemRoot%Temp,C:Temp,Internet,临时文件,C:Documents and SettingsLocal SettingsTemp,清理注册表等启动项信息,手动病毒处理步骤（三）修复被病毒修改的host文件,常用工具介绍,netstat,命令,Process Explorer,IceSword,SIC-,http:/ Monitor,记录注册表,/,文件系统变化（动态）,InstallRite,记录注册表,/,文件系统变化（静态）,趋势科技闪电杀毒手,http:/ registry entries,Startkill services,Startkill processes,Create files in any folder chosen by the remote user,Create threads,Get disk status,Download files from the Internet to the affected system,Log keystrokes,Inject processes,G_Server_Hook.dll,挂载在,Iexplorer,进程下,典型病毒案例分析：BKDR_HUPIGON.G（三）G_Se,典型病毒案例分析：,WORM_LOVGATE.AE,（一）,WORM_LOVGATE.AE,的自身安装,该蠕虫会在执行后，生成以下文件：,%System%hxdef.exe,%System%IEXPLORE.exe,%System%kernel66.dll,%System%RAVMOND.exe,%System%TkBellExe.exe,%System%Update_OB.exe,%Windows%SYS