3.5 恶意代码防范

第5节恶意代码防范第3章目

录01恶意代码的查杀方法02恶意代码的防范措施01恶意代码的查杀方法手动清除恶意代码恶意代码清除技术-感染引导区从备份修复引导区重建主引导区（FDISK/MBR）手动清除恶意代码正常代码恶意代码正常代码恶意代码正常代码恶意代码附着型恶意代码清除替换型恶意代码清除恶意代码清除技术-感染文件附着型逆向还原（从正常文件中删除恶意代码）替换型备份还原（正常文件替换感染文件）手动清除恶意代码恶意代码清除技术-独立文件独立可执行程序（.exe等）终止进程、删除独立依附型（.dll.sys）内存退出、删除工具清除恶意代码以腾讯电脑管家为例恶意代码查杀工具常用工具360安全杀毒腾讯电脑管家火绒安全查杀方式快速查杀最容易感染病毒的关键位置全盘查杀指定位置查杀工具清除恶意代码恶意代码查杀工具查杀方式快速查杀全盘查杀扫描系统所有文件指定位置查杀工具清除恶意代码恶意代码查杀工具查杀方式快速查杀全盘查杀指定位置查杀关键位置内存、启动项、系统设置、常用软件常用位置

自定义文件夹、系统桌面、磁盘、移动介质工具清除恶意代码注：在线查杀方式仅限于检查支持上传的恶意代码文件。恶意代码查杀工具-在线查杀在线查杀平台VirustotalVirScan腾讯哈勃分析系统微步云沙箱工具清除恶意代码恶意代码查杀工具-在线查杀Virustotal查杀对象muma.exe文件步骤访问Virustotal地址->上传恶意代码文件->分析扫描结果。（70款引擎，58款判断为恶意文件）工具清除恶意代码VirScan扫描结果恶意代码查杀工具-在线查杀41款引擎，34款判断为恶意文件。说明可以确定该文件为恶意代码文件。工具清除恶意代码恶意代码查杀工具-在线查杀腾讯哈勃分析系统结果分析该恶意代码会修改注册表，甚至会结束名为：KSafeTray.exe（金山卫士）的进程。工具清除恶意代码恶意代码查杀工具-在线查杀微步云沙箱扫描结果根据微步情报中心数据检测，判断为木马文件。22款引擎，15款判断为恶意文件。02恶意代码的防范措施计算机病毒的防范方法方法一：查找计算机病毒源方法描述01.比较法02.搜索法用原始备份与被检测的引导扇区或被检测文件进行比较，检测其完整性变化。以病毒体含有的特定字符串对被检测对象进行扫描。该方法基于特征串扫描法，从病毒体抽取几个关键特征字，组成特征字库。03.特征字识别法04.分析法专业反病毒人员使用。目的：确认被观察的磁盘引导区和程序中是否含有病毒，辨别病毒的类型、种类、结构，提取病毒的特征字节串或特征字，用于增添到病毒代码库提供病毒扫描和识别程序使用。计算机病毒的防范方法方法二：阻断传播途径方法三：应急响应和灾备安全区域隔离消除计算机病毒载体增强安全防范意识和安全操作习惯备份（文件备份、数据备份、系统备份）数据修复技术（文件恢复大师、DiskGenius、EasyusDataRecovery）网络过滤技术（病毒防火墙）计算机病毒应急响应预案特洛伊木马防范方法被攻击机器攻击者后台方法一：查看开放端口原理根据特洛伊木马在受害计算机系统上留下的网络通信端口号痕迹进行判断。例如冰河木马（监听7626端口）排查方式CMD指令（netstat-ano）、端口扫描软件清除方法打开“任务管理器”，结束名为：Kernel32.exe的进程即可。特洛伊木马防范方法方法二：重要系统文件检测原理根据特洛伊木马在受害计算机系统上对重要系统文件进行修改留下的痕迹进行判断。例如Windows中的Autostart、Folder、Win.ini、System.ini等文件。特洛伊木马防范方法当目标主机的系统时间到达设定时间之后，g_server.exe木马程序自动启动，且无任何提示。方法三：系统注册表检测原理检查计算机的注册表键值异常情况对比已有木马修改注册表的规律，综合判定。例如HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run特洛伊木马防范方法Linux操作系统下进行全面的Rootkit检测方法四：隐藏Rootkit木马检测检测方式基于运行痕迹进行检测基于执行路径的分析检测基于内核的分析检测网络蠕虫防范方法注：蜜罐系统在后续章节会进行介绍。方法一：监测与预警方法二：传播抑制方法三：系统漏洞检测与系统加固安装探测器收集信息包括本地网络通信连接数、ICMP路由错误包、通信流量、网络服务分部、域名服务、端口活动、CPU使用率、内存使用率。监测方法数据挖掘、模式匹配、数据融合、行为图。部署主动防御系统（如：蜜罐）漏洞扫描漏洞修复漏洞预防网络蠕虫防范方法网络蠕虫专杀工具方法四：网络蠕虫免疫技术设置蠕虫感染标记，进行欺骗阻断与隔离方法五：网络蠕虫清除手动清除、专用工具清除其他恶意代码防范后门专杀软件注：关于恶意程序清除操作步骤，请参阅第三章/利用进程异常清除恶意程序.mp4僵尸网络防范方法威胁检测内容检测（通信内容、行为特征）主动遏制（DNS、IP）后门防范方法关闭不用的端口或只允许指定的端口访问部署后门专杀软件终止后门异常进程本章介绍了恶意代码的查杀方法以及恶意代码的防范措施等内容。恶意代码的查杀方法包括：手动清除、工具查杀（第三方软件查杀和在线查杀）