【文档说明】计算机防病毒技术培训(69张)课件.ppt，共(72)页，1.697 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77337.html

以下为本文档部分文字说明：

计算机防病毒技术培训(69张)课件1.病毒概述2.常见病毒类型说明及行为分析3.病毒处理技术4.典型病毒案例分析培训课程安排病毒概述当前用户面临的威胁随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁：病毒PE蠕虫WO

RM木马TROJ后门BKDR间谍软件TSPY其他以上统称为恶意代码。当前用户面临的威胁ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharming

BotsAdwareTrojanSpywareDownloadersDroppersPasswordStealersBackdoors防间谍软件产品覆盖范围防病毒产品覆盖范围现代计算机病毒的分类病毒特洛伊木马后门木

马蠕虫恶意软件间谍软件(有恶意行为)间谍软件(无恶意行为)灰色软件（正邪难辨）(往往是用户不需要的程序)恶意程序：一种会带来危害结果的程序特洛伊木马：伪装成正常的应用程序或其它正常文件后门木马：一种会在主机上

开放端口让远程计算机远程访问的恶意程序现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件(有恶意行为)间谍软件(无恶意行为)灰色软件（正邪难辨）(往往是用户不需要的程序)病毒：病毒会复制（感染）其它文件通过各种方法A.前附着B.插入C.覆

盖D.后附着蠕虫:蠕虫自动传播自身的副本到其他计算机：A.通过邮件（邮件蠕虫）B.通过点对点软件(点对点蠕虫)C.通过IRC(IRC蠕虫)D.通过网络(网络蠕虫)现代计算机病毒的分类病毒特洛伊木马后门木马蠕虫恶意软件间谍软件(有恶意行为)间谍软件(无恶意

行为)灰色软件（正邪难辨）(往往是用户不需要的程序)间谍软件：此类软件会监测用户的使用习惯和个人信息，并且会将这些信息在未经用户的认知和许可下发送给第三方。包括键盘纪录，事件日志，cookies，屏幕信息等

，或者是上面所列的信息的组合。对系统的影响表现为系统运行速度下降，系统变得不稳定，甚至当机。恶意的间谍软件灰色软件(无恶意的间谍软件)来源病毒制造者，黑客一些合法的软件开发程序员是否被视为恶意程序？肯定是不确定，

依赖于用户的看法检测此类程序是否会带来法务上的问题？否是Pattern文件格式LPT$VPN.xxxTMAPTN.PTN检测与否默认开启默认关闭，用户必须手动开启恶意程序灰色地带间谍软件不同种类的间谍软件当前病毒流行趋势范围：全球性爆发逐渐转变为地域性爆发如WOR

M_MOFEI.B等病毒逐渐减少TSPY_QQPASS,TSPY_WOW,PE_LOOKED等病毒逐渐增加速度：越来接近零日攻击(Zero-DayAttack)如WORM_ZOTOB,WORM_DOWNAD(飞客),欧洛拉（googl

e）等方式：病毒、蠕虫、木马、间谍软件联合如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒常见病毒类型说明及行为分析•木马病毒：TROJ_XXXX.XX•后门程序：BKDR_XXXX.XX•蠕虫病毒：WORM_XXXX.XX•间谍软件：TSPY_XXXX.XX

•广告软件：ADW_XXXX.XX•文件型病毒：PE_XXXX.XX•引导区病毒：目前世界上仅存的一种引导区病毒POLYBOOT-B•加壳软件：PACKER_XXXX.XX趋势科技对恶意程序的分类病毒感染系统时，感染的过程

大致可以分为：通过某种途径传播，进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能如：打开后门等待连接发起DDOS攻击进行键盘记录……病毒感染的一般方式除引导区病毒外，所有其他类型的病毒，无一例外，

均要在系统中执行病毒代码，才能实现感染系统的目的。对于不同类型的病毒，它们传播、感染系统的方法也有所不同。常见病毒传播途径常见病毒传播途径•传播方式主要有：电子邮件网络共享P2P共享系统漏洞移动磁盘传播IE零日攻击Adobe漏洞Wind

ows操作系统漏洞U盘病毒常见病毒传播途径电子邮件•HTML正文可能被嵌入恶意脚本，•邮件附件携带病毒压缩文件•利用社会工程学进行伪装，增大病毒传播机会•快捷传播特性例：WORM_MYTOB，WORM_STRA

TION等病毒常见病毒传播途径网络共享•病毒会搜索本地网络中存在的共享，包括默认共享如ADMIN$,IPC$,E$,D$,C$•通过空口令或弱口令猜测，获得完全访问权限病毒自带口令猜测列表•将自身复制到网络共享文件夹中通常以游戏,CDKEY等相关名字命名例：WORM_SDBOT等

病毒常见病毒传播途径P2P共享软件•将自身复制到P2P共享文件夹通常以游戏,CDKEY等相关名字命名•通过P2P软件共享给网络用户•利用社会工程学进行伪装，诱使用户下载例：WORM_PEERCOPY.A等病毒常见病毒传播途径系统漏洞•由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方

式利用后,可执行任意代码,这就是系统漏洞.•病毒往往利用系统漏洞进入系统,达到传播的目的。•常被利用的漏洞–RPC-DCOM缓冲区溢出(MS03-026)–WebDAV(MS03-007)–LSASS(MS04-011)(LocalSecurityA

uthoritySubsystemService)例：WORM_MYTOB、WORM_SDBOT等病毒常见病毒传播途径案例•SQLSlammer–攻击网络上任意IP的1434端口，实现DDOS攻击–造成大量网络流量，阻塞网络•2005年3月，国内某银行一台服务器感染该病毒

，导致核心交换机负载达到99%，引起网络瘫痪–从ServerProtect日志中确认为SQLSlammer病毒–SQL服务器未安装补丁–安装SQLServer2000SP3，并再次使用ServerProtect查杀病毒，问题解决。Google被黑事件“极光行动OperationAurora”

或“欧若拉行动”攻击使用的是以前所有版本的IE中都未发现的漏洞，除了5.01(CVE-2010-0249).在最近的安全咨询中，微软承认此漏洞被利用来攻击谷歌和其他机构，并且推荐了一些变通解决方案来减少此漏洞带来的影响。

百度“被黑”事件•不法分子并没有攻击百度的服务器，而是选取美国域名注册商为攻击对象，非法篡改。•在此次攻击事件当中，黑客实际上是绕开了百度本身的安全保护，而攻击了DNS管理服务器常见病毒传播途径移动存储设备•利用自动播放、自动执行功能进

行传播。•和使用者操作习惯相关。•多通过U盘等移动存储设备传播，故又被称为“U盘病毒”•例子，PE_PAGIPEF等病毒常见病毒传播途径•其他常见病毒感染途径：网页感染与正常软件捆绑用户直接运行病

毒程序由其他恶意程序释放目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。广告软件/灰色软件由于广告软件/灰色软件的定义，它们有时候是由用户主动安装，更多的是与其他正常

软件进行绑定。常见病毒传播途径•及时更新系统和应用软件补丁，修补漏洞•强化密码设置的安全策略，增加密码强度•加强网络共享的管理•增强员工的病毒防范意识防止病毒入侵自启动特性除引导区病毒外，绝大多数病毒感染系统后，都具有自启动

特性。病毒在系统中的行为是基于病毒在系统中运行的基础上的，这就决定了病毒必然要通过对系统的修改，实现开机后自动加载的功能。病毒自启动方式修改注册表将自身添加为服务将自身添加到启动文件夹修改系统配置文件加载方式服务和进程－病毒程序直接运行嵌入系统正常进程－DL

L文件和OCX文件等驱动－SYS文件修改注册表–注册表启动项–文件关联项–系统服务项–BHO项–其他病毒自启动方式•注册表启动HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下：RunServicesRunService

sOnceRunRunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下：RunRunOnce（当次运行时出现）RunServices•以上这些键一般用于在系统启动时

执行特定程序病毒自启动方式•文件关联项HKEY_CLASSES_ROOT下：•exefile\shell\open\command]@="\"%1\"%*"•comfile\shell\open\command]@="\"%1\"%*"•batfil

e\shell\open\command]@="\"%1\"%*"•htafile\Shell\Open\Command]@="\"%1\"%*"•piffile\shell\open\command]@="\"%1\"%*“•……•病毒将"

%1%*"改为“virus.exe%1%*"•virus.exe将在打开或运行相应类型的文件时被执行病毒自启动方式修改配置文件•%windows%\wininit.ini中[Rename]节NUL=c:\windows\virus.exe将c:\windows\virus.exe设置为

NUL,表示让windows在将virus.exe运行后删除.•Win.ini中的[windows]节load=virus.exerun=virus.exe这两个变量用于自动启动程序。•System.ini中的[boot]节

Shell=Explorer.exe,virus.exeShell变量指出了要在系统启动时执行的程序列表。病毒自启动方式病毒常修改的Bat文件•%windows%\winstart.bat该文件在每次系统

启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。•Autoexec.bat在DOS下每次自启动病毒自启动方式修改启动文件夹(比较少，如磁碟机)•当前用户的启动文件夹可以通过如下注册表键获得:Software\Mi

crosoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp项•公共的启动文件夹可以通过如下注册表键获得:Software\Microsoft\Windows\CurrentVersion\Explorer\She

llFolders中的CommonStartUp项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。病毒自启动方式病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高C

PU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。常见病毒行为无论病毒在系统表现形式如何„我们需要关注的是病毒的隐性行为！下载特性很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他

变种。后门特性后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。下载与后门特性-

Downloader&Backdoor信息收集特性大多数间谍软件和一些木马都会收集系统中用户的私人信息，特别各种帐号和密码。收集到的信息通常都会被病毒通过自带的SMTP引擎发送到指定的某个指定的邮箱。信息收集特性-StealerQQ密码和聊天记录网络游戏帐号密码网

上银行帐号密码用户网页浏览记录和上网习惯„„自身隐藏特性多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性，更有一些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改，以使其更加隐蔽不易被发

现。自身隐藏特性-Hide&Rootkit有一些病毒会使用Rootkit技术来隐藏自身的进程和文件，使得用户更难以发现。使用Rootkit技术的病毒，通常都会有一个.SYS文件加载在系统的驱动中，用以实现Rootkit技术的隐藏功能。文件感染特性文件型病毒的一个特性是感染系统中部分/所有的可执行

文件。病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。有的文件型病毒会感染系统中其他类型的文件。文件感染特性-Infector典型-•PE_LOOKED维京•

PE_FUJACKS熊猫烧香网络攻击一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击，从而导致受攻击的计算机出现各种异常现象，或是通过漏洞在受攻击的计算机上远程执行恶意代码。一些木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问

网络。有的木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。网络攻击特性-Attacker振荡波－利用MS04-011漏洞攻击ARP攻击网络攻击特

性-Attacker案例•ARP攻击/欺骗–利用ARP协议自身的高信任特性，欺骗用户端ARP缓存表中的记录–客户端连接到虚假网关地址，无法上网，引起局域网瘫痪•2006年8月，某公司多台计算机感染具有A

RP欺骗特性的病毒，引起办公、开发的部分网段频繁出现网络时通时断现象–这部分客户机长期无人维护–补丁缺失，无防毒软件–安装多种恶意软件病毒处理技术疑似病毒现象•经常出现系统错误或系统崩溃•系统反应变慢，网络拥塞•陌生进程或服务•可疑的打开端

口•可疑的自启动程序•病毒邮件进行系统诊断•趋势科技提供SIC工具(systeminformationcollector)进行系统的诊断，并收集系统信息，包括–网络共享–网络连接–注册表自启动项–已注册的系统

服务–当前进行列表–引导区信息等其他工具：HijackThis，SREng病毒清除方法•标识病毒文件和进程•中止病毒进程或服务–使用windows自带的任务管理器–使用第三方的进程管理工具，如processexplorer或

是pstools。病毒清除方法•恢复注册表的设定根据病毒修改的具体情况，删除或还原相应的注册表项。您可以从趋势科技网站的以下链接中查找病毒相关的信息：http://www.trendmicro.com.cn/vinfo/virusencyclo/default.asp工具：注册表编辑器regedi

t.exe您可以用以下命令运行:command/ccopy%WinDir%\regedit.exeregedit.com|regedit.com提示：如果您不确信找到的键值是不是属于该病毒的，您可以写信给趋势科技的技术人员寻求进一步的信息。

病毒清除方法恢复系统配置文件的设定检查Win.ini配置文件的[windows]节中的项：如:[windows]load=virus.exerun=virus.exe检查System.ini配置文件的[boot]节中的项：如:[b

oot]Shell=Explorer.exevirus.exe删除病毒相关的部分.常用工具介绍•工具：•SIC，HijackThis系统诊断•ProcessExplorer分析进程•TCPView分析网络连接•Regmon,InstallRite监视注册表•Filemon,InstallRite

监视文件系统•WinPEInstallRite•InstallRite功能:•跟踪文件系统的变化•跟踪注册表的变换•注:若恶意程序带有RootKit功能,请重启后进入安全模式再分析系统变化(如灰鸽子某些变种)•局限性:解决

方法•无法跟踪进程树的变化„ProcessExplorer•无法跟踪网络连接和端口情况„TCPViewerInstallRite演示InstallRite演示ProcessExplorer•ProcessExplorer功能:•用来查看系统中正在

运行的进程列表•可以查看有些隐藏的进程•可以查看某个进程的具体信息•可以搜索引用某个dll文件的所有进程•动态刷新列表ProcessExplorer演示TCPView•TCPView功能:•查看系统的网络连接信息(远程地址,协议,端口号)•查看系统的网络连接状况(发起连接,已连接,已断开)•

查看进程打开的端口•动态刷新列表•多用于查看蠕虫,后门,间谍等恶意程序TCPView演示Regmon•Regmon主要功能:•监视系统中注册表的操作:•如注册表的打开,写入,读取,查询,删除,编辑等•多用于监视病毒的自启动信息和方式.•553.4.4Regmon演示Filemon•Filemo

n主要功能:•监视文件系统的操作:•如建立文件,打开文件,写文件,•读文件,查询文件信息等•多用于查找Dropper的主体程序.Filemon演示WinPE•微软在2002年7月22日推出了WindowsPreInstallati

onEnvironment（简称WinPE）•按微软官方对它的定义是：“Windows预安装环境（WinPE）是带有限服务的最小Win32子系统，基于以保护模式运行的WindowsXPProfessional内核。WinPE•WinPE可用于清

除有些顽固的PE病毒(文件感染型)–有时在Windows环境下,用杀毒软件无法彻底清除文件感染型病毒或关键系统文件已被病毒损坏或替换.–WinPE启动后为干净的系统(无毒)–WinPE集成了很多常用的工具典型病毒案例分析案例：灰鸽子BKDR_HUPIGON灰鸽子的自行安装•

在无意中执行了灰鸽子后门程序后,会在windows目录中释放4个文件：–G_SERVER.DLL–G_SERVER.EXE【copyofitself】–G_SERVER_HOOK.DLL–G_SERVERKEY.DLL•使用了rootkit技术隐藏

以上文件，导致用户手工查看时不可见。案例：灰鸽子BKDR_HUPIGON•灰鸽子的自启动：注册为服务–通过将自身注册成服务，并添加以下注册表服务项，常驻内存HKEY_LOCAL_MACHINE\Syst

em\CurrentControlSet\Services\GrayPigeonServer•执行后门功能：打开一个随机的端口，允许远程用户连接受感染系统。一旦连接成功，它将在本地执行以下命令–Createregistry

entries–Start\killservices–Start\killprocesses–Createfilesinanyfolderchosenbytheremoteuser–Createthreads–Getdiskstatus–DownloadfilesfromtheInter

nettotheaffectedsystem–Logkeystrokes–Injectprocesses案例：灰鸽子BKDR_HUPIGON•清除灰鸽子BKDR_HUPIGON以windowsXP为例，步骤如下：①关闭XP系统还原；②重启进入安全模式，由于正常模

式下文件不可见；③打开文件夹的显示隐藏文件、系统文件功能；④找到并删除windows目录下灰鸽子的4个文件；⑤打开regedit，删除HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services下的GrayPigeonSe

rver项；⑥清除完成。案例：灰鸽子BKDR_HUPIGON演示:灰鸽子BKDR_HUPIGON附录•反病毒处理流程TrendMicroConfidential3/3/2019•67Q&A?Thankyou!谢谢！TrendMicroConfidential3/3/2019•6

9•1、想要体面生活，又觉得打拼辛苦；想要健康身体，又无法坚持运动。人最失败的，莫过于对自己不负责任，连答应自己的事都办不到，又何必抱怨这个世界都和你作对？人生的道理很简单，你想要什么，就去付出足够的努力。•2、时间是最公平的，活一天就拥有24小时，差别只是珍惜。你若不相信努力和时光，时光

一定第一个辜负你。有梦想就立刻行动，因为现在过的每一天，都是余生中最年轻的一天。•3、无论正在经历什么，都请不要轻言放弃，因为从来没有一种坚持会被辜负。谁的人生不是荆棘前行，生活从来不会一蹴而就，也不会永远安稳，只要努力，就能做独一无二平凡可贵的自己。•4、努力本就是年轻人应有的

状态，是件充实且美好的事，可一旦有了表演的成分，就会显得廉价，努力，不该是为了朋友圈多获得几个赞，不该是每次长篇赘述后的自我感动，它是一件平凡而自然而然的事，最佳的努力不过是：但行好事，莫问前程。愿努力，成就更好的你！•5、付出努力却没能实现的梦想，爱了很久却没能在一起的人，活得用

力却平淡寂寞的青春，遗憾是每一次小的挫折，它磨去最初柔软的心智、让我们懂得累积时间的力量；那些孤独沉寂的时光，让我们学会守候内心的平和与坚定。那些脆弱的不完美，都会在努力和坚持下，改变模样。•6、人生中总会有一段艰难的路，需要自己独自走完，没人帮助，没人陪伴，不必畏惧，昂头走过去就是

了，经历所有的挫折与磨难，你会发现，自己远比想象中要强大得多。多走弯路，才会找到捷径，经历也是人生，修炼一颗强大的内心，做更好的自己！•7、“一定要成功”这种内在的推动力是我们生命中最神奇最有趣的东西。一个人要

做成大事，绝不能缺少这种力量，因为这种力量能够驱动人不停地提高自己的能力。一个人只有先在心里肯定自己，相信自己，才能成就自己！•8、人生的旅途中，最清晰的脚印，往往印在最泥泞的路上，所以，别畏惧暂时的困顿，即使无人鼓掌，也要全情投入，优雅坚持。真正改

变命运的，并不是等来的机遇，而是我们的态度。•9、这世上没有所谓的天才，也没有不劳而获的回报，你所看到的每个光鲜人物，其背后都付出了令人震惊的努力。请相信，你的潜力还远远没有爆发出来，不要给自己的人生设限，你自以为的极限，只是别人的起点。写给渴望突破瓶颈、实现快速跨

越的你。•10、生活中，有人给予帮助，那是幸运，没人给予帮助，那是命运。我们要学会在幸运青睐自己的时候学会感恩，在命运磨练自己的时候学会坚韧。这既是对自己的尊重，也是对自己的负责。•11、失败不可怕，可怕的是从来没有努

力过，还怡然自得地安慰自己，连一点点的懊悔都被麻木所掩盖下去。不能怕，没什么比自己背叛自己更可怕。•12、跌倒了，一定要爬起来。不爬起来，别人会看不起你，你自己也会失去机会。在人前微笑，在人后落泪，可这是每个人都要学会

的成长。•13、要相信，这个世界上永远能够依靠的只有你自己。所以，管别人怎么看，坚持自己的坚持，直到坚持不下去为止。•14、也许你想要的未来在别人眼里不值一提，也许你已经很努力了可还是有人不满意，也许你的理想离你的距离从来没有拉近过......但请你继续向前走，因为别人

看不到你的努力，你却始终看得见自己。•15、所有的辉煌和伟大，一定伴随着挫折和跌倒；所有的风光背后，一定都是一串串揉和着泪水和汗水的脚印。•16、成功的反义词不是失败，而是从未行动。有一天你总会明白，遗憾比失败更让你难以面对。•

17、没有一件事情可以一下子把你打垮，也不会有一件事情可以让你一步登天，慢慢走，慢慢看，生命是一个慢慢累积的过程。•18、努力也许不等于成功，可是那段追逐梦想的努力，会让你找到一个更好的自己，一个沉默努力充实安静的自己。•19、你相信梦想，梦想才会相信你。有一种落差是，你配

不上自己的野心，也辜负了所受的苦难。•20、生活不会按你想要的方式进行，它会给你一段时间，让你孤独、迷茫又沉默忧郁。但如果靠这段时间跟自己独处，多看一本书，去做可以做的事，放下过去的人，等你度过低潮，那些独处的时光必定能照亮你的路，也是这些不堪陪你成

熟。所以，现在没那么糟，看似生活对你的亏欠，其实都是祝愿。