病毒處理技術(shù)淺談

1、病毒處理技術(shù)淺談?wù)莆辗床《局R熟悉反病毒工具的使用培養(yǎng)現(xiàn)場反病毒應(yīng)急響應(yīng)能力課程目標(biāo)病毒概述1.1 當(dāng)前面臨的威脅1.2 計算機病毒的分類1.3 當(dāng)前病毒流行的趨勢常見病毒類型說明及行為分析2.1 常見病毒傳播途徑2.2 病毒自啟動方式2.3 常見病毒行為培訓(xùn)課程安排病毒處理技術(shù)3.1 趨勢防病毒產(chǎn)品工作機制介紹3.2 病毒問題標(biāo)準(zhǔn)處理流程3.3 常用的病毒處理方法3.4 常用工具介紹典型病毒案例分析培訓(xùn)課程安排病毒概述1. 病毒概述病毒概述1.1 當(dāng)前用戶面臨的威脅1.2 計算機病毒的分類1.3 當(dāng)前病毒流行趨勢常見病毒類型說明及行為分析2.1 常見病毒傳播途徑2.2 病毒自啟動方式2.3

2、常見病毒行為課程進度1.1 當(dāng)前用戶面臨的威脅隨著互聯(lián)網(wǎng)的開展，我們的企業(yè)和個人用戶在享受網(wǎng)絡(luò)帶來的快捷和商機的同時，也面臨無時不在的威脅：病毒 蠕蟲 木馬 后門 間諜軟件 其他以上統(tǒng)稱為惡意代碼。1.1 當(dāng)前用戶面臨的威脅ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojan SpywareDownloadersDroppersPassword StealersBackdoors防間諜軟件產(chǎn)品覆蓋范圍防病毒產(chǎn)品覆蓋范圍1.2 現(xiàn)代計算機病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件

3、間諜軟件 (有惡意行為) 間諜軟件(無惡意行為) 灰色軟件正邪難辨 (往往是用戶不需要的程序)惡意程序：一種會帶來危害結(jié)果的程序特洛伊木馬：一種會在主機上未經(jīng)授權(quán)就自己執(zhí)行的惡意程序 后門木馬：一種會在主機上開放端口讓遠程計算機遠程訪問的惡意程序1.2 現(xiàn)代計算機病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件間諜軟件 (有惡意行為) 間諜軟件(無惡意行為) 灰色軟件正邪難辨 (往往是用戶不需要的程序)病毒：病毒會復(fù)制感染其它文件通過各種方法前附著插入C. 覆蓋D. 后附著蠕蟲:蠕蟲自動傳播自身的副本到其他計算機：通過郵件郵件蠕蟲通過點對點軟件 (點對點蠕蟲)通過 ( 蠕蟲)通過網(wǎng)絡(luò) (網(wǎng)絡(luò)蠕蟲)

4、1.2 現(xiàn)代計算機病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件間諜軟件 (有惡意行為) 間諜軟件(無惡意行為) 灰色軟件正邪難辨 (往往是用戶不需要的程序)間諜軟件： 此類軟件會監(jiān)測用戶的使用習(xí)慣和個人信息，并且會將這些信息在未經(jīng)用戶的認(rèn)知和許可下發(fā)送給第三方。包括鍵盤紀(jì)錄，事件日志，屏幕信息等，或者是上面所列的信息的組合。對系統(tǒng)的影響表現(xiàn)為系統(tǒng)運行速度下降，系統(tǒng)變得不穩(wěn)定，甚至當(dāng)機。惡意的間諜軟件灰色軟件(無惡意的間諜軟件)來源病毒制造者，黑客一些合法的軟件開發(fā)程序員是否被視為惡意程序？肯定是不確定，依賴于用戶的看法檢測此類程序是否會帶來法務(wù)上的問題？否是 文件格式$檢測與否默認(rèn)開啟默認(rèn)關(guān)閉

5、，用戶必須手動開啟惡意程序灰色地帶間諜軟件不同種類的間諜軟件1.3 當(dāng)前病毒流行趨勢 范圍：全球性爆發(fā)逐漸轉(zhuǎn)變?yōu)榈赜蛐员l(fā) 如等病毒逐漸減少 , , 等病毒逐漸增加 速度：越來接近零日攻擊( ) 如, 等 方式：病毒、蠕蟲、木馬、間諜軟件聯(lián)合 如病毒感染的同時也會從網(wǎng)絡(luò)下載感染病毒 常見病毒類型說明及行為分析2. 常見病毒類型說明及行為分析病毒概述1.1 當(dāng)前用戶面臨的威脅1.2 計算機病毒的分類1.3 當(dāng)前病毒流行趨勢常見病毒類型說明及行為分析2.1 常見病毒傳播途徑2.2 病毒自啟動方式2.3 常見病毒行為課程進度木馬病毒： 后門程序： 蠕蟲病毒： 間諜軟件： 廣告軟件： 文件型病毒： 引

6、導(dǎo)區(qū)病毒：目前世界上僅存的一種引導(dǎo)區(qū)病毒 趨勢科技對惡意程序的分類病毒感染系統(tǒng)時，感染的過程大致可以分為：通過某種途徑傳播，進入目標(biāo)系統(tǒng)自我復(fù)制,并通過修改系統(tǒng)設(shè)置實現(xiàn)隨系統(tǒng)自啟動激活病毒負載的預(yù)定功能如： 翻開后門等待連接 發(fā)起攻擊 進展鍵盤記錄 2 病毒感染的一般方式 除引導(dǎo)區(qū)病毒外，所有其他類型的病毒，無一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能實現(xiàn)感染系統(tǒng)的目的。對于不同類型的病毒，它們傳播、感染系統(tǒng)的方法也有所不同。2.1 常見病毒傳播途徑2.1 常見病毒傳播途徑傳播方式主要有： 電子郵件 網(wǎng)絡(luò)共享 P2P 共享 系統(tǒng)漏洞 移動磁盤傳播2.1 常見病毒傳播途徑 電子郵件正文可能被嵌入惡意

7、腳本，郵件附件攜帶病毒壓縮文件利用社會工程學(xué)進展偽裝，增大病毒傳播時機快捷傳播特性例：，等病毒2.1 常見病毒傳播途徑 網(wǎng)絡(luò)共享 病毒會搜索本地網(wǎng)絡(luò)中存在的共享，包括默認(rèn)共享 如$ $ $ 通過空口令或弱口令猜測，獲得完全訪問權(quán)限 病毒自帶口令猜測列表將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中 通常以游戲等相關(guān)名字命名例： 等病毒2.1 常見病毒傳播途徑 P2P共享軟件將自身復(fù)制到P2P共享文件夾 通常以游戲等相關(guān)名字命名通過P2P軟件共享給網(wǎng)絡(luò)用戶利用社會工程學(xué)進展偽裝，誘使用戶下載例：等病毒2.1 常見病毒傳播途徑 系統(tǒng)漏洞由于操作系統(tǒng)固有的一些設(shè)計缺陷,導(dǎo)致被惡意用戶通過畸形的方式利用后,可執(zhí)行任意代

8、碼,這就是系統(tǒng)漏洞. 病毒往往利用系統(tǒng)漏洞進入系統(tǒng), 到達傳播的目的。常被利用的漏洞 緩沖區(qū)溢出 (03-026) (03-007) (04-011) ( ) 例： 、等病毒2.1 常見病毒傳播途徑其他常見病毒感染途徑： 網(wǎng)頁感染 與正常軟件捆綁 用戶直接運行病毒程序 由其他惡意程序釋放 目前大多數(shù)的木馬、間諜軟件等病毒都是通過這幾種方式進入系統(tǒng)。它們通常都不具備傳播性。 廣告軟件/灰色軟件 由于廣告軟件/灰色軟件的定義，它們有時候是由用戶主動安裝，更多的是與其他正常軟件進展綁定。2.1 常見病毒傳播途徑及時更新系統(tǒng)和應(yīng)用軟件補丁，修補漏洞強化密碼設(shè)置的平安策略，增加密碼強度加強網(wǎng)絡(luò)共享的管理

9、增強員工的病毒防范意識2.1 防止病毒入侵針對病毒傳播渠道，趨勢科技產(chǎn)品應(yīng)用利用的爆發(fā)阻止功能，阻斷病毒通過共享和漏洞傳播2.1 防止病毒入侵 自啟動特性 除引導(dǎo)區(qū)病毒外，絕大多數(shù)病毒感染系統(tǒng)后，都具有自啟動特性。 病毒在系統(tǒng)中的行為是基于病毒在系統(tǒng)中運行的根底上的，這就決定了病毒必然要通過對系統(tǒng)的修改，實現(xiàn)開機后自動加載的功能。2.2 病毒自啟動方式修改注冊表將自身添加為效勞將自身添加到啟動文件夾修改系統(tǒng)配置文件加載方式效勞和進程病毒程序直接運行嵌入系統(tǒng)正常進程文件和文件等驅(qū)動文件 修改注冊表注冊表啟動項文件關(guān)聯(lián)項系統(tǒng)效勞項項其他2.2 病毒自啟動方式注冊表啟動下： 下： 以上這些鍵一般用于

10、在系統(tǒng)啟動時執(zhí)行特定程序2.2 病毒自啟動方式文件關(guān)聯(lián)項下： %1 %* %1 %* %1 %* %1 %* %1 %*“病毒將%1 %*改為 “ %1 %*將在翻開或運行相應(yīng)類型的文件時被執(zhí)行2.2 病毒自啟動方式 修改配置文件 中節(jié) : 將c:設(shè)置為,表示讓在將 運行后刪除.中的節(jié) = = 這兩個變量用于自動啟動程序。 中的節(jié) = 變量指出了要在系統(tǒng)啟動時執(zhí)行的程序列表。2.2 病毒自啟動方式病毒常修改的文件 該文件在每次系統(tǒng)啟動時執(zhí)行，只要在該文件中寫入欲執(zhí)行的程序，該程序即可在系統(tǒng)啟動時自動執(zhí)行。 在下每次自啟動2.2 病毒自啟動方式 修改啟動文件夾當(dāng)前用戶的啟動文件夾 可以通過如下注

11、冊表鍵獲得: 中的 項公共的啟動文件夾 可以通過如下注冊表鍵獲得: 中的 項病毒可以在該文件夾中放入欲執(zhí)行的程序，或直接修改其值指向放置有要執(zhí)行程序的路徑。2.2 病毒自啟動方式 病毒感染系統(tǒng)后，無疑會對系統(tǒng)做出各種修改和破壞。有時病毒會使受感染的系統(tǒng)出現(xiàn)自動彈出網(wǎng)頁、占用高資源、自動彈出/關(guān)閉窗口、自動終止某些進程等各種不正?，F(xiàn)象。 2.3 常見病毒行為無論病毒在系統(tǒng)表現(xiàn)形式如何我們需要關(guān)注的是病毒的隱性行為！ 下載特性 很多木馬、后門程序間諜軟件會自動連接到某站點，下載其他的病毒文件或該病毒自身的更新版本/其他變種。后門特性 后門程序及很多木馬、蠕蟲和間諜軟件會在受感染的系統(tǒng)中開啟并偵聽某

12、個端口，允許遠程惡意用戶來對該系統(tǒng)進展遠程操控。有時候病毒還會自動連接到某站點某頻道中，使得該頻道中特定的惡意用戶遠程訪問受感染的計算機。下載與后門特性 & 信息收集特性 大多數(shù)間諜軟件和一些木馬都會收集系統(tǒng)中用戶的私人信息，特別各種帳號和密碼。收集到的信息通常都會被病毒通過自帶的引擎發(fā)送到指定的某個指定的郵箱。信息收集特性密碼和聊天記錄網(wǎng)絡(luò)游戲帳號密碼網(wǎng)上銀行帳號密碼用戶網(wǎng)頁瀏覽記錄和上網(wǎng)習(xí)慣自身隱藏特性 多數(shù)病毒會將自身文件設(shè)置為“隱藏、“系統(tǒng)和“只讀屬性，更有一些病毒會通過修改注冊表來實現(xiàn)對系統(tǒng)的文件夾訪問權(quán)限、顯示權(quán)限等進展修改，以使其更加隱蔽不易被發(fā)現(xiàn)。自身隱藏特性 & 有一些病毒會

13、使用技術(shù)來隱藏自身的進程和文件，使得用戶更難以發(fā)現(xiàn)。 使用技術(shù)的病毒，通常都會有一個文件加載在系統(tǒng)的驅(qū)動中，用以實現(xiàn)技術(shù)的隱藏功能。文件感染特性 文件型病毒的一個特性是感染系統(tǒng)中局部/所有的可執(zhí)行文件。病毒會將惡意代碼插入到系統(tǒng)中正常的可執(zhí)行文件中，使得系統(tǒng)正常文件被破壞而無法運行，或使系統(tǒng)正常文件感染病毒而成為病毒體。 有的文件型病毒會感染系統(tǒng)中其他類型的文件。文件感染特性典型- 維京 熊貓燒香網(wǎng)絡(luò)攻擊 一些蠕蟲病毒會針對微軟操作系統(tǒng)或其他程序存在的漏洞進展攻擊，從而導(dǎo)致受攻擊的計算機出現(xiàn)各種異常現(xiàn)象，或是通過漏洞在受攻擊的計算機上遠程執(zhí)行惡意代碼。 一些木馬和蠕蟲病毒會修改計算機的網(wǎng)絡(luò)設(shè)置

14、，使該計算機無法訪問網(wǎng)絡(luò)。有的木馬和蠕蟲還會向網(wǎng)絡(luò)中其他計算機攻擊、發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò)，甚至通過散步虛假網(wǎng)關(guān)地址的播送包來欺騙網(wǎng)絡(luò)中其他計算機，從而使得整個網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)攻擊特性振蕩波利用04-011漏洞攻擊 攻擊病毒處理技術(shù)3. 病毒處理技術(shù)病毒處理技術(shù)3.1 趨勢防病毒產(chǎn)品工作機制介紹3.2 病毒問題標(biāo)準(zhǔn)處理流程3.3 常用的病毒處理方法3.4 常用工具介紹典型病毒案例分析課程進度掃毒模塊掃描并檢測含有惡意代碼的文件，對其做出處理。對于被文件型病毒感染的可執(zhí)行文件進展修復(fù)。掃描引擎 & 病毒碼$間諜軟件病毒碼網(wǎng)絡(luò)病毒碼3.1 趨勢防病毒產(chǎn)品工作機制介紹損害去除效勞()對于正在運行/已

15、經(jīng)加載的病毒進展去除包括終止進程、脫鉤文件、刪除文件，并恢復(fù)被病毒修改正的注冊表內(nèi)容，起到修復(fù)系統(tǒng)的作用?？梢暈橥ㄓ脤⒐ぞ摺p害去除引擎()損害去除模板()間諜軟件去除病毒碼3.1 趨勢防病毒產(chǎn)品工作機制介紹當(dāng)病毒感染系統(tǒng)后，病毒進程已經(jīng)被系統(tǒng)加載，或是病毒已經(jīng)嵌入到正在運行的系統(tǒng)進程中時，由于自身的特性，對于已經(jīng)加載的文件無法進展改動操作，從而導(dǎo)致病毒掃描引擎對檢測到的文件無法操作。已經(jīng)加載的病毒不包含在損害去除模板()中，損害去除效勞無法修復(fù)被病毒感染的系統(tǒng)。為什么會出現(xiàn)無法去除/隔離/刪除的病毒？ 針對中國地區(qū)特有的病毒形勢，趨勢科技發(fā)布 增強對中國區(qū)特有的病毒的檢測能力。針對日益廣泛

16、的病毒新變種所使用的加殼技術(shù)， 增加了對加殼文件的檢測。 5 5.3增強了對已加載程序的處理能力，強行終止病毒進程，使掃描引擎能夠刪除/隔離病毒文件。中國區(qū)發(fā)布新增功能的，可在系統(tǒng)啟動時強制刪除無法去除/隔離的文件 和 5 從病毒問題處理角度劃分，病毒問題可分為病毒問題 防病毒軟件可以成功檢測到病毒，但由于病毒已經(jīng)感染了系統(tǒng)并在系統(tǒng)中運行，導(dǎo)致防毒軟件無法對病毒進展去除、隔離或刪除的操作。未知病毒問題 防病毒軟件無法通過現(xiàn)有的病毒碼和掃描引擎檢測到該病毒。3.2 病毒問題處理標(biāo)準(zhǔn)流程在征得同意的情況下，拔除網(wǎng)線。查看病毒日志，確認(rèn)并記錄該客戶機感染的病毒名、病毒感染文件路徑和文件名。根據(jù)病毒名

17、稱，訪問趨勢科技病毒知識庫查詢該病毒詳細信息及其解決方案： 根據(jù)病毒詳細信息，視情況為計算機安裝相應(yīng)補丁，并了解傳播途徑，做好防范工作。根據(jù)病毒解決方案，手動去除該系統(tǒng)中的病毒。 病毒問題標(biāo)準(zhǔn)處理流程假設(shè)病毒知識庫中無法查詢到此病毒，或是病毒解決方案無效，那么請將該計算機病毒日志導(dǎo)出，并在該計算機上使用工具收集系統(tǒng)信息，同時收集病毒樣本一起提交至趨勢科技。假設(shè)感染同一病毒的計算機較多，無法快速有效的去除，那么需要將病毒樣本提交至趨勢科技，以制作特殊版本(專用去除工具，即專殺工具)。病毒問題標(biāo)準(zhǔn)處理流程發(fā)現(xiàn)系統(tǒng)不正常，疑心感染有病毒時，在征得同意的情況下，拔除網(wǎng)線。在該計算機上使用 工具收集系統(tǒng)

18、信息，將日志提交至趨勢科技。 趨勢科技在分析日志后，得知系統(tǒng)中存在的可疑文件，并通知用戶。用戶收集可疑文件并提交至趨勢科技。趨勢科技提供病毒解決方案。未知病毒問題標(biāo)準(zhǔn)處理流程根據(jù)病毒日志到相應(yīng)目錄下找到感染病毒的文件將該文件復(fù)制到某臨時文件夾。假設(shè)無法復(fù)制，需要重啟計算機進入平安模式。使用壓縮軟件將該文件壓縮，并使用密碼加密加密后的壓縮文件即為病毒樣本文件，將該文件作為郵件附件發(fā)送給趨勢科技，并在郵件中附以問題描述。注: 描述內(nèi)容包含:中毒情況簡單說明,病毒名,感染文件名及路徑最好能夠在提交病毒樣本的同時也提供病毒日志。在執(zhí)行以上操作時，如果找不到感染病毒的文件時，需要在“工具-“文件夾選項-

19、“查看中，選擇“顯示所有的文件和文件夾，并取消“隱藏受保護的系統(tǒng)文件前的復(fù)選框。 病毒樣本提交流程 大多數(shù)情況下，可以直接根據(jù)經(jīng)歷來迅速去除各種病毒。 處理過程包括修復(fù)病毒修改的注冊表/文件內(nèi)容和刪除病毒文件兩局部。3.3 常用病毒處理方法木馬病毒和后門程序間諜軟件、廣告軟件和灰色軟件蠕蟲病毒文件型病毒母體系統(tǒng)中了病毒，該怎么辦？重裝系統(tǒng)？系統(tǒng)復(fù)原？復(fù)原？ 處理病毒問題時，假設(shè)病毒進程在系統(tǒng)中運行，那么可能會出現(xiàn)無法刪除文件、無法刪除注冊表主鍵/鍵值的情況，也可能出現(xiàn)刪除注冊表鍵值或文件后，被刪除的內(nèi)容會再次出現(xiàn)的情況。3.3 常用病毒處理方法最好在平安模式下操作終止所有可疑進程和不必要的進程

20、關(guān)閉系統(tǒng)復(fù)原檢查啟動項: 刪除不必要的啟動項鍵值，如發(fā)現(xiàn)指向不正常或不認(rèn)識的程序的鍵值，可將該鍵值刪除。;檢查注冊表中常見的病毒自動加載項檢查效勞: 在控制面板-管理工具-效勞中，查看是否存在可疑效勞。假設(shè)無法確定效勞是否可疑，可直接查看該效勞屬性，檢查效勞所指向的文件。隨后可以檢查該文件是否為正常文件(文件檢查方法稍后會介紹)。對于不正常的效勞，可直接在注冊表中刪除該效勞的主鍵。檢查注冊表中常見的病毒自動加載項檢查加載項 在注冊表中檢查相關(guān)加載項： = (默認(rèn)):32,(默認(rèn)) 以上和鍵值為默認(rèn)，假設(shè)發(fā)現(xiàn)被修改，可直接將其修改為默認(rèn)鍵值。檢查注冊表中常見的病毒自動加載項檢查加載項 在注冊表中

21、檢查 相關(guān)加載項： 在下會有多個主鍵(目錄)，每個主鍵中的鍵值將指向一個文件。假設(shè)發(fā)現(xiàn)有指向可疑的文件時，請先確認(rèn)其指向的是否正常。假設(shè)不正常，可直接刪除這個主鍵。檢查注冊表中常見的病毒自動加載項檢查其他加載項 在注冊表中檢查以下注冊表加載項鍵值： = “ = “ 該鍵值默認(rèn)為空。假設(shè)鍵值被修改，可直接將鍵值內(nèi)容清空。檢查注冊表中常見的病毒自動加載項檢查 ()項項在注冊表中包含以下主鍵的內(nèi)容： 可以在下的32主鍵中查看項所指向的文件。當(dāng)發(fā)現(xiàn)指向了可疑文件時，可直接刪除以上注冊表路徑下所有包含了該的主鍵。使用工具可以迅速有效的分析系統(tǒng)中的項。該工具使用方法稍后會介紹。檢查注冊表中的項如何判斷文件

22、是否可疑？ 所有的正常系統(tǒng)文件都包含完整的版本信息。假設(shè)文件無版本信息，或版本信息異常，那么可判斷為可疑文件。直接刪除這樣的文件不會對系統(tǒng)造成影響。系統(tǒng)中的可疑文件查看文件版本信息之聯(lián)系趨勢科技工程師如何迅速查找這些可疑文件？ 對于這些目錄下的文件，按照修改日期排序，檢查修改日期為最近一段時間的文件：系統(tǒng)中的可疑文件3232可執(zhí)行文件 ，文件和文件文件有一些病毒會將文件偽裝成后綴的文件，可以直接雙擊翻開查看其內(nèi)容是否為文本。假設(shè)為亂碼，那么可疑。病毒文件被隱藏，如何查找？ 在工具-文件夾選項中，選擇“顯示所有文件并取消“隱藏受保護的系統(tǒng)文件復(fù)選框。 仍然無法顯示隱藏文件？檢查注冊表鍵值，確認(rèn)其

23、為以下值： = 2 = 2 = 1 = 2查找可疑文件可能遇到的問題修復(fù)被病毒修改的文件 一些病毒會修改系統(tǒng)的文件，使用戶無法訪問某些網(wǎng)站，或在用戶訪問某些網(wǎng)站時，重定向到某些惡意站點。 檢查文件： 32 使用文本編輯工具翻開該文件檢查。默認(rèn)該文件包含一條記錄： 127.0.0.1 假設(shè)有其他可疑的記錄，可以直接刪除多余的記錄。檢查并修復(fù)文件病毒經(jīng)常存在于臨時目錄中 清空所有以上的目錄。刪除所有臨時文件C:臨時文件C: 應(yīng)用實例 & 其他工具 分析網(wǎng)絡(luò)連接 監(jiān)視注冊表 監(jiān)視文件系統(tǒng)3.4 常用工具介紹3.4 常用工具介紹 功能:查看系統(tǒng)的網(wǎng)絡(luò)連接信息(遠程地址,協(xié)議,端口號)查看系統(tǒng)的網(wǎng)絡(luò)連接

24、狀況(發(fā)起連接,已連接,已斷開)查看進程翻開的端口動態(tài)刷新列表多用于查看 蠕蟲,后門,間諜等惡意程序3.4 常用工具介紹主要功能:監(jiān)視系統(tǒng)中注冊表的操作: 如 注冊表的翻開,寫入,讀取,查詢,刪除,編輯等多用于監(jiān)視病毒的自啟動信息和方式.3.4 常用工具介紹主要功能:監(jiān)視文件系統(tǒng)的操作:如建立文件,翻開文件,寫文件,讀文件,查詢文件信息等多用于查找的主體程序.3.4 常用工具介紹功能:跟蹤文件系統(tǒng)的變化跟蹤注冊表的變換注:假設(shè)惡意程序帶有功能, 請重啟后進入平安模式再分析系統(tǒng)變化(如灰鴿子某些變種)局限性: 解決方法無法跟蹤進程樹的變化 無法跟蹤網(wǎng)絡(luò)連接和端口情況 典型病毒案例分析4. 典型病

25、毒案例分析病毒處理技術(shù)3.1 趨勢防病毒產(chǎn)品工作機制介紹3.2 病毒問題標(biāo)準(zhǔn)處理流程3.3 常用的病毒處理方法3.4 常用工具介紹典型病毒案例分析課程進度4. 典型病毒案例分析案例1： 后門：灰鴿子 【】案例2： 木馬：傳奇木馬 【】案例3： 蠕蟲： 【】案例4： 病毒 【】 4.1 案例1：灰鴿子 灰鴿子的自行安裝在無意中執(zhí)行了灰鴿子后門程序后, 會在目錄中釋放4個文件： 【 】 使用了技術(shù)隱藏以上文件， 導(dǎo)致用戶手工查看時不可見。4.1 案例1：灰鴿子 灰鴿子的自啟動：注冊為效勞通過將自身注冊成效勞，并添加以下注冊表效勞項，常駐內(nèi)存 執(zhí)行后門功能： 翻開一個隨機的端口，允許遠程用戶連承受感

26、染系統(tǒng)。 一旦連接成功，它將在本地執(zhí)行以下命令 4.1 案例1：灰鴿子 去除灰鴿子 以 為例，步驟如下 ： 關(guān)閉系統(tǒng)復(fù)原；重啟進入平安模式，由于正常模式下文件不可見； 翻開文件夾的顯示隱藏文件、系統(tǒng)文件功能；找到并刪除目錄下灰鴿子的4個文件；翻開，刪除 下的 項 ；去除完成。4.2 案例2：傳奇木馬 用于盜取一款網(wǎng)絡(luò)游戲傳奇的游戲用戶信息帳號、密碼等，并通過電子郵件將偷到的信息發(fā)送給遠程的惡意用戶。該木馬執(zhí)行后，會在系統(tǒng)文件夾中釋放以下文件： 0 1 0 a 4.2 案例2：傳奇木馬 該木馬創(chuàng)立以下注冊表鍵值1 081200103-11D746770E4459F2F1 081200103-11D746770E4459F2F 081200103-11D746770E4459F2F = 4.2 案例2：傳奇木馬 去除傳奇木馬 以 為例，步驟如下：關(guān)閉系統(tǒng)復(fù)原；標(biāo)識病毒程序和文件：更新病毒庫，用趨勢產(chǎn)品掃描；完畢病毒相關(guān)的惡意進程：進程管理器， 刪除病毒相關(guān)的注冊表項：具體項見前頁；去除完成。4.3 案例3： 的自身安裝該蠕蟲會在執(zhí)行