計(jì)算機(jī)防病毒技術(shù)培訓(xùn)(69張)課件

1、計(jì)算機(jī)防病毒技術(shù)培訓(xùn)(69張)課件計(jì)算機(jī)防病毒技術(shù)培訓(xùn)(69張)課件病毒概述常見病毒類型說明及行為分析病毒處理技術(shù)典型病毒案例分析培訓(xùn)課程安排病毒概述培訓(xùn)課程安排病毒概述計(jì)算機(jī)防病毒技術(shù)培訓(xùn)(69張)課件當(dāng)前用戶面臨的威脅隨著互聯(lián)網(wǎng)的發(fā)展，我們的企業(yè)和個(gè)人用戶在享受網(wǎng)絡(luò)帶來的快捷和商機(jī)的同時(shí)，也面臨無時(shí)不在的威脅：病毒 PE蠕蟲 WORM木馬 TROJ后門 BKDR間諜軟件 TSPY其他以上統(tǒng)稱為惡意代碼。當(dāng)前用戶面臨的威脅隨著互聯(lián)網(wǎng)的發(fā)展，我們的企業(yè)和個(gè)人用戶在享當(dāng)前用戶面臨的威脅ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhis

2、hingPharmingBotsAdwareTrojan SpywareDownloadersDroppersPassword StealersBackdoors防間諜軟件產(chǎn)品覆蓋范圍防病毒產(chǎn)品覆蓋范圍當(dāng)前用戶面臨的威脅ThreatsSpamMalwareGra現(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件間諜軟件 (有惡意行為) 間諜軟件(無惡意行為) 灰色軟件（正邪難辨） (往往是用戶不需要的程序)惡意程序：一種會(huì)帶來危害結(jié)果的程序特洛伊木馬：偽裝成正常的應(yīng)用程序或其它正常文件后門木馬：一種會(huì)在主機(jī)上開放端口讓遠(yuǎn)程計(jì)算機(jī)遠(yuǎn)程訪問的惡意程序現(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門蠕蟲惡

3、意軟件間諜軟件現(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件間諜軟件 (有惡意行為) 間諜軟件(無惡意行為) 灰色軟件（正邪難辨） (往往是用戶不需要的程序)病毒：病毒會(huì)復(fù)制（感染）其它文件通過各種方法前附著插入C. 覆蓋D. 后附著蠕蟲:蠕蟲自動(dòng)傳播自身的副本到其他計(jì)算機(jī)：通過郵件（郵件蠕蟲）通過點(diǎn)對(duì)點(diǎn)軟件 (點(diǎn)對(duì)點(diǎn)蠕蟲)通過IRC (IRC 蠕蟲)通過網(wǎng)絡(luò) (網(wǎng)絡(luò)蠕蟲)現(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門蠕蟲惡意軟件間諜軟件現(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門木馬蠕蟲惡意軟件間諜軟件 (有惡意行為) 間諜軟件(無惡意行為) 灰色軟件（正邪難辨） (往往是用戶不需要的程序)間諜軟

4、件： 此類軟件會(huì)監(jiān)測(cè)用戶的使用習(xí)慣和個(gè)人信息，并且會(huì)將這些信息在未經(jīng)用戶的認(rèn)知和許可下發(fā)送給第三方。包括鍵盤紀(jì)錄，事件日志，cookies，屏幕信息等，或者是上面所列的信息的組合。對(duì)系統(tǒng)的影響表現(xiàn)為系統(tǒng)運(yùn)行速度下降，系統(tǒng)變得不穩(wěn)定，甚至當(dāng)機(jī)?，F(xiàn)代計(jì)算機(jī)病毒的分類病毒特洛伊木馬后門蠕蟲惡意軟件間諜軟件惡意的間諜軟件灰色軟件(無惡意的間諜軟件)來源病毒制造者，黑客一些合法的軟件開發(fā)程序員是否被視為惡意程序？肯定是不確定，依賴于用戶的看法檢測(cè)此類程序是否會(huì)帶來法務(wù)上的問題？否是 Pattern 文件格式LPT$VPN.xxxTMAPTN.PTN檢測(cè)與否默認(rèn)開啟默認(rèn)關(guān)閉，用戶必須手動(dòng)開啟惡意程序灰色地

5、帶間諜軟件不同種類的間諜軟件惡意的間諜軟件灰色軟件(無惡意的間諜軟件)來源病毒制造者，黑當(dāng)前病毒流行趨勢(shì) 范圍：全球性爆發(fā)逐漸轉(zhuǎn)變?yōu)榈赜蛐员l(fā) 如WORM_MOFEI.B等病毒逐漸減少 TSPY_QQPASS, TSPY_WOW, PE_LOOKED等病毒逐漸增加 速度：越來接近零日攻擊(Zero-Day Attack) 如WORM_ZOTOB,WORM_DOWNAD(飛客),歐洛拉（google）等 方式：病毒、蠕蟲、木馬、間諜軟件聯(lián)合 如PE_LOOKED病毒感染的同時(shí)也會(huì)從網(wǎng)絡(luò)下載感染TSPY_LINAGE病毒當(dāng)前病毒流行趨勢(shì) 范圍：全球性爆發(fā)逐漸轉(zhuǎn)變?yōu)榈赜蛐员?常見病毒類型說明及行為分

6、析計(jì)算機(jī)防病毒技術(shù)培訓(xùn)(69張)課件木馬病毒： TROJ_XXXX.XX后門程序： BKDR_XXXX.XX蠕蟲病毒： WORM_XXXX.XX間諜軟件： TSPY_XXXX.XX廣告軟件： ADW_XXXX.XX文件型病毒： PE_XXXX.XX引導(dǎo)區(qū)病毒：目前世界上僅存的一種引導(dǎo)區(qū)病毒 POLYBOOT-B加殼軟件：PACKER_XXXX.XX趨勢(shì)科技對(duì)惡意程序的分類木馬病毒： TROJ_XXXX.XX趨勢(shì)科技對(duì)惡意程病毒感染系統(tǒng)時(shí)，感染的過程大致可以分為：通過某種途徑傳播，進(jìn)入目標(biāo)系統(tǒng)自我復(fù)制,并通過修改系統(tǒng)設(shè)置實(shí)現(xiàn)隨系統(tǒng)自啟動(dòng)激活病毒負(fù)載的預(yù)定功能如： 打開后門等待連接 發(fā)起DDOS攻

7、擊 進(jìn)行鍵盤記錄 病毒感染的一般方式病毒感染系統(tǒng)時(shí)，感染的過程大致可以分為：病毒感染的一般方式 除引導(dǎo)區(qū)病毒外，所有其他類型的病毒，無一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能實(shí)現(xiàn)感染系統(tǒng)的目的。對(duì)于不同類型的病毒，它們傳播、感染系統(tǒng)的方法也有所不同。常見病毒傳播途徑 除引導(dǎo)區(qū)病毒外，所有其他類型的病毒，無一例常見病毒傳播途徑傳播方式主要有： 電子郵件 網(wǎng)絡(luò)共享 P2P 共享 系統(tǒng)漏洞 移動(dòng)磁盤傳播IE 零日攻擊Adobe漏洞Windows操作系統(tǒng)漏洞U盤病毒常見病毒傳播途徑傳播方式主要有：IE 零日攻擊U盤病毒常見病毒傳播途徑 電子郵件HTML正文可能被嵌入惡意腳本，郵件附件攜帶病毒壓縮文件利用

8、社會(huì)工程學(xué)進(jìn)行偽裝，增大病毒傳播機(jī)會(huì)快捷傳播特性例：WORM_MYTOB，WORM_STRATION等病毒常見病毒傳播途徑 常見病毒傳播途徑 網(wǎng)絡(luò)共享 病毒會(huì)搜索本地網(wǎng)絡(luò)中存在的共享，包括默認(rèn)共享 如ADMIN$ ,IPC$,E$ ,D$,C$ 通過空口令或弱口令猜測(cè)，獲得完全訪問權(quán)限 病毒自帶口令猜測(cè)列表將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中 通常以游戲,CDKEY等相關(guān)名字命名例：WORM_SDBOT 等病毒常見病毒傳播途徑 常見病毒傳播途徑 P2P共享軟件將自身復(fù)制到P2P共享文件夾 通常以游戲,CDKEY等相關(guān)名字命名通過P2P軟件共享給網(wǎng)絡(luò)用戶利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶下載例：WORM_

9、PEERCOPY.A等病毒常見病毒傳播途徑 常見病毒傳播途徑 系統(tǒng)漏洞由于操作系統(tǒng)固有的一些設(shè)計(jì)缺陷,導(dǎo)致被惡意用戶通過畸形的方式利用后,可執(zhí)行任意代碼,這就是系統(tǒng)漏洞. 病毒往往利用系統(tǒng)漏洞進(jìn)入系統(tǒng), 達(dá)到傳播的目的。常被利用的漏洞RPC-DCOM 緩沖區(qū)溢出 (MS03-026)Web DAV (MS03-007)LSASS (MS04-011) (Local Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒常見病毒傳播途徑 系統(tǒng)漏洞常見病毒傳播途徑 案例SQL Slammer攻擊網(wǎng)絡(luò)上任意IP的1434端口

10、，實(shí)現(xiàn)DDOS攻擊造成大量網(wǎng)絡(luò)流量，阻塞網(wǎng)絡(luò)2005年3月，國(guó)內(nèi)某銀行一臺(tái)服務(wù)器感染該病毒，導(dǎo)致核心交換機(jī)負(fù)載達(dá)到99%，引起網(wǎng)絡(luò)癱瘓從ServerProtect日志中確認(rèn)為SQL Slammer病毒SQL服務(wù)器未安裝補(bǔ)丁安裝SQL Server 2000 SP3，并再次使用ServerProtect查殺病毒，問題解決。常見病毒傳播途徑 案例Google被黑事件“極光行動(dòng) Operation Aurora” 或“歐若拉行動(dòng)”攻擊使用的是以前所有版本的IE中都未發(fā)現(xiàn)的漏洞，除了5.01 (CVE-2010-0249). 在最近的安全咨詢中，微軟承認(rèn)此漏洞被利用來攻擊谷歌和其他機(jī)構(gòu)，并且推薦了一些

11、變通解決方案來減少此漏洞帶來的影響。Google被黑事件“極光行動(dòng) Operation Auro百度“被黑”事件不法分子并沒有攻擊百度的服務(wù)器，而是選取美國(guó)域名注冊(cè)商為攻擊對(duì)象，非法篡改。在此次攻擊事件當(dāng)中，黑客實(shí)際上是繞開了百度本身的安全保護(hù)，而攻擊了DNS管理服務(wù)器百度“被黑”事件不法分子并沒有攻擊百度的服務(wù)器，而是選取美國(guó)常見病毒傳播途徑移動(dòng)存儲(chǔ)設(shè)備利用自動(dòng)播放、自動(dòng)執(zhí)行功能進(jìn)行傳播。和使用者操作習(xí)慣相關(guān)。多通過U盤等移動(dòng)存儲(chǔ)設(shè)備傳播，故又被稱為“U盤病毒”例子，PE_PAGIPEF等病毒常見病毒傳播途徑移動(dòng)存儲(chǔ)設(shè)備常見病毒傳播途徑其他常見病毒感染途徑： 網(wǎng)頁感染 與正常軟件捆綁 用戶直

12、接運(yùn)行病毒程序 由其他惡意程序釋放 目前大多數(shù)的木馬、間諜軟件等病毒都是通過這幾種方式進(jìn)入系統(tǒng)。它們通常都不具備傳播性。常見病毒傳播途徑其他常見病毒感染途徑： 廣告軟件/灰色軟件 由于廣告軟件/灰色軟件的定義，它們有時(shí)候是由用戶主動(dòng)安裝，更多的是與其他正常軟件進(jìn)行綁定。常見病毒傳播途徑 廣告軟件/灰色軟件常見病毒傳播途徑及時(shí)更新系統(tǒng)和應(yīng)用軟件補(bǔ)丁，修補(bǔ)漏洞強(qiáng)化密碼設(shè)置的安全策略，增加密碼強(qiáng)度加強(qiáng)網(wǎng)絡(luò)共享的管理增強(qiáng)員工的病毒防范意識(shí)防止病毒入侵及時(shí)更新系統(tǒng)和應(yīng)用軟件補(bǔ)丁，修補(bǔ)漏洞防止病毒入侵 自啟動(dòng)特性 除引導(dǎo)區(qū)病毒外，絕大多數(shù)病毒感染系統(tǒng)后，都具有自啟動(dòng)特性。 病毒在系統(tǒng)中的行為是基于病毒在系

13、統(tǒng)中運(yùn)行的基礎(chǔ)上的，這就決定了病毒必然要通過對(duì)系統(tǒng)的修改，實(shí)現(xiàn)開機(jī)后自動(dòng)加載的功能。病毒自啟動(dòng)方式修改注冊(cè)表將自身添加為服務(wù)將自身添加到啟動(dòng)文件夾修改系統(tǒng)配置文件加載方式服務(wù)和進(jìn)程病毒程序直接運(yùn)行嵌入系統(tǒng)正常進(jìn)程DLL文件和OCX文件等驅(qū)動(dòng)SYS文件 自啟動(dòng)特性病毒自啟動(dòng)方式修改注冊(cè)表加載方式 修改注冊(cè)表注冊(cè)表啟動(dòng)項(xiàng)文件關(guān)聯(lián)項(xiàng)系統(tǒng)服務(wù)項(xiàng)BHO項(xiàng)其他病毒自啟動(dòng)方式 修改注冊(cè)表病毒自啟動(dòng)方式注冊(cè)表啟動(dòng)HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices RunServicesOnce Run RunOnceHK

14、EY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下： Run RunOnce（當(dāng)次運(yùn)行時(shí)出現(xiàn)） RunServices以上這些鍵一般用于在系統(tǒng)啟動(dòng)時(shí)執(zhí)行特定程序病毒自啟動(dòng)方式注冊(cè)表啟動(dòng)病毒自啟動(dòng)方式文件關(guān)聯(lián)項(xiàng)HKEY_CLASSES_ROOT下：exefileshellopencommand =%1 %*comfileshellopencommand =%1 %*batfileshellopencommand =%1 %*htafileShellOpenCommand =%1 %*piffileshellopencommand =%1

15、%*“病毒將%1 %*改為 “virus.exe %1 %*virus.exe將在打開或運(yùn)行相應(yīng)類型的文件時(shí)被執(zhí)行病毒自啟動(dòng)方式文件關(guān)聯(lián)項(xiàng)病毒自啟動(dòng)方式 修改配置文件%windows% wininit.ini中Rename節(jié) NUL=c:windowsvirus.exe 將c:windowsvirus.exe設(shè)置為NUL,表示讓windows在將virus.exe 運(yùn)行后刪除.Win.ini中的windows節(jié) load = virus.exe run = virus.exe 這兩個(gè)變量用于自動(dòng)啟動(dòng)程序。System.ini 中的boot節(jié) Shell = Explorer.exe,virus

16、.exe Shell變量指出了要在系統(tǒng)啟動(dòng)時(shí)執(zhí)行的程序列表。病毒自啟動(dòng)方式 修改配置文件病毒自啟動(dòng)方式病毒常修改的Bat文件%windows%winstart.bat 該文件在每次系統(tǒng)啟動(dòng)時(shí)執(zhí)行，只要在該文件中寫入欲執(zhí)行的程序，該程序即可在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行。Autoexec.bat 在DOS下每次自啟動(dòng)病毒自啟動(dòng)方式病毒常修改的Bat文件病毒自啟動(dòng)方式 修改啟動(dòng)文件夾(比較少，如磁碟機(jī))當(dāng)前用戶的啟動(dòng)文件夾 可以通過如下注冊(cè)表鍵獲得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 項(xiàng)公共的啟動(dòng)文件夾

17、 可以通過如下注冊(cè)表鍵獲得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 項(xiàng)病毒可以在該文件夾中放入欲執(zhí)行的程序，或直接修改其值指向放置有要執(zhí)行程序的路徑。病毒自啟動(dòng)方式 修改啟動(dòng)文件夾(比較少，如磁碟機(jī))病毒自啟動(dòng)方式 病毒感染系統(tǒng)后，無疑會(huì)對(duì)系統(tǒng)做出各種修改和破壞。有時(shí)病毒會(huì)使受感染的系統(tǒng)出現(xiàn)自動(dòng)彈出網(wǎng)頁、占用高CPU資源、自動(dòng)彈出/關(guān)閉窗口、自動(dòng)終止某些進(jìn)程等各種不正?，F(xiàn)象。 常見病毒行為無論病毒在系統(tǒng)表現(xiàn)形式如何我們需要關(guān)注的是病毒的隱性行為！ 病毒感染系統(tǒng)后，無疑會(huì)對(duì)系統(tǒng)做出

18、各種修 下載特性 很多木馬、后門程序間諜軟件會(huì)自動(dòng)連接到Internet某Web站點(diǎn)，下載其他的病毒文件或該病毒自身的更新版本/其他變種。后門特性 后門程序及很多木馬、蠕蟲和間諜軟件會(huì)在受感染的系統(tǒng)中開啟并偵聽某個(gè)端口，允許遠(yuǎn)程惡意用戶來對(duì)該系統(tǒng)進(jìn)行遠(yuǎn)程操控。有時(shí)候病毒還會(huì)自動(dòng)連接到某IRC站點(diǎn)某頻道中，使得該頻道中特定的惡意用戶遠(yuǎn)程訪問受感染的計(jì)算機(jī)。下載與后門特性-Downloader & Backdoor 下載特性下載與后門特性-Downloader & Back 信息收集特性 大多數(shù)間諜軟件和一些木馬都會(huì)收集系統(tǒng)中用戶的私人信息，特別各種帳號(hào)和密碼。收集到的信息通常都會(huì)被病毒通過自帶的

19、SMTP引擎發(fā)送到指定的某個(gè)指定的郵箱。信息收集特性-StealerQQ密碼和聊天記錄網(wǎng)絡(luò)游戲帳號(hào)密碼網(wǎng)上銀行帳號(hào)密碼用戶網(wǎng)頁瀏覽記錄和上網(wǎng)習(xí)慣 信息收集特性信息收集特性-StealerQQ密碼和聊天記錄自身隱藏特性 多數(shù)病毒會(huì)將自身文件設(shè)置為“隱藏”、“系統(tǒng)”和“只讀”屬性，更有一些病毒會(huì)通過修改注冊(cè)表來實(shí)現(xiàn)對(duì)系統(tǒng)的文件夾訪問權(quán)限、顯示權(quán)限等進(jìn)行修改，以使其更加隱蔽不易被發(fā)現(xiàn)。自身隱藏特性-Hide & Rootkit 有一些病毒會(huì)使用Rootkit技術(shù)來隱藏自身的進(jìn)程和文件，使得用戶更難以發(fā)現(xiàn)。 使用Rootkit技術(shù)的病毒，通常都會(huì)有一個(gè).SYS文件加載在系統(tǒng)的驅(qū)動(dòng)中，用以實(shí)現(xiàn)Rootk

20、it技術(shù)的隱藏功能。自身隱藏特性自身隱藏特性-Hide & Rootkit 文件感染特性 文件型病毒的一個(gè)特性是感染系統(tǒng)中部分/所有的可執(zhí)行文件。病毒會(huì)將惡意代碼插入到系統(tǒng)中正常的可執(zhí)行文件中，使得系統(tǒng)正常文件被破壞而無法運(yùn)行，或使系統(tǒng)正常文件感染病毒而成為病毒體。 有的文件型病毒會(huì)感染系統(tǒng)中其他類型的文件。文件感染特性-Infector典型-PE_LOOKED 維京PE_FUJACKS 熊貓燒香文件感染特性文件感染特性-Infector典型-網(wǎng)絡(luò)攻擊 一些蠕蟲病毒會(huì)針對(duì)微軟操作系統(tǒng)或其他程序存在的漏洞進(jìn)行攻擊，從而導(dǎo)致受攻擊的計(jì)算機(jī)出現(xiàn)各種異?，F(xiàn)象，或是通過漏洞在受攻擊的計(jì)算機(jī)上遠(yuǎn)程執(zhí)行惡意

21、代碼。 一些木馬和蠕蟲病毒會(huì)修改計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置，使該計(jì)算機(jī)無法訪問網(wǎng)絡(luò)。有的木馬和蠕蟲還會(huì)向網(wǎng)絡(luò)中其他計(jì)算機(jī)攻擊、發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò)，甚至通過散步虛假網(wǎng)關(guān)地址的廣播包來欺騙網(wǎng)絡(luò)中其他計(jì)算機(jī)，從而使得整個(gè)網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)攻擊特性-Attacker振蕩波利用MS04-011漏洞攻擊 ARP攻擊網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊特性-Attacker振蕩波利用MS04-網(wǎng)絡(luò)攻擊特性-Attacker 案例ARP 攻擊/欺騙利用ARP協(xié)議自身的高信任特性，欺騙用戶端ARP緩存表中的記錄客戶端連接到虛假網(wǎng)關(guān)地址，無法上網(wǎng)，引起局域網(wǎng)癱瘓2006年8月，某公司多臺(tái)計(jì)算機(jī)感染具有ARP欺騙特性的病毒，引起辦公、開發(fā)的部

22、分網(wǎng)段頻繁出現(xiàn)網(wǎng)絡(luò)時(shí)通時(shí)斷現(xiàn)象這部分客戶機(jī)長(zhǎng)期無人維護(hù)補(bǔ)丁缺失，無防毒軟件安裝多種惡意軟件網(wǎng)絡(luò)攻擊特性-Attacker 案例病毒處理技術(shù)計(jì)算機(jī)防病毒技術(shù)培訓(xùn)(69張)課件疑似病毒現(xiàn)象經(jīng)常出現(xiàn)系統(tǒng)錯(cuò)誤或系統(tǒng)崩潰系統(tǒng)反應(yīng)變慢，網(wǎng)絡(luò)擁塞陌生進(jìn)程或服務(wù)可疑的打開端口可疑的自啟動(dòng)程序病毒郵件疑似病毒現(xiàn)象經(jīng)常出現(xiàn)系統(tǒng)錯(cuò)誤或系統(tǒng)崩潰進(jìn)行系統(tǒng)診斷趨勢(shì)科技提供SIC 工具 (system information collector) 進(jìn)行系統(tǒng)的診斷，并收集系統(tǒng)信息，包括網(wǎng)絡(luò)共享網(wǎng)絡(luò)連接注冊(cè)表自啟動(dòng)項(xiàng)已注冊(cè)的系統(tǒng)服務(wù)當(dāng)前進(jìn)行列表引導(dǎo)區(qū)信息等其他工具：HijackThis，SREng進(jìn)行系統(tǒng)診斷趨勢(shì)科技提供SIC

23、 工具病毒清除方法標(biāo)識(shí)病毒文件和進(jìn)程中止病毒進(jìn)程或服務(wù)使用windows自帶的任務(wù)管理器使用第三方的進(jìn)程管理工具， 如process explorer或是pstools。病毒清除方法標(biāo)識(shí)病毒文件和進(jìn)程病毒清除方法恢復(fù)注冊(cè)表的設(shè)定根據(jù)病毒修改的具體情況，刪除或還原相應(yīng)的注冊(cè)表項(xiàng)。 您可以從趨勢(shì)科技網(wǎng)站的以下鏈接中查找病毒相關(guān)的信息： /vinfo/virusencyclo/default.asp工具：注冊(cè)表編輯器 regedit.exe 您可以用以下命令運(yùn)行: command /c copy %WinDir%regedit.exe | 提示：如果您不確信找到的鍵值是不是屬于該病毒的，您可以寫信給

24、趨勢(shì)科技的技術(shù)人員尋求進(jìn)一步的信息。病毒清除方法恢復(fù)注冊(cè)表的設(shè)定病毒清除方法恢復(fù)系統(tǒng)配置文件的設(shè)定檢查 Win.ini 配置文件的 windows 節(jié)中的項(xiàng)：如: windows load= virus.exe run = virus.exe檢查 System.ini 配置文件的 boot 節(jié)中的項(xiàng)：如: boot Shell=Explorer.exe virus.exe刪除病毒相關(guān)的部分.病毒清除方法恢復(fù)系統(tǒng)配置文件的設(shè)定常用工具介紹工具：SIC，HijackThis 系統(tǒng)診斷Process Explorer 分析進(jìn)程TCPView 分析網(wǎng)絡(luò)連接Regmon,InstallRite 監(jiān)視注冊(cè)

25、表Filemon,InstallRite 監(jiān)視文件系統(tǒng)WinPE常用工具介紹工具：InstallRite InstallRite功能:跟蹤文件系統(tǒng)的變化跟蹤注冊(cè)表的變換注:若惡意程序帶有RootKit功能, 請(qǐng)重啟后進(jìn)入安全模式再分析系統(tǒng)變化(如灰鴿子某些變種)局限性: 解決方法無法跟蹤進(jìn)程樹的變化 Process Explorer無法跟蹤網(wǎng)絡(luò)連接和端口情況 TCP ViewerInstallRite InstallRite功能:InstallRite 演示InstallRite 演示InstallRite 演示InstallRite 演示Process Explorer Process Ex

26、plorer 功能:用來查看系統(tǒng)中正在運(yùn)行的進(jìn)程列表可以查看有些隱藏的進(jìn)程可以查看某個(gè)進(jìn)程的具體信息可以搜索引用某個(gè)dll文件的所有進(jìn)程動(dòng)態(tài)刷新列表Process Explorer Process ExploProcess Explorer 演示Process Explorer 演示TCP ViewTCP View 功能:查看系統(tǒng)的網(wǎng)絡(luò)連接信息(遠(yuǎn)程地址,協(xié)議,端口號(hào))查看系統(tǒng)的網(wǎng)絡(luò)連接狀況(發(fā)起連接,已連接,已斷開)查看進(jìn)程打開的端口動(dòng)態(tài)刷新列表多用于查看 蠕蟲,后門,間諜等惡意程序TCP ViewTCP View 功能:TCP View 演示TCP View 演示RegmonRegmon主

27、要功能:監(jiān)視系統(tǒng)中注冊(cè)表的操作: 如 注冊(cè)表的打開,寫入,讀取,查詢,刪除,編輯等多用于監(jiān)視病毒的自啟動(dòng)信息和方式.55RegmonRegmon主要功能:573.4.4 Regmon 演示3.4.4 Regmon 演示FilemonFilemon主要功能:監(jiān)視文件系統(tǒng)的操作: 如 建立文件,打開文件,寫文件, 讀文件,查詢文件信息等多用于查找Dropper的主體程序.FilemonFilemon主要功能:Filemon 演示Filemon 演示W(wǎng)inPE微軟在2002年7月22日推出了Windows PreInstallation Environment（簡(jiǎn)稱WinPE）按微軟官方對(duì)它的定義是

28、： “Windows預(yù)安裝環(huán)境（WinPE）是帶有限服務(wù)的最小Win32子系統(tǒng)，基于以保護(hù)模式運(yùn)行的Windows XP Professional內(nèi)核。 WinPE微軟在2002年7月22日推出了Windows PWinPEWinPE可用于清除有些頑固的PE病毒(文件感染型)有時(shí)在 Windows環(huán)境下, 用殺毒軟件無法徹底清除文件感染型病毒或關(guān)鍵系統(tǒng)文件已被病毒損壞或替換.WinPE啟動(dòng)后為干凈的系統(tǒng)(無毒)WinPE集成了很多常用的工具WinPEWinPE可用于清除有些頑固的PE病毒(文件感染型典型病毒案例分析計(jì)算機(jī)防病毒技術(shù)培訓(xùn)(69張)課件案例：灰鴿子 BKDR_HUPIGON灰鴿子的

29、自行安裝在無意中執(zhí)行了灰鴿子后門程序后, 會(huì)在windows目錄中釋放4個(gè)文件：G_SERVER.DLL G_SERVER.EXE 【copy of itself】 G_SERVER_HOOK.DLL G_SERVERKEY.DLL 使用了rootkit技術(shù)隱藏以上文件， 導(dǎo)致用戶手工查看時(shí)不可見。案例：灰鴿子 BKDR_HUPIGON灰鴿子的自行安裝案例：灰鴿子 BKDR_HUPIGON灰鴿子的自啟動(dòng)：注冊(cè)為服務(wù)通過將自身注冊(cè)成服務(wù)，并添加以下注冊(cè)表服務(wù)項(xiàng)，常駐內(nèi)存 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesGrayPigeonServ

30、er執(zhí)行后門功能： 打開一個(gè)隨機(jī)的端口，允許遠(yuǎn)程用戶連接受感染系統(tǒng)。 一旦連接成功，它將在本地執(zhí)行以下命令Create registry entries Startkill services Startkill processes Create files in any folder chosen by the remote user Create threads Get disk status Download files from the Internet to the affected system Log keystrokes Inject processes 案例：灰鴿子 BKDR_

31、HUPIGON灰鴿子的自啟動(dòng)：注冊(cè)為案例：灰鴿子 BKDR_HUPIGON清除灰鴿子 BKDR_HUPIGON 以windows XP 為例，步驟如下 ： 關(guān)閉XP系統(tǒng)還原；重啟進(jìn)入安全模式，由于正常模式下文件不可見； 打開文件夾的顯示隱藏文件、系統(tǒng)文件功能；找到并刪除windows目錄下灰鴿子的4個(gè)文件；打開regedit，刪除HKEY_LOCAL_MACHINESystemCurrentControlSetServices 下的 GrayPigeonServer項(xiàng) ；清除完成。案例：灰鴿子 BKDR_HUPIGON清除灰鴿子 BKDR_案例：灰鴿子 BKDR_HUPIGON演示:灰鴿子 B

32、KDR_HUPIGON案例：灰鴿子 BKDR_HUPIGON演示:附錄反病毒處理流程附錄反病毒處理流程Trend Micro Confidential 3/3/201967Trend Micro Confidential 3/3/Q & A?Thank you!Q & A?Thank you!謝謝！Trend Micro Confidential 3/3/201969謝謝！Trend Micro Confidential 31、想要體面生活，又覺得打拼辛苦；想要健康身體，又無法堅(jiān)持運(yùn)動(dòng)。人最失敗的，莫過于對(duì)自己不負(fù)責(zé)任，連答應(yīng)自己的事都辦不到，又何必抱怨這個(gè)世界都和你作對(duì)？人生的道理很簡(jiǎn)單，你

33、想要什么，就去付出足夠的努力。2、時(shí)間是最公平的，活一天就擁有24小時(shí)，差別只是珍惜。你若不相信努力和時(shí)光，時(shí)光一定第一個(gè)辜負(fù)你。有夢(mèng)想就立刻行動(dòng)，因?yàn)楝F(xiàn)在過的每一天，都是余生中最年輕的一天。3、無論正在經(jīng)歷什么，都請(qǐng)不要輕言放棄，因?yàn)閺膩頉]有一種堅(jiān)持會(huì)被辜負(fù)。誰的人生不是荊棘前行，生活從來不會(huì)一蹴而就，也不會(huì)永遠(yuǎn)安穩(wěn)，只要努力，就能做獨(dú)一無二平凡可貴的自己。4、努力本就是年輕人應(yīng)有的狀態(tài)，是件充實(shí)且美好的事，可一旦有了表演的成分，就會(huì)顯得廉價(jià)，努力，不該是為了朋友圈多獲得幾個(gè)贊，不該是每次長(zhǎng)篇贅述后的自我感動(dòng)，它是一件平凡而自然而然的事，最佳的努力不過是：但行好事，莫問前程。愿努力，成就更好的你！5、付出努力卻沒能實(shí)現(xiàn)的夢(mèng)想，愛了很久卻沒能在一起的人，活得用力卻平淡寂寞的青春，遺憾是每一次小的挫折，它磨去最初柔軟的心智、讓我們懂得累積時(shí)間的力量；那些孤獨(dú)沉寂的時(shí)光，讓我們學(xué)會(huì)守候內(nèi)心的平和與堅(jiān)定。那些脆弱的不完美，都會(huì)在努力和堅(jiān)持下，改變模樣。6、人生中總會(huì)有一段艱難的路，需要自己獨(dú)自走完，沒人幫助，沒人陪伴，不必畏懼，昂頭走過去就是了，經(jīng)歷所有的挫折與磨難，你會(huì)發(fā)現(xiàn)，自己遠(yuǎn)比想象中要強(qiáng)大得多。多