第5節(jié)惡意代碼防范第3章目

錄01惡意代碼的查殺方法02惡意代碼的防范措施01惡意代碼的查殺方法手動(dòng)清除惡意代碼惡意代碼清除技術(shù)-感染引導(dǎo)區(qū)從備份修復(fù)引導(dǎo)區(qū)重建主引導(dǎo)區(qū)（FDISK/MBR）手動(dòng)清除惡意代碼正常代碼惡意代碼正常代碼惡意代碼正常代碼惡意代碼附著型惡意代碼清除替換型惡意代碼清除惡意代碼清除技術(shù)-感染文件附著型逆向還原（從正常文件中刪除惡意代碼）替換型備份還原（正常文件替換感染文件）手動(dòng)清除惡意代碼惡意代碼清除技術(shù)-獨(dú)立文件獨(dú)立可執(zhí)行程序（.exe等）終止進(jìn)程、刪除獨(dú)立依附型（.dll.sys）內(nèi)存退出、刪除工具清除惡意代碼以騰訊電腦管家為例惡意代碼查殺工具常用工具360安全殺毒騰訊電腦管家火絨安全查殺方式快速查殺最容易感染病毒的關(guān)鍵位置全盤查殺指定位置查殺工具清除惡意代碼惡意代碼查殺工具查殺方式快速查殺全盤查殺掃描系統(tǒng)所有文件指定位置查殺工具清除惡意代碼惡意代碼查殺工具查殺方式快速查殺全盤查殺指定位置查殺關(guān)鍵位置內(nèi)存、啟動(dòng)項(xiàng)、系統(tǒng)設(shè)置、常用軟件常用位置

自定義文件夾、系統(tǒng)桌面、磁盤、移動(dòng)介質(zhì)工具清除惡意代碼注：在線查殺方式僅限于檢查支持上傳的惡意代碼文件。惡意代碼查殺工具-在線查殺在線查殺平臺(tái)VirustotalVirScan騰訊哈勃分析系統(tǒng)微步云沙箱工具清除惡意代碼惡意代碼查殺工具-在線查殺Virustotal查殺對(duì)象muma.exe文件步驟訪問(wèn)Virustotal地址->上傳惡意代碼文件->分析掃描結(jié)果。（70款引擎，58款判斷為惡意文件）工具清除惡意代碼VirScan掃描結(jié)果惡意代碼查殺工具-在線查殺41款引擎，34款判斷為惡意文件。說(shuō)明可以確定該文件為惡意代碼文件。工具清除惡意代碼惡意代碼查殺工具-在線查殺騰訊哈勃分析系統(tǒng)結(jié)果分析該惡意代碼會(huì)修改注冊(cè)表，甚至?xí)Y(jié)束名為：KSafeTray.exe（金山衛(wèi)士）的進(jìn)程。工具清除惡意代碼惡意代碼查殺工具-在線查殺微步云沙箱掃描結(jié)果根據(jù)微步情報(bào)中心數(shù)據(jù)檢測(cè)，判斷為木馬文件。22款引擎，15款判斷為惡意文件。02惡意代碼的防范措施計(jì)算機(jī)病毒的防范方法方法一：查找計(jì)算機(jī)病毒源方法描述01.比較法02.搜索法用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)文件進(jìn)行比較，檢測(cè)其完整性變化。以病毒體含有的特定字符串對(duì)被檢測(cè)對(duì)象進(jìn)行掃描。該方法基于特征串掃描法，從病毒體抽取幾個(gè)關(guān)鍵特征字，組成特征字庫(kù)。03.特征字識(shí)別法04.分析法專業(yè)反病毒人員使用。目的：確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒，辨別病毒的類型、種類、結(jié)構(gòu)，提取病毒的特征字節(jié)串或特征字，用于增添到病毒代碼庫(kù)提供病毒掃描和識(shí)別程序使用。計(jì)算機(jī)病毒的防范方法方法二：阻斷傳播途徑方法三：應(yīng)急響應(yīng)和災(zāi)備安全區(qū)域隔離消除計(jì)算機(jī)病毒載體增強(qiáng)安全防范意識(shí)和安全操作習(xí)慣備份（文件備份、數(shù)據(jù)備份、系統(tǒng)備份）數(shù)據(jù)修復(fù)技術(shù)（文件恢復(fù)大師、DiskGenius、EasyusDataRecovery）網(wǎng)絡(luò)過(guò)濾技術(shù)（病毒防火墻）計(jì)算機(jī)病毒應(yīng)急響應(yīng)預(yù)案特洛伊木馬防范方法被攻擊機(jī)器攻擊者后臺(tái)方法一：查看開(kāi)放端口原理根據(jù)特洛伊木馬在受害計(jì)算機(jī)系統(tǒng)上留下的網(wǎng)絡(luò)通信端口號(hào)痕跡進(jìn)行判斷。例如冰河木馬（監(jiān)聽(tīng)7626端口）排查方式CMD指令（netstat-ano）、端口掃描軟件清除方法打開(kāi)“任務(wù)管理器”，結(jié)束名為：Kernel32.exe的進(jìn)程即可。特洛伊木馬防范方法方法二：重要系統(tǒng)文件檢測(cè)原理根據(jù)特洛伊木馬在受害計(jì)算機(jī)系統(tǒng)上對(duì)重要系統(tǒng)文件進(jìn)行修改留下的痕跡進(jìn)行判斷。例如Windows中的Autostart、Folder、Win.ini、System.ini等文件。特洛伊木馬防范方法當(dāng)目標(biāo)主機(jī)的系統(tǒng)時(shí)間到達(dá)設(shè)定時(shí)間之后，g_server.exe木馬程序自動(dòng)啟動(dòng)，且無(wú)任何提示。方法三：系統(tǒng)注冊(cè)表檢測(cè)原理檢查計(jì)算機(jī)的注冊(cè)表鍵值異常情況對(duì)比已有木馬修改注冊(cè)表的規(guī)律，綜合判定。例如HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run特洛伊木馬防范方法Linux操作系統(tǒng)下進(jìn)行全面的Rootkit檢測(cè)方法四：隱藏Rootkit木馬檢測(cè)檢測(cè)方式基于運(yùn)行痕跡進(jìn)行檢測(cè)基于執(zhí)行路徑的分析檢測(cè)基于內(nèi)核的分析檢測(cè)網(wǎng)絡(luò)蠕蟲(chóng)防范方法注：蜜罐系統(tǒng)在后續(xù)章節(jié)會(huì)進(jìn)行介紹。方法一：監(jiān)測(cè)與預(yù)警方法二：傳播抑制方法三：系統(tǒng)漏洞檢測(cè)與系統(tǒng)加固安裝探測(cè)器收集信息包括本地網(wǎng)絡(luò)通信連接數(shù)、ICMP路由錯(cuò)誤包、通信流量、網(wǎng)絡(luò)服務(wù)分部、域名服務(wù)、端口活動(dòng)、CPU使用率、內(nèi)存使用率。監(jiān)測(cè)方法數(shù)據(jù)挖掘、模式匹配、數(shù)據(jù)融合、行為圖。部署主動(dòng)防御系統(tǒng)（如：蜜罐）漏洞掃描漏洞修復(fù)漏洞預(yù)防網(wǎng)絡(luò)蠕蟲(chóng)防范方法網(wǎng)絡(luò)蠕蟲(chóng)專殺工具方法四：網(wǎng)絡(luò)蠕蟲(chóng)免疫技術(shù)設(shè)置蠕蟲(chóng)感染標(biāo)記，進(jìn)行欺騙阻斷與隔離方法五：網(wǎng)絡(luò)蠕蟲(chóng)清除手動(dòng)清除、專用工具清除其他惡意代碼防范后門專殺軟件注：關(guān)于惡意程序清除操作步驟，請(qǐng)參閱第三章/利用進(jìn)程異常清除惡意程序.mp4僵尸網(wǎng)絡(luò)防范方法威脅檢測(cè)內(nèi)容檢測(cè)（通信內(nèi)容、行為特征）主動(dòng)遏制（DNS、IP）后門防范方法關(guān)閉不用的端口或只允許指定的端口訪問(wèn)部署后門專殺軟件終止后門異常進(jìn)程本章介紹了惡意代碼的查殺方法以及惡意代碼的防范措施等內(nèi)容。惡意代碼的查殺方法包括：手動(dòng)清除、工具查殺（第三方軟件查殺和在線查殺）