4.3 病毒與木馬防范

第3節(jié)病毒與木馬防范第4章目錄病毒與木馬檢測(cè)病毒與木馬防范方法0102病毒與木馬防范意識(shí)0301病毒與木馬檢測(cè)情景導(dǎo)入警惕“電腦自己有想法”某公司一名員工正在寫策劃案。突然，電腦瀏覽器打開。一開始，這位員工并不在意，認(rèn)為是自己在打字時(shí)不小心打開了瀏覽器。過了一會(huì)，電腦彈出一個(gè)警告框和許多圖片。這位員工意識(shí)到自己電腦是不是中病毒了，急忙想關(guān)掉彈出框，但是發(fā)現(xiàn)關(guān)不掉，并且警告框越來越多。這位員工一時(shí)半會(huì)不知道怎么辦，嚇得急忙關(guān)掉電腦。這位員工冷靜下來之后，覺得自己電腦應(yīng)該是中毒了。接下來，他找到公司安全管理人員，尋求安全管理員的幫助。注：關(guān)于病毒木馬檢測(cè)的內(nèi)容介紹，請(qǐng)參閱第四章/病毒木馬檢測(cè).mp4病毒與木馬常見檢測(cè)方法檢測(cè)方法如果你不小心遇到跟上述案例員工一樣的事情，你會(huì)怎么處理呢？如何去檢測(cè)和判定電腦中毒情況？基本信息排查進(jìn)程分析自啟動(dòng)項(xiàng)檢查自動(dòng)化檢測(cè)日志分析50常見檢測(cè)方法基本信息排查網(wǎng)絡(luò)排查排查可疑鏈接檢查目標(biāo)系統(tǒng)是否存在可疑鏈接，用戶是否誤點(diǎn)擊了可疑鏈接，導(dǎo)致目標(biāo)系統(tǒng)被植入了病毒木馬。正常鏈接可疑鏈接排查IP地址檢查目標(biāo)系統(tǒng)是否存留可疑IP地址，警惕外部IP遠(yuǎn)程登錄或者控制本地系統(tǒng)。基本信息排查網(wǎng)絡(luò)連接排查檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接。排查方法1、netstat-ano查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED2、根據(jù)netstat定位出的pid，再通過tasklist命令進(jìn)行進(jìn)程定位tasklist|findstr“PID”基本信息排查網(wǎng)絡(luò)連接排查對(duì)可疑連接或者進(jìn)程進(jìn)一步分析使用方法3、獲取當(dāng)前的進(jìn)程(某可疑進(jìn)程)、進(jìn)程路徑、命令行、進(jìn)程ID等信息4、列出某進(jìn)程的詳細(xì)信息基本信息排查定時(shí)作業(yè)排查病毒木馬入侵系統(tǒng)之后，并不一定馬上執(zhí)行，而是選擇藏于任務(wù)計(jì)劃程序庫(kù)，等待特定的時(shí)間點(diǎn)去運(yùn)行。排查方法單擊【開始】>【運(yùn)行】，輸入control選擇“系統(tǒng)和安全”在管理工具中打開“任務(wù)計(jì)劃程序”基本信息排查CPU排查查看CPU相關(guān)參數(shù)，比如利用率、速度、進(jìn)程等。如果系統(tǒng)一開機(jī)，CPU使用率就一直保持在80%（或者某個(gè)高峰值）以上，那么就需要排查哪個(gè)程序占用資源。內(nèi)存排查病毒木馬運(yùn)行時(shí)，會(huì)自動(dòng)打開系統(tǒng)當(dāng)中某些服務(wù)，導(dǎo)致內(nèi)存被占用。如果系統(tǒng)啟動(dòng)后，內(nèi)存使用就保持在高峰值，那么就需要排查哪個(gè)進(jìn)程占據(jù)內(nèi)存資源。進(jìn)程分析任務(wù)管理器進(jìn)程分析病毒木馬只有在運(yùn)行之后才會(huì)對(duì)目標(biāo)系統(tǒng)造成破壞。當(dāng)病毒木馬運(yùn)行時(shí)，一般在進(jìn)程中可以找到對(duì)應(yīng)的運(yùn)行程序，一旦發(fā)現(xiàn)可疑進(jìn)程，要及時(shí)采取對(duì)應(yīng)措施。一般步驟打開“任務(wù)管理器”STEP1查看進(jìn)程STEP2刪除可疑進(jìn)程STEP3進(jìn)程分析進(jìn)程分析工具ProcessHacker是一款功能豐富的系統(tǒng)進(jìn)程管理工具，可查看所有進(jìn)程信息，包括進(jìn)程加載的dll、進(jìn)程打開的文件、進(jìn)程讀寫的注冊(cè)表等。用戶借助該程序可以方便、快捷地查看相關(guān)進(jìn)程的速度，內(nèi)存，及模塊等等。另外，還可以對(duì)相關(guān)的進(jìn)程進(jìn)行管理工作。ProcessHacker進(jìn)程分析進(jìn)程分析工具ProcessMonitor是一款微軟官方推薦，實(shí)時(shí)刷新的進(jìn)程信息監(jiān)控工具，其穩(wěn)定性和兼容性出色，同時(shí)展示的信息全面，專門用來監(jiān)視系統(tǒng)中的文件操作過程與用來監(jiān)視注冊(cè)表的讀寫操作過程。ProcessMonitor進(jìn)程分析其他進(jìn)程分析工具1一個(gè)Windows系統(tǒng)信息查看軟件，可協(xié)助排查木馬、后門等病毒XueTr2XueTr的增強(qiáng)版，功能和XueTr差不多，相比之下，減少出故障的概率PCHunter3可對(duì)指定的進(jìn)程，將其進(jìn)程空間內(nèi)的所有模塊單獨(dú)Dump出來，甚至可Dump出隱藏的模塊ProcessDump自啟動(dòng)項(xiàng)檢查自啟動(dòng)服務(wù)排查排查任務(wù)管理器中相關(guān)服務(wù)，重點(diǎn)排查自啟動(dòng)服務(wù)，發(fā)現(xiàn)可疑服務(wù)，以便及時(shí)處理。排查方式（一）打開“任務(wù)管理器”STEP1排查“服務(wù)”STEP2刪除可疑進(jìn)程STEP3STEP1自啟動(dòng)項(xiàng)檢查排查方式（二）STEP2單擊【開始】>【運(yùn)行】，輸入services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)。在PowerShell下輸入service。自啟動(dòng)項(xiàng)檢查啟動(dòng)項(xiàng)分析工具AutoRuns是一款出色的啟動(dòng)項(xiàng)目管理工具，其作用是檢查開機(jī)自動(dòng)加載的所有程序，例如硬件驅(qū)動(dòng)程序，Windows核心啟動(dòng)程序和應(yīng)用程序。AutoRuns自動(dòng)化檢測(cè)掃描工具D盾通過自動(dòng)化工具檢測(cè)病毒與木馬能起到事半功倍的效果。D盾是一款Webshell查殺工具，使用自行研發(fā)不分?jǐn)U展名的代碼分析引擎，能分析更為隱藏的WebShell后門行為。一般步驟選擇“自定義掃描”STEP1選擇可疑的文件或文件夾STEP2根據(jù)說明內(nèi)容進(jìn)行排查STEP3注：關(guān)于D盾查殺木馬的內(nèi)容介紹，請(qǐng)參閱第四章/D盾查殺木馬.mp4自動(dòng)化檢測(cè)殺毒軟件殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除、自動(dòng)升級(jí)、主動(dòng)防御等功能。有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)、防范黑客入侵、網(wǎng)絡(luò)流量控制等功能，是計(jì)算機(jī)防御系統(tǒng)（包含殺毒軟件，防火墻，特洛伊木馬和惡意軟件的查殺程序，入侵防御系統(tǒng)等）的重要組成部分。360安全管家騰訊電腦管家火絨安全軟件自動(dòng)化檢測(cè)病毒與木馬檢測(cè)操作演示W(wǎng)indowsDefender檢測(cè)與查殺騰訊哈勃分析系統(tǒng)檢測(cè)與查殺自動(dòng)化檢測(cè)其他在線查殺工具河馬在線查殺可以上傳zip文件壓縮包支持asp/php/aspx/jsp/perl等各種腳本百度在線查殺支持zip、rar、tar等各種常見壓縮包支持php/jsp/asp/aspx等各種腳本也支持通過API方式進(jìn)行掃描CHIP在線查殺僅支持PHP且只能上傳單個(gè)PHP文件進(jìn)行掃描在線webshell查殺-滅絕師太版支持zip或php文件上傳掃描/killwebshell日志分析Windows系統(tǒng)日志分析（一）Security安全日志包含安全性相關(guān)的事件。比如用戶權(quán)限變更，登錄及注銷，文件/文件夾訪問等信息。日志管理工具提供篩選功能以方便用戶能更迅速，更便捷地進(jìn)行查看日志。（不同的類型的日志具有不同的編號(hào)，每一種操作都有不同的日志ID）日志分析Windows系統(tǒng)日志分析（二）System系統(tǒng)日志記錄設(shè)備驅(qū)動(dòng)無法正常啟動(dòng)或停止，硬件失敗，重復(fù)IP地址，系統(tǒng)進(jìn)程的啟動(dòng)，停止及暫停等行為。02病毒與木馬防范方法安全軟硬件部署與應(yīng)用部署病毒防火墻病毒防火墻被稱為“病毒實(shí)時(shí)檢測(cè)和清除系統(tǒng)”，是反病毒軟件的工作模式。當(dāng)病毒防火墻運(yùn)行的時(shí)候，會(huì)把病毒特征監(jiān)控的程序駐留內(nèi)存中，可以隨時(shí)查看系統(tǒng)的運(yùn)行中是否有病毒的跡象，一旦發(fā)現(xiàn)有攜帶病毒的文件，就會(huì)馬上激活殺毒處理的模塊進(jìn)行查殺。防火墻的基本功能病毒防火墻強(qiáng)化安全策略監(jiān)控木馬與病毒一鍵查殺文件隔離日志記錄與事件通知有效隔離并查殺病毒木馬防范病毒木馬竊取數(shù)據(jù)安全軟硬件部署與應(yīng)用部署入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（intrusiondetectionsystem，簡(jiǎn)稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。Internet核心路由器入侵檢測(cè)系統(tǒng)核心交換機(jī)服務(wù)器辦公區(qū)域識(shí)別常見病毒與木馬攻擊監(jiān)控網(wǎng)絡(luò)異常通信鑒別對(duì)系統(tǒng)漏洞及后門的利用完善網(wǎng)絡(luò)安全管理安全軟硬件部署與應(yīng)用部署入侵防御系統(tǒng)入侵防御系統(tǒng)(IPS:IntrusionPreventionSystem)是電腦網(wǎng)絡(luò)安全設(shè)施，是對(duì)防病毒軟件和防火墻的補(bǔ)充。入侵防御系統(tǒng)是一種能夠監(jiān)視網(wǎng)絡(luò)變化、網(wǎng)絡(luò)資料傳輸?shù)刃袨榈木W(wǎng)絡(luò)安全設(shè)備，它能夠及時(shí)的中斷、調(diào)整或隔離一些不正?；蚴菙y帶病毒或木馬的網(wǎng)絡(luò)資料傳輸行為。注意入侵防御系統(tǒng)與入侵檢測(cè)系統(tǒng)的差別：入侵防御系統(tǒng)，在檢測(cè)入侵的基礎(chǔ)上還添加了阻斷功能，在一定程度上講，IPS相當(dāng)于IDS+防火墻。入侵防御系統(tǒng)異常流量入侵防御系統(tǒng)可以分析網(wǎng)絡(luò)流量和檢測(cè)異常流量越權(quán)訪問尋找未經(jīng)授權(quán)的訪問，并將未授權(quán)的設(shè)備移出網(wǎng)絡(luò)文件傳輸檢測(cè)并阻斷攜帶病毒木馬資料傳輸計(jì)算機(jī)病毒發(fā)展歷程原始病毒階段第一階段產(chǎn)生年限一般在1986-1989年之間。大多是單機(jī)運(yùn)行、種類也很有限。主要特點(diǎn)：攻擊目標(biāo)單一；主要通過截獲系統(tǒng)中斷向量方式監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，對(duì)目標(biāo)進(jìn)行傳染；不具備自我保護(hù)的措施，容易被分析和解剖?；旌闲筒《倦A段第二階段其產(chǎn)生的年限在1989－1991年之間，是計(jì)算機(jī)病毒由簡(jiǎn)單發(fā)展到復(fù)雜的階段。主要特點(diǎn)：工具目標(biāo)趨于混合；采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)；病毒程序往往采取了自我保護(hù)措施；出現(xiàn)許多病毒的變種等。多態(tài)性病毒階段第三階段此類病毒的主要特點(diǎn)是，在每次傳染目標(biāo)時(shí)，放入宿主程序中的病毒程序大部分都是可變的。這一階段的病毒技術(shù)開始向多維化方向發(fā)展。木馬演變歷程時(shí)間演變歷程1986年，出現(xiàn)世界上第一個(gè)木馬--PC-Write木馬。此木馬一旦運(yùn)行成功，磁盤就會(huì)被格式化第一代木馬偽裝型木馬出現(xiàn)于1989年，此木馬程序藏于軟盤當(dāng)中。當(dāng)軟盤被運(yùn)行時(shí)，木馬也隨之運(yùn)行，將硬盤加密并鎖定第二代木馬AIDS木馬這代木馬已經(jīng)非常成熟，兼?zhèn)鋫窝b和傳播等特性。利用網(wǎng)絡(luò)的便捷，能夠在互聯(lián)網(wǎng)中快速傳播，同時(shí)還具備一定免殺功能第三代木馬網(wǎng)絡(luò)傳播型木馬病毒與木馬發(fā)展趨勢(shì)可智能轉(zhuǎn)化的病毒與木馬安全研究人員發(fā)現(xiàn)一種智能化的新型病毒與木馬，該病毒與木馬通過惡意軟件形式入侵電腦，在植入之后會(huì)自行判斷感染主機(jī)的配置高低，然后再?zèng)Q定演變?yōu)楹畏N攻擊形態(tài)展開攻擊，更能發(fā)揮起作用。智能化選擇攻擊形態(tài)感染配置較高的主機(jī)，就會(huì)化身為挖礦病毒，通過惡意軟件發(fā)布指令使感染主機(jī)成為挖礦設(shè)備。感染配置較低的主機(jī)，就會(huì)化身為勒索病毒，會(huì)使用密鑰鎖定數(shù)據(jù)，用戶需要支付一定贖金才能換取解密密鑰。病毒與木馬發(fā)展趨勢(shì)自動(dòng)化病毒與木馬24小時(shí)自動(dòng)地監(jiān)測(cè)系統(tǒng)，當(dāng)系統(tǒng)開放了可以利用的端口或者運(yùn)行了相關(guān)服務(wù)，病毒與木馬立刻按照預(yù)定的程序執(zhí)行，完全不需要人為干預(yù)。病毒與木馬都嵌入了自動(dòng)化腳本。能夠自動(dòng)化選擇執(zhí)行時(shí)間，執(zhí)行路徑，甚至能自動(dòng)化隱藏自己（如自動(dòng)結(jié)束進(jìn)程、刪除自身等）來躲避殺毒軟件的查殺?？焖倩《九c木馬一旦感染系統(tǒng)，迅速蔓延至系統(tǒng)全部文件，對(duì)所有文件造成破壞