恶意代码清除与防范
主讲人:任亮
恶意代码清除与防范
恶意代码的清除
恶意代码的防御
恶意代码清除
特洛伊木马的清除计算机病毒的清除蠕虫的防治策略
中木马后常出现的状况
•
当浏览一个网站时,弹出来一些广告窗口是很正常的事情,可是如果用户根本没有打开浏览器,而浏器突然自己打开,并且进入某个网站,那么,就要怀疑是否中了木马。
•正在操作计算机,突然一个警告框或者询问框弹出来,问一些用户从来没有在计算机上接触的问题。
•Windows系统配置经常被莫名其妙地自动更新。比如屏保显示的文字、时间和日期,声音大小,鼠标灵敏度,还有CD-ROM 的自动运行配置。
•计算机以外地打开了某个端口,用嗅探器发现存在异常的网络数据传输。
木马的清除与预防
查看端口
断开网络连接
查找并停止木马进程、线程清除木马启动项及木马文件
木马的清除
查看异常端口
大多数操作系统,当然包括Windows ,都带有检测网络状态的Netstat 工具,它能够显示能
本地计算机上所有活动的端口的监听(包括UDP 和TCP )。打开个命令行窗打开一个命令行窗口,执行执行“Netstat -a”命令就可以显示出本地计算机上所有打开的IP 端口注意是否存在意外打开端口,注意是否存在意外打开的端口。
查看异常端口
Windows XP的Netstat 工具提供了一个-o 选项,能够显示出正在使用的端口的程序或进程标示符(PID )。有了PID ,用进程管理器就可以方便的根据PID 找到对应的程序。找到对应的程序
木马的清除
z
观察目录
观察目录:应当经常观察位于c:\、c:\windows、c:\windows\sys sys-tem32tem32这三个目录下的文件。用“记事本”逐一打开c:\下的非执行类文件(除exe 、bat 、com 以外的文件件), 查看是否发现特洛伊木马、击键程序的记录文件, 在c:\windows或c:\windows\system32下如果有光有文件名没有图标的可执行程序, 应该把它们删除, 然后再用杀毒软件进行认真的清理。
z查看是否有陌生进程开始\运行\msinfo32或开始\程序\附件\系统工具\系统信息\软件环境\正在运行的任务
木马的清除
z
在任务管理器中先停止可疑进程
z检查文件关联
检查文件关联
壹
检查HKEY_CLASSES_ROOT\exefile\shell\open\command 项是否有exe 文件关联型木马程序, 正确的键值应该是::"%1"%1 %%*。
贰
检查HKEY _CLASSES _ROOT\inffile\shell\open\command 项是否有inf 文件关联型木马程序, 正确的键值应该是:
%SystemRoot%\system32\NOTEPAD.EXEy y
%1(%SystemRoot% 是系统目录)
检查文件关联
检查HKEY_CLASSES_ROOT\inifile\shell\open\command 项是否有ini 文件关联型木马程序, 正确的键值应该是:
%SystemRoot%\system32\NOTEPAD.EXE%1
叁
肆
检查HKEY_CLASSES_ROOT\txtfile\shell\open\command 项是否有txt 文件关联型木马程序, 正确的键值应该是:
%St R t%\t 32\NOTEPADEXE%1%SystemRoot%\system32\NOTEPAD.EXE%1
检查文件关联
检查
HKEY_LOCAL_MACHINE\Software\Microsoft\W
indows\CurrentVersion\Run项是否设置了木马的
自启动。自启伍
计算机病毒的清除1、未被激活的非系统文件内的病毒
这
种病毒的查杀很简单,只需要在一般的Windows
环境下就可查杀,一般都能将其全部杀灭。
2、已经被激活或发作的非系统文件内的病毒
如果在一般Windows 环境下杀毒,效果可能会大打折扣。虽然,现在的反会
病毒软件都能查杀内存病毒,但是此技术毕竟还未成熟,不一定能杀灭病毒。因此,杀此类病毒应在Windows 安全模式下进行。在Windows 安全模式下,这些病毒都不会在启动时被激活。因此,我们就能放心的杀毒了。
计算机病毒的清除3
、系统文件内病毒
这类病毒比较难缠,所以在操作前请先备份。杀此类病毒一定要
在干净的DOS 环境下进行。有时候还要反复查杀才能彻底清除。
4、感染杀毒厂家有提供专用杀毒工具的病
杀灭此类病毒比较好办,只需下载免费的专用杀毒工具就行了。杀灭此类病毒比较好办只需下载免费的专用杀毒工具就行了专用杀毒工具杀毒精确性相对较高,因此我推荐在条件许可的情况下使用专用杀毒工具。
蠕虫的防治策略尽早地发现蠕虫并对感染了蠕虫的主机进行
隔离和恢复,是防治蠕虫泛滥、避免造成重大损失的关键。的关键
计算机蠕虫防治的方案可以从两个角度来考虑:一是从它的实体结构来考虑,如果破坏了它的实体组织的一部分,则破坏了其完整性,使其不能正常工作,从而达到阻止其传播的目的;二是从它的功能组成来考虑,如果使其某个功能组成部分不能正常工作,也同样能达到阻止其传播得目的。
蠕虫的防治策略
修补系统漏洞
主要是由系统服务提供商
负责,及时提供系统漏洞
补丁程序,用户及时安装
补丁。分析蠕虫行为通过分析特定蠕虫的行为,给出有针对性的防护措施。重命名或删除命令解释器如UNIX 系统下的shell 、Windows 系统下的WScript.exe 。重命名或删除命令解释器,可以避免
执行蠕虫实体中的脚本。
蠕虫的防治策略
防火墙
禁止除服务器端口之外的
其他端口,这将切断蠕虫
的传输通道和通信通道。公告通过邮件列表等公告措施,加快、协调技术人员之间的信息交流和对蠕虫攻击
的对抗工作。更深入的研究只有对蠕虫特性进行更深入的研究,才能有效地减少蠕虫带来的危害和损失。
蠕虫的防治策略由于蠕虫的主动攻击特性,最终用户在蠕虫的防
治上基本无能为力,所以系统厂商、防病毒产品厂商和网络管理员应该起到更重要的作用。
恶意代码的防御
基于主机的恶意代码防御技术
基于网络的恶意代码防御技术
基于良性蠕虫的恶意代码防御技术
恶意代码防御方法比较
基于主机的恶意代码防御技术
误用检测技术
误用检测也称基于特征字的检测。它是目前检测清除恶意代码计算机程序恶意代码检测或文件或数据
恶意代码特征库
基于主机的恶意代码防御技术
权限控制技术
如果恶意代码要窃取其它文件信息,它也必须具有对该文件的读权限。也就是说,恶意代码要进行任何操作都必须具备相应的权限。因此,通过恰当控制计算机系统中程序的权限,使其仅仅具有完成正常任务的最小权限,那么即使该程序中包含恶意代码,该恶意代码也不能或者不能完全实现其恶意目的,即达到了控制恶意代码的目的。通过权限控制来防御恶意代码的技术比较典型的有:沙箱技术和安全操作系
统。
基于主机的恶意代码防御技术
沙箱技术
沙箱技术是指系统根据每个应用程序可以访问的资源,以及系统授权给该应用程序的权限建立一个属于该应用程序的“沙箱”。每个应用程序都运行在自己受保护的“沙箱”之中,不能影响其它程序的运行,也不能影响操作系统的正常运行并且操作系统和驱动程序也运行在自己的“沙箱”操作系统的正常运行。并且,操作系统和驱动程序也运行在自己的沙箱中。
安全操作系统
安全操作系统具有一套强制存取控制机制,它将计算机系统划分为三个空安全操作系统具有一套强制存取控制机制它将计算机系统划分为三个空间:系统管理空间、用户空间和保护空间;它将进入系的用户划分为两类:不具有特权的普通用户和系统管理员。系统管理空间不能被普通用户读写。用户空间包含用户的应用程序和数据,可以被用户读写。
基于主机的恶意代码防御技术
完整性技术
恶意代码感染、破坏其它目标系统的过程,也是破坏这些目标完整性的过程。从另一个方面说,保护了系统资源、特别是系统重要资源的完整性不受破坏,也就保护了这些资源不受恶意代码的感染和破坏。这是采用完整性技术防御恶意代的主要思路意代码的主要思路”。
校验和技术和Windows 的代码签名验证是完整型技术比较典型的应用。
基于网络的恶意代码防御技术的
代
防御技术
介绍
基于网络的恶意代码防范首先是恶意代码的检测,通过分析网络主机行为的和主机之间相互连接的数据,采用数据挖掘和异常检测技术对网络数据进行求精和关联分析以检测是否具有恶意代码行为:然后根据检测结果采取措施保护主机和络机和网络。
基于网络的恶意代码检测技术
异常检测
由于蠕虫恶意代码在传播时发送大量的网络扫描数据包,导致网络流量明显增加,并且其扫描数据包具有很强的规律性,通过异常检查可发现网络内主机可能感染恶意代码以及感染恶意代码的严重程序,然后采取控制措施,比如限制计算机发送数据包计算机断网算机发送数据包、计算机断网。
误用检测
误用检测也称基于特征的检测。
基于特征的检测首先要建立特征规则库,对一个数据包或数据流规则库,对个数据包或数据流的分析就是把陔数据与特征库中的特征码相比较。特征库中的特征码规则包括协议类型、端征码规则括协议类端u 号号、特征串、数据包长度等。基于网络的恶意代码检测中使用的特征串与基丁二卜机检测使用的特征串不同,一个特征码规则可以有多个特征串,特征码规则指定了每个特征串的相对偏移和间隔位置。
基于网络的恶意代码控制技术
网络隔离技术
采用网络隔离技术控制恶意代码,就是检测到计算机感染了恶意代码后立即把该计算机断代后即把计算机断网。这可以立即阻止该计算机继续传播恶意代码和对网络的破坏,工程实施起来也相对简单。但是,由于检测技术存在误报,从而导致错误地隔离了计算机。另外,采取隔离措施后,计算机不能上网,像下载算机能像补丁、杀毒软件升级等正常的防范措施也不能进行。
防火墙控制技术采用防火墙控制技术控制恶意代码,是指根据恶意代码传播的特点通过设置和修改防火的特点,通过设置和修改防火墙规则,禁止恶意代码的传播和扫描数据包通过,从而达到控制恶意代码的目的这种技控制恶意代码的目的。这种技术只限制恶意代码流量通过,而允许正常的网络流量通过,效果相对比较好。
介绍
当某类恶意代码利用漏洞对主机进行攻击时,所利用的系统漏洞是唯一的,或者说是有限的,若能在蠕虫爆发时采用类似蠕虫传播机制,抢先对漏洞进行修补,则可遏制蠕虫的传播,怎样实施主动传播机制从而有效防护网络主机,这就引出了基于良性蠕虫进行对抗的防御策略。良性蠕虫可以采取先利用漏洞或其它途径进入目标主机,然后对恶意代码进行查杀、修补漏洞等措施,最后进行自动扩散并退出目标主机。主机
恶意代码防御方法比较
防御技术防病毒软件
优点或长处
l 、技术比较成熟,可以推广;2、操作使月j 方便;
3、对传统病毒和已知恶意代码防御效果比较好码防御效果比较好。
缺点或不足
l 、对木马、蠕虫、脚本病毒、
朱知恶意代码防御效果筹:2、需要经常升级:
3、各种防毒软件性能参著不各种防毒软件性能参著不齐,难以选择.
4,可能影响计算机正常操作。1、不能防御计算机病毒;不能防御计算机病毒2、在全网实施成本较高:3、可能会影响网络性能:
4、对蠕虫只能控制传播不能清除。
l 、不能作为通爿j 技术:2,难以掌握,使用不便。1、难以实现。
防火墙技术权限控制技术完整性技术其他防御技术
l 、对蠕虫防御效果比较好,对对蠕虫防御效果比较好对木马也有一定效果;
2、技术比较成熟,容易实现。
1、对某些类璀的恶意代码比较有效:
2、在某些特定应用环境有效。l 、技术比较通用;
2、在某些特定应用环境比较有效。
可能在某些特定应用环境有效
1、不能通用;
2、工程实施难度大难以实现。
谢
谢!
恶意代码清除与防范
主讲人:任亮
恶意代码清除与防范
恶意代码的清除
恶意代码的防御
恶意代码清除
特洛伊木马的清除计算机病毒的清除蠕虫的防治策略
中木马后常出现的状况
•
当浏览一个网站时,弹出来一些广告窗口是很正常的事情,可是如果用户根本没有打开浏览器,而浏器突然自己打开,并且进入某个网站,那么,就要怀疑是否中了木马。
•正在操作计算机,突然一个警告框或者询问框弹出来,问一些用户从来没有在计算机上接触的问题。
•Windows系统配置经常被莫名其妙地自动更新。比如屏保显示的文字、时间和日期,声音大小,鼠标灵敏度,还有CD-ROM 的自动运行配置。
•计算机以外地打开了某个端口,用嗅探器发现存在异常的网络数据传输。
木马的清除与预防
查看端口
断开网络连接
查找并停止木马进程、线程清除木马启动项及木马文件
木马的清除
查看异常端口
大多数操作系统,当然包括Windows ,都带有检测网络状态的Netstat 工具,它能够显示能
本地计算机上所有活动的端口的监听(包括UDP 和TCP )。打开个命令行窗打开一个命令行窗口,执行执行“Netstat -a”命令就可以显示出本地计算机上所有打开的IP 端口注意是否存在意外打开端口,注意是否存在意外打开的端口。
查看异常端口
Windows XP的Netstat 工具提供了一个-o 选项,能够显示出正在使用的端口的程序或进程标示符(PID )。有了PID ,用进程管理器就可以方便的根据PID 找到对应的程序。找到对应的程序
木马的清除
z
观察目录
观察目录:应当经常观察位于c:\、c:\windows、c:\windows\sys sys-tem32tem32这三个目录下的文件。用“记事本”逐一打开c:\下的非执行类文件(除exe 、bat 、com 以外的文件件), 查看是否发现特洛伊木马、击键程序的记录文件, 在c:\windows或c:\windows\system32下如果有光有文件名没有图标的可执行程序, 应该把它们删除, 然后再用杀毒软件进行认真的清理。
z查看是否有陌生进程开始\运行\msinfo32或开始\程序\附件\系统工具\系统信息\软件环境\正在运行的任务
木马的清除
z
在任务管理器中先停止可疑进程
z检查文件关联
检查文件关联
壹
检查HKEY_CLASSES_ROOT\exefile\shell\open\command 项是否有exe 文件关联型木马程序, 正确的键值应该是::"%1"%1 %%*。
贰
检查HKEY _CLASSES _ROOT\inffile\shell\open\command 项是否有inf 文件关联型木马程序, 正确的键值应该是:
%SystemRoot%\system32\NOTEPAD.EXEy y
%1(%SystemRoot% 是系统目录)
检查文件关联
检查HKEY_CLASSES_ROOT\inifile\shell\open\command 项是否有ini 文件关联型木马程序, 正确的键值应该是:
%SystemRoot%\system32\NOTEPAD.EXE%1
叁
肆
检查HKEY_CLASSES_ROOT\txtfile\shell\open\command 项是否有txt 文件关联型木马程序, 正确的键值应该是:
%St R t%\t 32\NOTEPADEXE%1%SystemRoot%\system32\NOTEPAD.EXE%1
检查文件关联
检查
HKEY_LOCAL_MACHINE\Software\Microsoft\W
indows\CurrentVersion\Run项是否设置了木马的
自启动。自启伍
计算机病毒的清除1、未被激活的非系统文件内的病毒
这
种病毒的查杀很简单,只需要在一般的Windows
环境下就可查杀,一般都能将其全部杀灭。
2、已经被激活或发作的非系统文件内的病毒
如果在一般Windows 环境下杀毒,效果可能会大打折扣。虽然,现在的反会
病毒软件都能查杀内存病毒,但是此技术毕竟还未成熟,不一定能杀灭病毒。因此,杀此类病毒应在Windows 安全模式下进行。在Windows 安全模式下,这些病毒都不会在启动时被激活。因此,我们就能放心的杀毒了。
计算机病毒的清除3
、系统文件内病毒
这类病毒比较难缠,所以在操作前请先备份。杀此类病毒一定要
在干净的DOS 环境下进行。有时候还要反复查杀才能彻底清除。
4、感染杀毒厂家有提供专用杀毒工具的病
杀灭此类病毒比较好办,只需下载免费的专用杀毒工具就行了。杀灭此类病毒比较好办只需下载免费的专用杀毒工具就行了专用杀毒工具杀毒精确性相对较高,因此我推荐在条件许可的情况下使用专用杀毒工具。
蠕虫的防治策略尽早地发现蠕虫并对感染了蠕虫的主机进行
隔离和恢复,是防治蠕虫泛滥、避免造成重大损失的关键。的关键
计算机蠕虫防治的方案可以从两个角度来考虑:一是从它的实体结构来考虑,如果破坏了它的实体组织的一部分,则破坏了其完整性,使其不能正常工作,从而达到阻止其传播的目的;二是从它的功能组成来考虑,如果使其某个功能组成部分不能正常工作,也同样能达到阻止其传播得目的。
蠕虫的防治策略
修补系统漏洞
主要是由系统服务提供商
负责,及时提供系统漏洞
补丁程序,用户及时安装
补丁。分析蠕虫行为通过分析特定蠕虫的行为,给出有针对性的防护措施。重命名或删除命令解释器如UNIX 系统下的shell 、Windows 系统下的WScript.exe 。重命名或删除命令解释器,可以避免
执行蠕虫实体中的脚本。
蠕虫的防治策略
防火墙
禁止除服务器端口之外的
其他端口,这将切断蠕虫
的传输通道和通信通道。公告通过邮件列表等公告措施,加快、协调技术人员之间的信息交流和对蠕虫攻击
的对抗工作。更深入的研究只有对蠕虫特性进行更深入的研究,才能有效地减少蠕虫带来的危害和损失。
蠕虫的防治策略由于蠕虫的主动攻击特性,最终用户在蠕虫的防
治上基本无能为力,所以系统厂商、防病毒产品厂商和网络管理员应该起到更重要的作用。
恶意代码的防御
基于主机的恶意代码防御技术
基于网络的恶意代码防御技术
基于良性蠕虫的恶意代码防御技术
恶意代码防御方法比较
基于主机的恶意代码防御技术
误用检测技术
误用检测也称基于特征字的检测。它是目前检测清除恶意代码计算机程序恶意代码检测或文件或数据
恶意代码特征库
基于主机的恶意代码防御技术
权限控制技术
如果恶意代码要窃取其它文件信息,它也必须具有对该文件的读权限。也就是说,恶意代码要进行任何操作都必须具备相应的权限。因此,通过恰当控制计算机系统中程序的权限,使其仅仅具有完成正常任务的最小权限,那么即使该程序中包含恶意代码,该恶意代码也不能或者不能完全实现其恶意目的,即达到了控制恶意代码的目的。通过权限控制来防御恶意代码的技术比较典型的有:沙箱技术和安全操作系
统。
基于主机的恶意代码防御技术
沙箱技术
沙箱技术是指系统根据每个应用程序可以访问的资源,以及系统授权给该应用程序的权限建立一个属于该应用程序的“沙箱”。每个应用程序都运行在自己受保护的“沙箱”之中,不能影响其它程序的运行,也不能影响操作系统的正常运行并且操作系统和驱动程序也运行在自己的“沙箱”操作系统的正常运行。并且,操作系统和驱动程序也运行在自己的沙箱中。
安全操作系统
安全操作系统具有一套强制存取控制机制,它将计算机系统划分为三个空安全操作系统具有一套强制存取控制机制它将计算机系统划分为三个空间:系统管理空间、用户空间和保护空间;它将进入系的用户划分为两类:不具有特权的普通用户和系统管理员。系统管理空间不能被普通用户读写。用户空间包含用户的应用程序和数据,可以被用户读写。
基于主机的恶意代码防御技术
完整性技术
恶意代码感染、破坏其它目标系统的过程,也是破坏这些目标完整性的过程。从另一个方面说,保护了系统资源、特别是系统重要资源的完整性不受破坏,也就保护了这些资源不受恶意代码的感染和破坏。这是采用完整性技术防御恶意代的主要思路意代码的主要思路”。
校验和技术和Windows 的代码签名验证是完整型技术比较典型的应用。
基于网络的恶意代码防御技术的
代
防御技术
介绍
基于网络的恶意代码防范首先是恶意代码的检测,通过分析网络主机行为的和主机之间相互连接的数据,采用数据挖掘和异常检测技术对网络数据进行求精和关联分析以检测是否具有恶意代码行为:然后根据检测结果采取措施保护主机和络机和网络。
基于网络的恶意代码检测技术
异常检测
由于蠕虫恶意代码在传播时发送大量的网络扫描数据包,导致网络流量明显增加,并且其扫描数据包具有很强的规律性,通过异常检查可发现网络内主机可能感染恶意代码以及感染恶意代码的严重程序,然后采取控制措施,比如限制计算机发送数据包计算机断网算机发送数据包、计算机断网。
误用检测
误用检测也称基于特征的检测。
基于特征的检测首先要建立特征规则库,对一个数据包或数据流规则库,对个数据包或数据流的分析就是把陔数据与特征库中的特征码相比较。特征库中的特征码规则包括协议类型、端征码规则括协议类端u 号号、特征串、数据包长度等。基于网络的恶意代码检测中使用的特征串与基丁二卜机检测使用的特征串不同,一个特征码规则可以有多个特征串,特征码规则指定了每个特征串的相对偏移和间隔位置。
基于网络的恶意代码控制技术
网络隔离技术
采用网络隔离技术控制恶意代码,就是检测到计算机感染了恶意代码后立即把该计算机断代后即把计算机断网。这可以立即阻止该计算机继续传播恶意代码和对网络的破坏,工程实施起来也相对简单。但是,由于检测技术存在误报,从而导致错误地隔离了计算机。另外,采取隔离措施后,计算机不能上网,像下载算机能像补丁、杀毒软件升级等正常的防范措施也不能进行。
防火墙控制技术采用防火墙控制技术控制恶意代码,是指根据恶意代码传播的特点通过设置和修改防火的特点,通过设置和修改防火墙规则,禁止恶意代码的传播和扫描数据包通过,从而达到控制恶意代码的目的这种技控制恶意代码的目的。这种技术只限制恶意代码流量通过,而允许正常的网络流量通过,效果相对比较好。
介绍
当某类恶意代码利用漏洞对主机进行攻击时,所利用的系统漏洞是唯一的,或者说是有限的,若能在蠕虫爆发时采用类似蠕虫传播机制,抢先对漏洞进行修补,则可遏制蠕虫的传播,怎样实施主动传播机制从而有效防护网络主机,这就引出了基于良性蠕虫进行对抗的防御策略。良性蠕虫可以采取先利用漏洞或其它途径进入目标主机,然后对恶意代码进行查杀、修补漏洞等措施,最后进行自动扩散并退出目标主机。主机
恶意代码防御方法比较
防御技术防病毒软件
优点或长处
l 、技术比较成熟,可以推广;2、操作使月j 方便;
3、对传统病毒和已知恶意代码防御效果比较好码防御效果比较好。
缺点或不足
l 、对木马、蠕虫、脚本病毒、
朱知恶意代码防御效果筹:2、需要经常升级:
3、各种防毒软件性能参著不各种防毒软件性能参著不齐,难以选择.
4,可能影响计算机正常操作。1、不能防御计算机病毒;不能防御计算机病毒2、在全网实施成本较高:3、可能会影响网络性能:
4、对蠕虫只能控制传播不能清除。
l 、不能作为通爿j 技术:2,难以掌握,使用不便。1、难以实现。
防火墙技术权限控制技术完整性技术其他防御技术
l 、对蠕虫防御效果比较好,对对蠕虫防御效果比较好对木马也有一定效果;
2、技术比较成熟,容易实现。
1、对某些类璀的恶意代码比较有效:
2、在某些特定应用环境有效。l 、技术比较通用;
2、在某些特定应用环境比较有效。
可能在某些特定应用环境有效
1、不能通用;
2、工程实施难度大难以实现。
谢
谢!