4.3 病毒与木马防范

第3节病毒与木马防范第4章目录病毒与木马检测病毒与木马防范方法0102病毒与木马防范意识0301病毒与木马检测情景导入警惕“电脑自己有想法”某公司一名员工正在写策划案。突然，电脑浏览器打开。一开始，这位员工并不在意，认为是自己在打字时不小心打开了浏览器。过了一会，电脑弹出一个警告框和许多图片。这位员工意识到自己电脑是不是中病毒了，急忙想关掉弹出框，但是发现关不掉，并且警告框越来越多。这位员工一时半会不知道怎么办，吓得急忙关掉电脑。这位员工冷静下来之后，觉得自己电脑应该是中毒了。接下来，他找到公司安全管理人员，寻求安全管理员的帮助。注：关于病毒木马检测的内容介绍，请参阅第四章/病毒木马检测.mp4病毒与木马常见检测方法检测方法如果你不小心遇到跟上述案例员工一样的事情，你会怎么处理呢？如何去检测和判定电脑中毒情况？基本信息排查进程分析自启动项检查自动化检测日志分析50常见检测方法基本信息排查网络排查排查可疑链接检查目标系统是否存在可疑链接，用户是否误点击了可疑链接，导致目标系统被植入了病毒木马。正常链接可疑链接排查IP地址检查目标系统是否存留可疑IP地址，警惕外部IP远程登录或者控制本地系统。基本信息排查网络连接排查检查端口连接情况，是否有远程连接、可疑连接。排查方法1、netstat-ano查看目前的网络连接，定位可疑的ESTABLISHED2、根据netstat定位出的pid，再通过tasklist命令进行进程定位tasklist|findstr“PID”基本信息排查网络连接排查对可疑连接或者进程进一步分析使用方法3、获取当前的进程(某可疑进程)、进程路径、命令行、进程ID等信息4、列出某进程的详细信息基本信息排查定时作业排查病毒木马入侵系统之后，并不一定马上执行，而是选择藏于任务计划程序库，等待特定的时间点去运行。排查方法单击【开始】>【运行】，输入control选择“系统和安全”在管理工具中打开“任务计划程序”基本信息排查CPU排查查看CPU相关参数，比如利用率、速度、进程等。如果系统一开机，CPU使用率就一直保持在80%（或者某个高峰值）以上，那么就需要排查哪个程序占用资源。内存排查病毒木马运行时，会自动打开系统当中某些服务，导致内存被占用。如果系统启动后，内存使用就保持在高峰值，那么就需要排查哪个进程占据内存资源。进程分析任务管理器进程分析病毒木马只有在运行之后才会对目标系统造成破坏。当病毒木马运行时，一般在进程中可以找到对应的运行程序，一旦发现可疑进程，要及时采取对应措施。一般步骤打开“任务管理器”STEP1查看进程STEP2删除可疑进程STEP3进程分析进程分析工具ProcessHacker是一款功能丰富的系统进程管理工具，可查看所有进程信息，包括进程加载的dll、进程打开的文件、进程读写的注册表等。用户借助该程序可以方便、快捷地查看相关进程的速度，内存，及模块等等。另外，还可以对相关的进程进行管理工作。ProcessHacker进程分析进程分析工具ProcessMonitor是一款微软官方推荐，实时刷新的进程信息监控工具，其稳定性和兼容性出色，同时展示的信息全面，专门用来监视系统中的文件操作过程与用来监视注册表的读写操作过程。ProcessMonitor进程分析其他进程分析工具1一个Windows系统信息查看软件，可协助排查木马、后门等病毒XueTr2XueTr的增强版，功能和XueTr差不多，相比之下，减少出故障的概率PCHunter3可对指定的进程，将其进程空间内的所有模块单独Dump出来，甚至可Dump出隐藏的模块ProcessDump自启动项检查自启动服务排查排查任务管理器中相关服务，重点排查自启动服务，发现可疑服务，以便及时处理。排查方式（一）打开“任务管理器”STEP1排查“服务”STEP2删除可疑进程STEP3STEP1自启动项检查排查方式（二）STEP2单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。在PowerShell下输入service。自启动项检查启动项分析工具AutoRuns是一款出色的启动项目管理工具，其作用是检查开机自动加载的所有程序，例如硬件驱动程序，Windows核心启动程序和应用程序。AutoRuns自动化检测扫描工具D盾通过自动化工具检测病毒与木马能起到事半功倍的效果。D盾是一款Webshell查杀工具，使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的WebShell后门行为。一般步骤选择“自定义扫描”STEP1选择可疑的文件或文件夹STEP2根据说明内容进行排查STEP3注：关于D盾查杀木马的内容介绍，请参阅第四章/D盾查杀木马.mp4自动化检测杀毒软件杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能。有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能，是计算机防御系统（包含杀毒软件，防火墙，特洛伊木马和恶意软件的查杀程序，入侵防御系统等）的重要组成部分。360安全管家腾讯电脑管家火绒安全软件自动化检测病毒与木马检测操作演示WindowsDefender检测与查杀腾讯哈勃分析系统检测与查杀自动化检测其他在线查杀工具河马在线查杀可以上传zip文件压缩包支持asp/php/aspx/jsp/perl等各种脚本百度在线查杀支持zip、rar、tar等各种常见压缩包支持php/jsp/asp/aspx等各种脚本也支持通过API方式进行扫描CHIP在线查杀仅支持PHP且只能上传单个PHP文件进行扫描在线webshell查杀-灭绝师太版支持zip或php文件上传扫描/killwebshell日志分析Windows系统日志分析（一）Security安全日志包含安全性相关的事件。比如用户权限变更，登录及注销，文件/文件夹访问等信息。日志管理工具提供筛选功能以方便用户能更迅速，更便捷地进行查看日志。（不同的类型的日志具有不同的编号，每一种操作都有不同的日志ID）日志分析Windows系统日志分析（二）System系统日志记录设备驱动无法正常启动或停止，硬件失败，重复IP地址，系统进程的启动，停止及暂停等行为。02病毒与木马防范方法安全软硬件部署与应用部署病毒防火墙病毒防火墙被称为“病毒实时检测和清除系统”，是反病毒软件的工作模式。当病毒防火墙运行的时候，会把病毒特征监控的程序驻留内存中，可以随时查看系统的运行中是否有病毒的迹象，一旦发现有携带病毒的文件，就会马上激活杀毒处理的模块进行查杀。防火墙的基本功能病毒防火墙强化安全策略监控木马与病毒一键查杀文件隔离日志记录与事件通知有效隔离并查杀病毒木马防范病毒木马窃取数据安全软硬件部署与应用部署入侵检测系统入侵检测系统（intrusiondetectionsystem，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于IDS是一种积极主动的安全防护技术。Internet核心路由器入侵检测系统核心交换机服务器办公区域识别常见病毒与木马攻击监控网络异常通信鉴别对系统漏洞及后门的利用完善网络安全管理安全软硬件部署与应用部署入侵防御系统入侵防御系统(IPS:IntrusionPreventionSystem)是电脑网络安全设施，是对防病毒软件和防火墙的补充。入侵防御系统是一种能够监视网络变化、网络资料传输等行为的网络安全设备，它能够及时的中断、调整或隔离一些不正常或是携带病毒或木马的网络资料传输行为。注意入侵防御系统与入侵检测系统的差别：入侵防御系统，在检测入侵的基础上还添加了阻断功能，在一定程度上讲，IPS相当于IDS+防火墙。入侵防御系统异常流量入侵防御系统可以分析网络流量和检测异常流量越权访问寻找未经授权的访问，并将未授权的设备移出网络文件传输检测并阻断携带病毒木马资料传输计算机病毒发展历程原始病毒阶段第一阶段产生年限一般在1986-1989年之间。大多是单机运行、种类也很有限。主要特点：攻击目标单一；主要通过截获系统中断向量方式监视系统的运行状态，对目标进行传染；不具备自我保护的措施，容易被分析和解剖。混合型病毒阶段第二阶段其产生的年限在1989－1991年之间，是计算机病毒由简单发展到复杂的阶段。主要特点：工具目标趋于混合；采取更为隐蔽的方法驻留内存和传染目标；病毒程序往往采取了自我保护措施；出现许多病毒的变种等。多态性病毒阶段第三阶段此类病毒的主要特点是，在每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的。这一阶段的病毒技术开始向多维化方向发展。木马演变历程时间演变历程1986年，出现世界上第一个木马--PC-Write木马。此木马一旦运行成功，磁盘就会被格式化第一代木马伪装型木马出现于1989年，此木马程序藏于软盘当中。当软盘被运行时，木马也随之运行，将硬盘加密并锁定第二代木马AIDS木马这代木马已经非常成熟，兼备伪装和传播等特性。利用网络的便捷，能够在互联网中快速传播，同时还具备一定免杀功能第三代木马网络传播型木马病毒与木马发展趋势可智能转化的病毒与木马安全研究人员发现一种智能化的新型病毒与木马，该病毒与木马通过恶意软件形式入侵电脑，在植入之后会自行判断感染主机的配置高低，然后再决定演变为何种攻击形态展开攻击，更能发挥起作用。智能化选择攻击形态感染配置较高的主机，就会化身为挖矿病毒，通过恶意软件发布指令使感染主机成为挖矿设备。感染配置较低的主机，就会化身为勒索病毒，会使用密钥锁定数据，用户需要支付一定赎金才能换取解密密钥。病毒与木马发展趋势自动化病毒与木马24小时自动地监测系统，当系统开放了可以利用的端口或者运行了相关服务，病毒与木马立刻按照预定的程序执行，完全不需要人为干预。病毒与木马都嵌入了自动化脚本。能够自动化选择执行时间，执行路径，甚至能自动化隐藏自己（如自动结束进程、删除自身等）来躲避杀毒软件的查杀。快速化病毒与木马一旦感染系统，迅速蔓延至系统全部文件，对所有文件造成破坏