恶意代码分析课件.pptx

《恶意代码分析课件.pptx》由会员分享，可在线阅读，更多相关《恶意代码分析课件.pptx（66页珍藏版）》请在三一办公上搜索。

1、恶意代码分析与深层防护安全模型,虽然许多组织已经开发了防病毒软件，但恶意软件（病毒、蠕虫和特洛伊木马）仍在继续感染着世界各地的计算机系统。这表明，在每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。,1 恶意软件,一、什么是恶意软件“恶意软件”指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。1、特洛伊木马（1）远程访问特洛伊（2）Rootkit2、蠕虫3、病毒,二、恶意软件的特征1、目标环境（1）设备。（2）操作系统。（3）应用程序。2、携带者对象（1）可执行文件。（2）脚本。（3）宏。（4）启动扇区。,3、传输机制（1）可移动媒体。（2）网络共享。（3）网络扫描。（4）对

2、等(P2P)网络。（5）电子邮件。（6）远程利用。,4、负载 一旦恶意软件通过传输到达了宿主计算机，它通常会执行一个称为“负载”的操作，负载可以采用许多形式。常见负载类型包括：（1）后门。（2）数据损坏或删除。（3）信息窃取。（4）拒绝服务(DoS),5、触发机制 触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容：（1）手动执行。（2）社会工程。（3）半自动执行。（4）自动执行。（5）定时炸弹。（6）条件。,6、防护机制 许多恶意软件示例使用某种类型的防护机制，来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例：（1）装甲。（2）窃

3、取（3）加密。（4）寡态。（5）多态。,三、防病毒软件原理 防病毒软件专门用于防护系统，使其免受来自任何形式的恶意软件（而不仅仅是病毒）的侵害。防病毒软件可以使用许多技术来检测恶意软件。其技术工作原理包括：,1、签名扫描 搜索目标来查找表示恶意软件的模式。这些模式通常存储在被称为“签名文件”的文件中，签名文件由软件供应商定期更新，以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。主要问题：防病毒软件必须已更新为应对恶意软件。,2、启发式扫描 此技术通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是，它并不依赖于签名文件来识别和应对恶意软件。,启发式扫描的

4、问题：（1）错误警报。（2）慢速扫描。（3）新特征可能被遗漏。3、行为阻止 着重于恶意软件攻击的行为，而不是代码本身。,2 恶意软件分析,对恶意软件进行分析，了解其工作方式可以确保系统已被清理干净并减少再次感染和攻击的可能性。一、检查活动进程和服务二、检查启动文件夹 恶意软件可以尝试通过修改系统的启动文件夹来自行启动。检查每个启动文件夹中的条目，以确保在系统启动过程中没有恶意软件尝试启动。,三、检查计划的应用程序 恶意软件还可能（但很少见）尝试使用 Windows 计划程序服务启动未授权的应用程序。四、分析本地注册表 备份和恢复注册表。成功备份注册表后，在以下区域中检查任何异常的文件引用。（参

5、见书上示例）,五、检查恶意软件和损坏的文件1、对比 大多数恶意软件将修改计算机硬盘上的一个或多个文件，而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统，则可以将受到感染的系统直接与通过该映像创建的全新系统进行比较。2、搜索 可以使用 Windows 搜索工具，对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索，以确定哪些文件已被更改。,3、检查常用的隐藏区域 某些恶意软件攻击已经使用了有效的系统文件名，但将该文件置于其他文件夹中，以免被 Windows 文件保护服务检测到。例如，恶意软件曾使用一个名为 Svchost.exe 的文件，该文件通常安装在%WINDIR

6、%System32 文件夹中并在该文件夹中受到保护。直接在%WINDIR%文件夹中创建同名文件的恶意软件示例已被看到，因此必须检查完整路径和文件名。,恶意软件攻击用于放置和修改文件的某些常见目标区域包括：%Windir%。%System%。%Temp%。%Temporary Internet Files%。,六、检查用户和组 某些恶意软件攻击将尝试评估系统上现有用户的特权，或在拥有管理员特权的组中添加新新帐户。检查以下异常设置：旧用户帐户和组。不适合的用户名。包含无效用户成员身份的组。无效的用户权限。最近提升的任何用户或组帐户的特权。确认所有管理器组成员均有效。,七、检查共享文件夹 恶意软件的

7、另一个常见症状是使用共享文件夹传播感染。使用计算机管理 MMC 管理单元，或通过命令行使用 NetShare 命令检查受感染系统上的共享文件夹的状态。八、检查打开的网络端口 许多恶意软件一个常使用的技术是打开主机上的网络端口，使用这些端口获取该主机的访问。Netstat-an九、使用网络协议分析器 网络协议分析器工具可用于创建受感染主机传入和传出的数据的网络流量日志。,十、检查和导出系统事件日志 可以使用 Windows 系统事件日志识别各种异常行为。使用事件查看器管理控制台将每种类型的事件日志文件（应用程序、安全和系统）保存到可移动媒体，以便进一步分析。默认情况下，这些文件存储在 C:Win

8、ntSystem32Config 目录中，并分别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而，当系统处于活动状态时，这些文件将被锁定，因此应使用事件查看器管理工具导出。,3 深层恶意代码防护,许多组织在安装了防病毒软件后仍然感染了病毒。与网络安全设计一样，设计防病毒解决方案时采用深层防护方法，了解防护模型的每个层以及对应于每个层的特定威胁，以便在实施自己的防病毒措施时使用此信息，确保在设计时采用的安全措施将得到可能的维护。,一、恶意软件的威胁方法 恶意软件可以通过许多方法来损害目标，下面是最容易受到恶意软件攻击的区域：外部网络来宾客户端可执行文件

9、文档电子邮件可移动媒体,二、深层防护安全模型 在发现并记录了组织所面临的风险后，下一步就是检查和组织将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护，它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。图所示为深层防护安全模型定义的各层。,（1）数据层 攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。（2）应用程序层 攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。,（3）主机层 该层上的风险源自利用主机或

10、服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。例如：缓冲区溢出。Service Pack 和修复程序通常是针对此层。（4）内部网络层 内部网络所面临的风险主要与通过网络传输的敏感数据有关。,（5）外围网络层 与外围网络层（也称为 DMZ）关联的风险源自可以访问广域网(WAN)以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议(TCP)和用户数据报协议(UDP)端口。（6）物理安全层 物理层上的风险源自可以物理访问物理资产的攻击者。,（7）策略、过程和意识层 围绕安全模型所有层的是为满足和支持每个级别的要求所制定的策略和过程。提高组织中对所有相

11、关方的安全意识很重要，许多情况下，忽视风险可以导致安全违反。因此，培训也应该是任何安全模型的不可缺少的部分。,根据实际需要，可将深层防护安全模型细化。细化的深层病毒防护视图：,可以将数据层、应用程序层和主机层防护策略组合，作为客户端和服务器防护策略。虽然这些防护共享许多公共策略，但是实施客户端和服务器防护方面还是有一定的差异的。因此，应将客户端和服务器防护策略分开考虑和实施。内部网络层和外围层也可以组合到一个公共网络防护策略中，因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的，具体取决于组织基础结构中的设备位置和技术。,三、客户端防护 假定恶意软件已经通过前面的所有防护层，当其到

12、达主机时，防护系统必须集中于保护主机系统及其数据，并停止感染的传播。1、减小攻击面 应用程序层上的第一道防护是减小计算机的攻击面。应在计算机上删除或禁用所有不需要的应用程序或服务，最大限度地减少攻击者可以利用系统的方法数。,2、应用安全更新 可能连接到组织网络的客户端计算机数量很大，而且种类很多，仅这一点就可以导致很难提供快速而可靠的安全更新管理服务。Microsoft 和其他软件公司已经开发了许多可用来帮助解决此问题的工具。,3、启用基于主机的防火墙 基于主机的防火墙或个人防火墙是应该启用的重要客户端防护层。Windows XP 包括名为“Internet 连接防火墙”(ICF)的简单个人防

13、火墙。ICF 在被启用后将监视通过它的通信的所有方面。ICF 还检查它处理的每个数据包的源地址和目标地址，以确保每个通信都是允许的通信。强烈建议启用ICF。,4、安装防病毒软件 许多公司推出防病毒应用程序，其中的大多数在提供此保护方面都是很有效的，但是它们都要求经常更新以应对新的恶意软件。,5、测试漏洞扫描程序 在配置系统之后，应该定期检查它以确保没有留下安全漏洞。许多扫描软件来查找恶意软件和黑客可能试图利用的漏洞，其中的多数工具更新自己的扫描例程以保护系统免受最新漏洞的攻击。,6、使用最少特权策略 在客户端防护中不应忽视的是在正常操作下分配给用户的特权。Microsoft 建议采用这样的策略

14、：提供最少可能的特权，以便使得受到因利用用户特权的恶意软件的影响减到最小。对于通常具有本地管理特权的用户，这样的策略尤其重要。,7、限制未授权的应用程序 如果应用程序为网络提供一种服务，如 Microsoft Instant Messenger 或 Web 服务，则在理论上它可能成为恶意软件攻击的目标。,四、客户端应用程序的防护 这里提供恶意软件可能作为攻击目标的特定客户端应用程序的配置准则。,1、电子邮件客户端 如果恶意软件设法通过了网络和电子邮件服务器级别上的病毒防护，则可以进行一些配置以便为电子邮件客户端提供额外保护。通常，用户打开电子邮件的附件是恶意软件在客户端上传播是主要方式之一。因

15、此，可电子邮件客户端必须配置额外的步骤，用户将必须执行这些步骤才能打开附件。,例如，在 Microsoft Outlook 和 Outlook Express 中可以：使用 Internet Explorer 安全区域禁用 HTML 电子邮件中的活动内容。启用一项设置以便用户只能以纯文本格式查看电子邮件。阻止程序在未经特定用户确认的情况下发送电子邮件。阻止不安全的电子邮件附件。,2、桌面应用程序 随着桌面办公应用程序的日益强大，它们也成为恶意软件的攻击目标。宏病毒使用字处理器、电子表格或其他支持宏的应用程序创建的文件复制自身。应该尽可能采取措施，以确保在环境中处理这些文件的所有应用程序上启用最

16、合适的安全设置。,3、即时消息应用程序 虽然文本消息不会构成直接的恶意软件威胁，但是大多数即时消息（Instant Messenger）客户端提供另外的文件传输功能以提高用户的通信能力。允许文件传输就提供了进入组织网络的直接路由，因而有可能受到恶意软件的攻击。网络防火墙只需筛选用于此通信的端口，即可阻止这些文件传输。,如果文件传输而无法应用防火墙阻止这些端口，则应该确保在传输所有文件之前对其扫描以确定是否存在恶意软件。应该将即时消息应用程序配置为：一收到文件，就自动将传输的文件传递到防病毒应用程序进行扫描。例如，可以将 MSN Messenger 配置为自动扫描传输的文件。,4、Web 浏览器

17、 从 Internet 下载或执行代码之前，希望确保知道它来自已知的、可靠的来源。用户不应该仅依赖于站点外观或站点地址，因为网页和网址都可以是伪造的。已经有许多方法和技术来帮助用户的 Web 浏览器应用程序确定用户所浏览网站的可靠性。例如，IE 使用 Authenticode 技术（证书）验证已下载代码的身份。,5、对等应用程序 P2P 应用程序便利了文件查找和交换。但是，许多恶意软件试图使用这些应用程序将文件复制到其他用户的计算机。蠕虫（如 W32.HLLW.Sanker）已经将 P2P 应用程序（如 Kazaa）作为攻击目标以达到复制目的。建议使用前面所述的 Windows 软件限制策略阻

18、止用户运行对等应用程序。,5 服务器防护,环境中的服务器防护与客户端防护有许多共同之处，二者都试图保护单个计算机环境。两者的主要差异在于：服务器防护在可靠性和性能方面的预期级别通常高得多。此外，许多服务器在组织基础结构中起到的专门作用，通常需要制定专门的防护方案。,1、减小攻击面。从服务器中删除不需要的服务和应用程序，将其攻击面减到最小。2、应用安全更新。如有可能，确保服务器运行的都是最新的安全更新。3、启用基于主机的防火墙。4、使用漏洞扫描程序进行测试。使用 Windows Server 2003 上的 MBSA 帮助识别服务器配置中可能存在的漏洞。,5、一般的服务器防病毒软件 为客户端环境

19、（如 XP）设计的防病毒应用程序和为服务器环境（如 2003）设计的防病毒应用程序之间的主要差异在于：基于服务器的扫描程序和任何基于服务器的服务（如消息服务或数据库服务）之间的集成级别。许多基于服务器的防病毒应用程序还提供了远程管理功能，以最大限度地减少物理访问服务器控制台的需要。,在为服务器环境评估防病毒软件时应该考虑的其他重要问题包括：扫描期间的 CPU 使用率。应用程序可靠性。管理开销。应用程序互操作性。,2、角色特定的防病毒配置和软件 现在，有许多可用于企业中特定服务器角色的专用防病毒配置、工具和应用程序。应用程序特定的防病毒解决方案通常提供更佳的保护和性能，因为它们设计用于与特定服务

20、集成在一起，而不是试图在文件系统级服务的下面起作用。,Web 服务器 所有类型的组织中的 Web 服务器（如 IIS）都是安全攻击的目标。不管攻击来自恶意软件（如 CodeRed）还是来自试图破坏组织网站的黑客，充分配置 Web 服务器上的安全设置以最大限度地防御这些攻击都是很重要的。除了此指导外，还可以下载某些免费工具，它们将在 IIS 上自动执行许多安全配置。例如，IIS Lockdown Tool和UrlScan。,消息服务器为组织中的电子邮件服务器设计有效的防病毒解决方案时，要牢记两个目标。一是防止服务器本身受到恶意软件的攻击。二是阻止任何恶意软件通过电子邮件系统进入组织中用户的邮箱。

21、一般来说，标准文件扫描防病毒解决方案无法阻止电子邮件服务器将恶意软件作为附件传递到客户端。但是以下两种基本类型的电子邮件防病毒解决方案通常是可用的：,SMTP 网关扫描程序。这些基于简单邮件传输协议(SMTP)的电子邮件扫描解决方案通常称为防病毒“网关”解决方案。优点：可以用于所有的 SMTP 电子邮件服务，而不是仅用于特定电子邮件服务器产品。缺点：由于这些解决方案依赖于 SMTP 电子邮件协议，因此它们在可以提供的某些更高级功能方面受到限制。,集成的服务器扫描程序。这些专用防病毒应用程序直接与特定的电子邮件服务器产品一起工作。这些应用程序确实有许多优点。例如，它们可以与高级服务器功能直接集成

22、在一起，它们设计为与电子邮件服务器使用相同的硬件。,数据库服务器 在考虑数据库服务器（如 SQL Server）的病毒防护时，需要保护以下四个主要元素：主机。运行数据库的一个或多个服务器。数据库服务。在主机上运行的为网络提供数据库服务的各种应用程序。数据存储区。存储在数据库中的数据。数据通信。网络上数据库主机和其他主机之间使用的连接和协议。,由于数据存储区内的数据不能直接执行，因此通常认为数据存储区本身不需要扫描。目前，没有专为数据存储区编写的主要防病毒应用程序。但是，在进行防病毒配置时，应该仔细考虑数据库服务器的主机、数据库服务和数据通信这些元素。,6 网络防护层,在已记录的恶意软件事件中，

23、通过网络发动的攻击是最多的。通常，发动恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基础结构中的主机设备。这些设备可以是客户端、服务器、路由器，甚至是防火墙。存在一种日益增长的趋势：许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。这正好符合深层防护安全模型。,第一个网络防护指外围网络防护，这些防护旨在防止恶意软件通过外部攻击进入内部网络。应该使用常规安全防护措施，以确保只有经过授权的人员才能访问内部网络的数据。假定网络安全设计已经为组织提供了所需的标识、授权、加密和保护级别，以防止未经授权的攻击者直接侵入。但是，此时病毒防护仍是不完整的。下一步是

24、将网络层防护配置为检测和筛选使用允许的网络通信（如电子邮件、Web 浏览和即时消息）的恶意软件攻击。,1、网络防病毒配置2、网络入侵检测系统3、应用程序层筛选 使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容（如病毒）不仅是有用的，而且是必需的。防火墙仅允许根据源或目标 IP 地址或者特定的 网络端口来筛选网络流量。应用程序层筛选(ALF)在 OSI 网络模型的应用程序层上工作，因此它允许根据数据的内容检查和筛选。,4、内容扫描 内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的，则它通常与电子邮件服务器协同工作以检查电子邮件的特性（如附件

25、）。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。,5、URL 筛选 使用它阻止有问题的网站。例如，使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。网络管理员可以使用两种基本的 URL 筛选方法：阻止列表。允许列表6、隔离网络 为保护网络可以使用的另一种方法是：为不满足组织最低安全要求的计算机建立隔离网络。,7 物理安全性,与其说物理安全性是特定的恶意软件问题，不如说它是一般的安全问题，但是如果没有用于组织基础结构中所有客户端、服务器和网络设备的有效物理防护计划，则无法避免恶意软件的攻击。在有效的物理防护计划中有许多关键元素，其中包括：,建立安全性人员安

26、全性网络接入点服务器计算机工作站计算机移动计算机和设备 如果攻击者损害其中的任一元素，则风险级别增加，恶意软件可以绕过外部和内部网络防护边界感染网络上的主机。,8 策略、过程和意识,客户端、服务器和网络的操作策略及过程是病毒防护层的基本方面。,1、制定策略防病毒扫描例程。防病毒签名更新例程。允许的应用程序和服务的相关策略。变更控制。网络监视。攻击检测过程。家用计算机网络访问策略。访问者网络访问策略。无线网络策略。,2、安全更新策略检查更新。下载更新。测试更新。部署更新。,3、用户意识 有必要使用户了解他们可以避免的常见风险：打开电子邮件附件。使用弱密码。从不受信任的网站下载应用程序和 ActiveX 控件。从未经授权的可移动媒体运行应用程序。允许访问组织的数据和网络。,