520活动病毒知识

1、知识处理防赣州通友科技一、掌握反知识二、了解杀毒处理机制三、反应急响应能力21、计算机1.1 当前1.2 计算机1.3 当前2、常见2.1 常见概述的的分类 流行的趋势类型说明及行为分析途径自启动方式2.22.3 常见行为33、3.1制介绍3.2处理技术防产品工作机问题标准处理流程3.3 常用的处理方法4概述1.1.1 当前的1.2 计算机的分类1.3 当前流行的趋势5随着互联网的发展，的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的木马蠕虫：TROJAN WORM WIN32BACKDOOR型后门其他以上统称为程序或者代码。6当前流行趋势途径：邮件、移动设备、局域网计算机将

2、呈现新的发展趋势：在给带来很多方便和帮助的同时，互联网（邮件、的主要途径网页）、U盘、局域网已经成为计算机速度：越来接近零日木马数量持续猛增，新变种层出不穷方式：如KIDO、蠕虫、木马、的同时也会从网络联合及更新自身版本利益：商业目的明确当 一个 “从破坏文件系统演化到窃取商业信息以后，实质上“就已经从一个技术变成了工具”如今，越来越多的新被设计用来、制造邮件、实施”等。现在制造者是出于个人的私利，而不是技术探索目的，来编写。7常见类型说明及行为分析2.常见类型说明及行为分析2.1 常见途径自启动方式2.22.3 常见行为8的分类按照依赖的操作系统分类：、Windows、DOS按照良Linux

3、的破坏方式来分类：毒、恶毒的寄生部位或传染对象分类：按照计算机磁盘引导区、宏、可执行程序型9的分类按照的特性来分类10木马Trojan/PSW.AlaAdware/WinAD文件型Win95/CIHWin32/FunLove蠕虫I-Worm/BlasterI-Worm/Sasser后门Backdoor/RbotBackdoor/Huigezi的一般方式系统时，通过某种途径的过程大致可以分为：，进入目标系统,并通过修改系统设置实现随系统自启自我动激活负载的预定功能如：打开后门等待连接发起DDOS进行键盘11常见途径除引导区外，所有其他类型的行，无一例外，均要在系统中执代码，才能实现系统的目，它们

4、的。对于不同类型的、系统的方法也有所不同。12常见途径方式主要有：电子邮件移动磁盘网络共享P2P 共享系统13常见途径其他常见网页与正常用户直接运行途径：程序由其他程序目前大多数的木马、等都是通过这几种方式进入系统。它们通常都不具备性。14常见途径/灰色/灰色由于的定义，它们有时的是与其他正常候是由用户主动安装，进行绑定。15防止及时更新系统和应用补丁，修补强化设置的安全策略，增加强度加强网络共享的管理增强员工的防范意识16自启动方式自启动特性除引导区外，绝大多数系统后，都具有自启动特性。在系统中的行为是基于在系统中运行的基础上的，这就决定了必然要通过对系统的修改，实现开机后自动加载的功能。加

5、 载修方改表服将务自和身进添程加为程序直接运行嵌将入自系身统添正加常到进启程动文件DLL夹文件和OCX文件等驱修动改系统SYS配文置件文件17常见行为系统后，无疑会对系统做出各种修改和破坏。有时会使受的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。18无论在系统表现形式如何需要关注的是的隐性行为！常见行为特性很多木马、后门程序ernet某Web站点，会自动连接到其他的文件或该自身的更新版本/其他变种。后门特性后门程序及很多木马、蠕虫和染的系统中开启并侦听某个端口，允许会在受感用还会自动户来对该系统进行操控。有时候连接到某IRC站点某频道中，使得该

6、频道中特定的恶意用户受的计算机。19常见行为信息收集特性大多数一些木马都会收集系统中用户的私人信息，特别各种帐号和。收集到的信息通常都会被通过自带的SMTP引擎发送到指定的某个指定的邮箱。和帐号帐号网上用户网页浏览和上网20常见行为自身隐藏特性多数会将自身文件设置为“隐藏”、“系统”和“只读”属性，更有一些会通过修改表来实现对系统的文件夹权限、显示权限等进行修改，以使其更加隐蔽不易被发现。21有一些会使用Rootkit技术来隐藏自身的进程和文件，使得用户更难以发现。使用Rootkit技术的 ，通常都会有一个.SYS文件加载在系统的驱动中，用以实现Rootkit技术的隐藏功能。常见行为文件文件型

7、特性的一个特性是系统中部分/所有的可执行文件。会将代码到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件而成为体。有的文件型会系统中其他类型的文件。典型-维京熊猫烧香PE_LOOKEDPE_FUJACKS22常见行为网络A：一些蠕虫会针对微软操作系统或其他程序存在的进行，从而导致受的计算机出的计算机荡波、冲波现各种异常现象，或是通过在受上执行代码。B：一些木马和蠕虫会修改计算机的网络设置，有的木马和蠕虫还会向大量数据包以阻塞网使该计算机无法网络中其他计A算R机络，甚至通过散步虚假网关地址的广播包来络中其他计算机，从而使得整个网络瘫痪。网23处理技术3.处理技术3.3

8、.1制介绍3.2防产品工作机问题标准处理流程3.3 常用的处理方法24工作机制扫毒模块 扫描并检测含有代码的文件，对其做出处理。对于被文件型文件进行修复。扫描引擎的可执行库代码25工作机制过程判断对象特征数据判断结果规则库规则匹配特征提取工作机制过程人工分析一切想得到的、能够得到的特征一切可能的源是否为分析的知识库规则匹配特征提取工作机制过程分析过程实际上就是判断分析目标是否是源的过程分析过程分为两大步骤：特征提取规则匹配影响分析判断准确率的特征提取得好不好、全不全规则的规则准、多不多工作机制为什么会出现无法清除/删除的？当载，或是系统后，进程已经被系统加DLL已经嵌入到正在运行的系统进程中时，由于Windows自身的特性，对于已经加载的文件无法进行改动操作，从而导致扫描引擎对检测到的文件无法操作。已经加载的不包含在损害清除模板(DCT)中，损害清除服务无法修复被统。标记为重启删除或重启清除的系29问题处理标准流程从为问题处理角度划分，问题可分已知防经法对问题可以成功检测到，但由于已无了系统并在系统中运行，导致防毒进行清除、或删除的操作。未知防测到该问题无法通过现有的。码和扫描引擎检30常用处理方法系统大中多了，况该怎下么，办可？以直接根据经验来迅速清除各种。重装？木马和后门程序？、？灰色Ghost还蠕虫文件型处理过程包括修