- 1、本文档共66页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
恶意代码分析与深层防护安全模型 §1 恶意软件 一、 什么是恶意软件 “恶意软件” 指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。 1、特洛伊木马 (1)远程访问特洛伊 (2)Rootkit 2、蠕虫 3、病毒 二 、恶意软件的特征 1、目标环境 (1)设备。 (2)操作系统。 (3)应用程序。 2、携带者对象 (1)可执行文件。 (2)脚本。 (3)宏。 (4)启动扇区。 3、传输机制 (1)可移动媒体。 (2)网络共享。 (3)网络扫描。 (4)对等 (P2P) 网络。 (5)电子邮件。 (6)远程利用。 4、负载 一旦恶意软件通过传输到达了宿主计算机,它通常会执行一个称为“负载”的操作,负载可以采用许多形式。常见负载类型包括: (1)后门。 (2)数据损坏或删除。 (3)信息窃取。 (4)拒绝服务 (DoS) 5、触发机制 触发机制是恶意软件的一个特征,恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容: (1)手动执行。 (2)社会工程。 (3)半自动执行。 (4)自动执行。 (5)定时炸弹。 (6)条件。 6、防护机制 许多恶意软件示例使用某种类型的防护机制,来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例: (1)装甲。 (2)窃取 (3)加密。 (4)寡态。 (5)多态。 三、防病毒软件原理 防病毒软件专门用于防护系统,使其免受来自任何形式的恶意软件(而不仅仅是病毒)的侵害。防病毒软件可以使用许多技术来检测恶意软件。其技术工作原理包括: 1、签名扫描 有哪些信誉好的足球投注网站目标来查找表示恶意软件的模式。这些模式通常存储在被称为“签名文件”的文件中,签名文件由软件供应商定期更新,以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。 主要问题:防病毒软件必须已更新为应对恶意软件。 2、启发式扫描 此技术通过查找通用的恶意软件特征,来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是,它并不依赖于签名文件来识别和应对恶意软件。 启发式扫描的问题: (1)错误警报。 (2)慢速扫描。 (3)新特征可能被遗漏。 3、行为阻止 着重于恶意软件攻击的行为,而不是代码本身。 §2 恶意软件分析 对恶意软件进行分析,了解其工作方式可以确保系统已被清理干净并减少再次感染和攻击的可能性。 一、 检查活动进程和服务 二、 检查启动文件夹 恶意软件可以尝试通过修改系统的启动文件夹来自行启动。检查每个启动文件夹中的条目,以确保在系统启动过程中没有恶意软件尝试启动。 三、检查计划的应用程序 恶意软件还可能(但很少见)尝试使用 Windows 计划程序服务启动未授权的应用程序。 四、分析本地注册表 备份和恢复注册表。成功备份注册表后,在以下区域中检查任何异常的文件引用。(参见书上示例) 五、 检查恶意软件和损坏的文件 1、对比 大多数恶意软件将修改计算机硬盘上的一个或多个文件,而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统,则可以将受到感染的系统直接与通过该映像创建的全新系统进行比较。 2、有哪些信誉好的足球投注网站 可以使用 Windows 有哪些信誉好的足球投注网站工具,对自从恶意软件首次引入系统时更改的所有文件进行系统范围的有哪些信誉好的足球投注网站,以确定哪些文件已被更改。 3、检查常用的隐藏区域 某些恶意软件攻击已经使用了有效的系统文件名,但将该文件置于其他文件夹中,以免被 Windows 文件保护服务检测到。例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%\System32 文件夹中并在该文件夹中受到保护。直接在 %WINDIR% 文件夹中创建同名文件的恶意软件示例已被看到,因此必须检查完整路径和文件名。 恶意软件攻击用于放置和修改文件的某些常见目标区域包括: %Windir%。 %System%。 %Temp%。 %Temporary Internet Files%。 六、检查用户和组 某些恶意软件攻击将尝试评估系统上现有用户的特权,或在拥有管理员特权的组中添加新新帐户。检查以下异常设置: 旧用户帐户和组。 不适合的用户名。 包含无效用户成员身份的组。 无效的用户权限。 最近提升的任何用户或组帐户的特权。 确认所有管理器组成员均有效。 七、检查共享文件夹 恶
文档评论(0)