日常病毒分析及处理.pptVIP

目标 掌握反病毒知识 熟悉反病毒工具的使用 培养现场反病毒应急响应能力 课程进度 1.病毒概述 1.1 当前面临的威胁 1.2 当前病毒流行的趋势 2.病毒感染过程和行为 2.1 病毒的传播方式 2.2 病毒自启动方式 3.常用的病毒处理方法 3.1 疑似病毒现象 3.2 进行系统诊断 3.3 病毒清除方法 3.4 常用的工具介绍 4.典型的病毒案例分析 5.防病毒现场演练 1.1 当前面临的威胁 随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁： 病毒 PE 蠕虫 WORM 木马 TROJ 后门 BKDR 间谍软件 SPY 其他 以上统称为恶意代码。 1.2 当前病毒流行的趋势 范围：全球性， 如WORM_MOFEI.B等病毒 速度：越来接近零日攻击， 如worm_zotob.a等病毒 方式：蠕虫、木马、间谍软件联合， 如Lovgate等病毒 课程进度 1.病毒概述 1.1 当前面临的威胁 1.2 当前病毒流行的趋势 2.病毒感染过程和行为 2.1 病毒的传播方式 2.2 病毒自启动方式 3.常用的病毒处理方法 3.1 疑似病毒现象 3.2 进行系统诊断 3.3 病毒清除方法 3.4 常用的工具介绍 4.典型的病毒案例分析 5.防病毒现场演练 2.病毒感染的一般过程 病毒感染的一般过程大致分为： 通过某种途径传播，进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能， 如, 打开后门等待连接， 发起DDOS攻击， 进行键盘记录等 2.1 病毒的传播方式 传播方式主要有： 电子邮件 网络共享 P2P 共享 系统漏洞 2.1 病毒的传播方式 电子邮件 HTML正文可能被嵌入恶意脚本， 邮件附件携带病毒压缩文件 利用社会工程学进行伪装，增大病毒传播机会 快捷传播特性 例子，WORM_MYTOB等病毒 2.1 病毒的传播方式 网络共享 病毒会有哪些信誉好的足球投注网站本地网络中存在的共享， 如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测，获得完全访问权限 病毒自带口令猜测列表 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 利用社会工程学进行伪装，诱使用户执行并感染。 例子，WORM_SDBOT 等病毒 2.1 病毒的传播方式 P2P共享软件 将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名 通过P2P软件共享给网络用户 利用社会工程学进行伪装，诱使用户下载 例子，WORM_PEERCOPY.A等病毒 2.1 病毒的传播方式 系统漏洞 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞. 病毒往往利用系统漏洞进入系统, 达到传播的目的。 常被利用的漏洞 RPC-DCOM 缓冲区溢出 (MS03-026) Web DAV (MS03-007) LSASS (MS04-011) (Local Security Authority Subsystem Service) 例子，WORM_MYTOB 、WORM_SDBOT等病毒 2.1 防止病毒入侵 针对病毒传播渠道趋势产品应用 利用防病毒软件阻挡电子邮件中的可执行文件。 例如趋势科技的ScanMail产品 2.1 防止病毒入侵 针对病毒传播渠道趋势产品应用 使用OPP阻断病毒通过共享及漏洞传播 2.1 防止病毒入侵 及时更新windows补丁，修补漏洞 强化密码设置的安全策略，增加密码强度 加强网络共享的管理 增强员工病毒防范意识 2.2 病毒自启动方式 修改注册表 将自身添加为服务 将自身添加到启动