惡意代碼分析課件

惡意代碼分析與深層防護安全模型

雖然許多組織已經開發(fā)了防病毒軟件，但惡意軟件（病毒、蠕蟲和特洛伊木馬）仍在繼續(xù)感染著世界各地的計算機系統(tǒng)。這表明，在每臺計算機上部署防病毒軟件的標準方法可能不足以應對惡意軟件。惡意代碼分析與深層防護安全模型

雖然許多組織已1§1惡意軟件一、什么是惡意軟件“惡意軟件”指故意在計算機系統(tǒng)上執(zhí)行惡意任務的病毒、蠕蟲和特洛伊木馬。1、特洛伊木馬（1）遠程訪問特洛伊（2）Rootkit2、蠕蟲3、病毒§1惡意軟件一、什么是惡意軟件2二、惡意軟件的特征1、目標環(huán)境（1）設備。（2）操作系統(tǒng)。（3）應用程序。2、攜帶者對象（1）可執(zhí)行文件。（2）腳本。（3）宏。（4）啟動扇區(qū)。二、惡意軟件的特征33、傳輸機制（1）可移動媒體。（2）網絡共享。（3）網絡掃描。（4）對等(P2P)網絡。（5）電子郵件。（6）遠程利用。3、傳輸機制44、負載一旦惡意軟件通過傳輸到達了宿主計算機，它通常會執(zhí)行一個稱為“負載”的操作，負載可以采用許多形式。常見負載類型包括：（1）后門。（2）數據損壞或刪除。（3）信息竊取。（4）拒絕服務(DoS)4、負載55、觸發(fā)機制觸發(fā)機制是惡意軟件的一個特征，惡意軟件使用此機制啟動復制或負載傳遞。典型的觸發(fā)機制包括以下內容：（1）手動執(zhí)行。（2）社會工程。（3）半自動執(zhí)行。（4）自動執(zhí)行。（5）定時炸彈。（6）條件。5、觸發(fā)機制66、防護機制許多惡意軟件示例使用某種類型的防護機制，來降低被發(fā)現和刪除的可能性。以下列表提供了一些已被使用的技術的示例：（1）裝甲。（2）竊取（3）加密。（4）寡態(tài)。（5）多態(tài)。6、防護機制7三、防病毒軟件原理防病毒軟件專門用于防護系統(tǒng)，使其免受來自任何形式的惡意軟件（而不僅僅是病毒）的侵害。防病毒軟件可以使用許多技術來檢測惡意軟件。其技術工作原理包括：三、防病毒軟件原理81、簽名掃描搜索目標來查找表示惡意軟件的模式。這些模式通常存儲在被稱為“簽名文件”的文件中，簽名文件由軟件供應商定期更新，以確保防病毒掃描器能夠盡可能多地識別已知的惡意軟件攻擊。主要問題：防病毒軟件必須已更新為應對惡意軟件。惡意代碼分析課件92、啟發(fā)式掃描此技術通過查找通用的惡意軟件特征，來嘗試檢測新形式和已知形式的惡意軟件。此技術的主要優(yōu)點是，它并不依賴于簽名文件來識別和應對惡意軟件。2、啟發(fā)式掃描10

啟發(fā)式掃描的問題：（1）錯誤警報。（2）慢速掃描。（3）新特征可能被遺漏。3、行為阻止著重于惡意軟件攻擊的行為，而不是代碼本身。啟發(fā)式掃描的問題：11§2惡意軟件分析

對惡意軟件進行分析，了解其工作方式可以確保系統(tǒng)已被清理干凈并減少再次感染和攻擊的可能性。一、檢查活動進程和服務二、檢查啟動文件夾惡意軟件可以嘗試通過修改系統(tǒng)的啟動文件夾來自行啟動。檢查每個啟動文件夾中的條目，以確保在系統(tǒng)啟動過程中沒有惡意軟件嘗試啟動。§2惡意軟件分析對惡意軟件進行分12三、檢查計劃的應用程序惡意軟件還可能（但很少見）嘗試使用Windows計劃程序服務啟動未授權的應用程序。四、分析本地注冊表備份和恢復注冊表。成功備份注冊表后，在以下區(qū)域中檢查任何異常的文件引用。（參見書上示例）三、檢查計劃的應用程序13五、檢查惡意軟件和損壞的文件1、對比大多數惡意軟件將修改計算機硬盤上的一個或多個文件，而查找已受到影響的文件可能是一個很困難的過程。如果通過映像創(chuàng)建了系統(tǒng)，則可以將受到感染的系統(tǒng)直接與通過該映像創(chuàng)建的全新系統(tǒng)進行比較。2、搜索可以使用Windows搜索工具，對自從惡意軟件首次引入系統(tǒng)時更改的所有文件進行系統(tǒng)范圍的搜索，以確定哪些文件已被更改。五、檢查惡意軟件和損壞的文件143、檢查常用的隱藏區(qū)域某些惡意軟件攻擊已經使用了有效的系統(tǒng)文件名，但將該文件置于其他文件夾中，以免被Windows文件保護服務檢測到。例如，惡意軟件曾使用一個名為Svchost.exe的文件，該文件通常安裝在%WINDIR%\System32文件夾中并在該文件夾中受到保護。直接在%WINDIR%文件夾中創(chuàng)建同名文件的惡意軟件示例已被看到，因此必須檢查完整路徑和文件名。3、檢查常用的隱藏區(qū)域15

惡意軟件攻擊用于放置和修改文件的某些常見目標區(qū)域包括：%Windir%。%System%。%Temp%。%TemporaryInternetFiles%。惡意軟件攻擊用于放置和修改文件的某些常見16六、檢查用戶和組某些惡意軟件攻擊將嘗試評估系統(tǒng)上現有用戶的特權，或在擁有管理員特權的組中添加新新帳戶。檢查以下異常設置：舊用戶帳戶和組。不適合的用戶名。包含無效用戶成員身份的組。無效的用戶權限。最近提升的任何用戶或組帳戶的特權。確認所有管理器組成員均有效。六、檢查用戶和組17

七、檢查共享文件夾惡意軟件的另一個常見癥狀是使用共享文件夾傳播感染。使用計算機管理MMC管理單元，或通過命令行使用NetShare命令檢查受感染系統(tǒng)上的共享文件夾的狀態(tài)。八、檢查打開的網絡端口許多惡意軟件一個常使用的技術是打開主機上的網絡端口，使用這些端口獲取該主機的訪問。Netstat-an九、使用網絡協(xié)議分析器網絡協(xié)議分析器工具可用于創(chuàng)建受感染主機傳入和傳出的數據的網絡流量日志。七、檢查共享文件夾18十、檢查和導出系統(tǒng)事件日志可以使用Windows系統(tǒng)事件日志識別各種異常行為。使用事件查看器管理控制臺將每種類型的事件日志文件（應用程序、安全和系統(tǒng)）保存到可移動媒體，以便進一步分析。默認情況下，這些文件存儲在C:\Winnt\System32\Config\目錄中，并分別稱為AppEvent.evt、SecEvent.evt和SysEvent.evt。然而，當系統(tǒng)處于活動狀態(tài)時，這些文件將被鎖定，因此應使用事件查看器管理工具導出。十、檢查和導出系統(tǒng)事件日志19§3深層惡意代碼防護

許多組織在安裝了防病毒軟件后仍然感染了病毒。與網絡安全設計一樣，設計防病毒解決方案時采用深層防護方法，了解防護模型的每個層以及對應于每個層的特定威脅，以便在實施自己的防病毒措施時使用此信息，確保在設計時采用的安全措施將得到可能的維護?！?深層惡意代碼防護許多組織在安裝20一、惡意軟件的威脅方法惡意軟件可以通過許多方法來損害目標，下面是最容易受到惡意軟件攻擊的區(qū)域：外部網絡來賓客戶端可執(zhí)行文件文檔電子郵件可移動媒體一、惡意軟件的威脅方法21二、深層防護安全模型在發(fā)現并記錄了組織所面臨的風險后，下一步就是檢查和組織將用來提供防病毒解決方案的防護措施。深層防護安全模型是此過程的極好起點。此模型識別出七級安全防護，它們旨在確保損害組織安全的嘗試將遇到一組強大的防護措施。每組防護措施都能夠阻擋多種不同級別的攻擊。圖所示為深層防護安全模型定義的各層。二、深層防護安全模型22惡意代碼分析課件23（1）數據層攻擊者有可能利用它們獲得對配置數據、組織數據或組織所用設備獨有的任何數據的訪問。（2）應用程序層攻擊者有可能利用它們訪問運行的應用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都可能用來攻擊系統(tǒng)。（1）數據層24（3）主機層該層上的風險源自利用主機或服務中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動攻擊。例如：緩沖區(qū)溢出。

ServicePack和修復程序通常是針對此層。（4）內部網絡層內部網絡所面臨的風險主要與通過網絡傳輸的敏感數據有關。（3）主機層25（5）外圍網絡層與外圍網絡層（也稱為DMZ）關聯(lián)的風險源自可以訪問廣域網(WAN)以及它們所連接的網絡層的攻擊者。模型此層上的主要風險集中于網絡可以使用的傳輸控制協(xié)議(TCP)和用戶數據報協(xié)議(UDP)端口。（6）物理安全層物理層上的風險源自可以物理訪問物理資產的攻擊者。（5）外圍網絡層26（7）策略、過程和意識層圍繞安全模型所有層的是為滿足和支持每個級別的要求所制定的策略和過程。提高組織中對所有相關方的安全意識很重要，許多情況下，忽視風險可以導致安全違反。因此，培訓也應該是任何安全模型的不可缺少的部分。（7）策略、過程和意識層27根據實際需要，可將深層防護安全模型細化。細化的深層病毒防護視圖：根據實際需要，可將深層防護安全模型細化。28可以將數據層、應用程序層和主機層防護策略組合，作為客戶端和服務器防護策略。雖然這些防護共享許多公共策略，但是實施客戶端和服務器防護方面還是有一定的差異的。因此，應將客戶端和服務器防護策略分開考慮和實施。內部網絡層和外圍層也可以組合到一個公共網絡防護策略中，因為這兩個層所涉及的技術是相同的。每個層中的實施細節(jié)將是不同的，具體取決于組織基礎結構中的設備位置和技術?？梢詫祿印贸绦驅雍椭鳈C層防護策略組合，作為客戶端和服29三、客戶端防護假定惡意軟件已經通過前面的所有防護層，當其到達主機時，防護系統(tǒng)必須集中于保護主機系統(tǒng)及其數據，并停止感染的傳播。1、減小攻擊面應用程序層上的第一道防護是減小計算機的攻擊面。應在計算機上刪除或禁用所有不需要的應用程序或服務，最大限度地減少攻擊者可以利用系統(tǒng)的方法數。三、客戶端防護302、應用安全更新可能連接到組織網絡的客戶端計算機數量很大，而且種類很多，僅這一點就可以導致很難提供快速而可靠的安全更新管理服務。Microsoft和其他軟件公司已經開發(fā)了許多可用來幫助解決此問題的工具。2、應用安全更新313、啟用基于主機的防火墻基于主機的防火墻或個人防火墻是應該啟用的重要客戶端防護層。WindowsXP包括名為“Internet連接防火墻”(ICF)的簡單個人防火墻。ICF在被啟用后將監(jiān)視通過它的通信的所有方面。ICF還檢查它處理的每個數據包的源地址和目標地址，以確保每個通信都是允許的通信。強烈建議啟用ICF。3、啟用基于主機的防火墻324、安裝防病毒軟件許多公司推出防病毒應用程序，其中的大多數在提供此保護方面都是很有效的，但是它們都要求經常更新以應對新的惡意軟件。

4、安裝防病毒軟件335、測試漏洞掃描程序在配置系統(tǒng)之后，應該定期檢查它以確保沒有留下安全漏洞。許多掃描軟件來查找惡意軟件和黑客可能試圖利用的漏洞，其中的多數工具更新自己的掃描例程以保護系統(tǒng)免受最新漏洞的攻擊。5、測試漏洞掃描程序346、使用最少特權策略在客戶端防護中不應忽視的是在正常操作下分配給用戶的特權。Microsoft建議采用這樣的策略：提供最少可能的特權，以便使得受到因利用用戶特權的惡意軟件的影響減到最小。對于通常具有本地管理特權的用戶，這樣的策略尤其重要。6、使用最少特權策略357、限制未授權的應用程序如果應用程序為網絡提供一種服務，如MicrosoftInstantMessenger或Web服務，則在理論上它可能成為惡意軟件攻擊的目標。7、限制未授權的應用程序36四、客戶端應用程序的防護這里提供惡意軟件可能作為攻擊目標的特定客戶端應用程序的配置準則。四、客戶端應用程序的防護371、電子郵件客戶端如果惡意軟件設法通過了網絡和電子郵件服務器級別上的病毒防護，則可以進行一些配置以便為電子郵件客戶端提供額外保護。通常，用戶打開電子郵件的附件是惡意軟件在客戶端上傳播是主要方式之一。因此，可電子郵件客戶端必須配置額外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。1、電子郵件客戶端38

例如，在MicrosoftOutlook和OutlookExpress中可以：使用InternetExplorer安全區(qū)域禁用HTML電子郵件中的活動內容。啟用一項設置以便用戶只能以純文本格式查看電子郵件。阻止程序在未經特定用戶確認的情況下發(fā)送電子郵件。阻止不安全的電子郵件附件。例如，在MicrosoftOutl392、桌面應用程序隨著桌面辦公應用程序的日益強大，它們也成為惡意軟件的攻擊目標。宏病毒使用字處理器、電子表格或其他支持宏的應用程序創(chuàng)建的文件復制自身。應該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應用程序上啟用最合適的安全設置。2、桌面應用程序403、即時消息應用程序雖然文本消息不會構成直接的惡意軟件威脅，但是大多數即時消息（InstantMessenger）客戶端提供另外的文件傳輸功能以提高用戶的通信能力。允許文件傳輸就提供了進入組織網絡的直接路由，因而有可能受到惡意軟件的攻擊。網絡防火墻只需篩選用于此通信的端口，即可阻止這些文件傳輸。3、即時消息應用程序41如果文件傳輸而無法應用防火墻阻止這些端口，則應該確保在傳輸所有文件之前對其掃描以確定是否存在惡意軟件。應該將即時消息應用程序配置為：一收到文件，就自動將傳輸的文件傳遞到防病毒應用程序進行掃描。例如，可以將MSNMessenger配置為自動掃描傳輸的文件。如果文件傳輸而無法應用防火墻阻止這些端口，則應該確保在傳輸所424、Web瀏覽器從Internet下載或執(zhí)行代碼之前，希望確保知道它來自已知的、可靠的來源。用戶不應該僅依賴于站點外觀或站點地址，因為網頁和網址都可以是偽造的。已經有許多方法和技術來幫助用戶的Web瀏覽器應用程序確定用戶所瀏覽網站的可靠性。例如，IE使用Authenticode技術（證書）驗證已下載代碼的身份。4、Web瀏覽器435、對等應用程序

P2P應用程序便利了文件查找和交換。但是，許多惡意軟件試圖使用這些應用程序將文件復制到其他用戶的計算機。蠕蟲（如W32.HLLW.Sanker）已經將P2P應用程序（如Kazaa）作為攻擊目標以達到復制目的。建議使用前面所述的Windows軟件限制策略阻止用戶運行對等應用程序。5、對等應用程序44§5服務器防護

環(huán)境中的服務器防護與客戶端防護有許多共同之處，二者都試圖保護單個計算機環(huán)境。兩者的主要差異在于：服務器防護在可靠性和性能方面的預期級別通常高得多。此外，許多服務器在組織基礎結構中起到的專門作用，通常需要制定專門的防護方案。§5服務器防護環(huán)境中的服務器防護451、減小攻擊面。從服務器中刪除不需要的服務和應用程序，將其攻擊面減到最小。2、應用安全更新。如有可能，確保服務器運行的都是最新的安全更新。3、啟用基于主機的防火墻。4、使用漏洞掃描程序進行測試。使用WindowsServer2003上的MBSA幫助識別服務器配置中可能存在的漏洞。1、減小攻擊面。從服務器中刪除不需要的服務和應用程序，將其攻465、一般的服務器防病毒軟件為客戶端環(huán)境（如XP）設計的防病毒應用程序和為服務器環(huán)境（如2003）設計的防病毒應用程序之間的主要差異在于：基于服務器的掃描程序和任何基于服務器的服務（如消息服務或數據庫服務）之間的集成級別。許多基于服務器的防病毒應用程序還提供了遠程管理功能，以最大限度地減少物理訪問服務器控制臺的需要。。5、一般的服務器防病毒軟件47

在為服務器環(huán)境評估防病毒軟件時應該考慮的其他重要問題包括：掃描期間的CPU使用率。應用程序可靠性。管理開銷。應用程序互操作性。在為服務器環(huán)境評估防病毒軟件時應482、角色特定的防病毒配置和軟件現在，有許多可用于企業(yè)中特定服務器角色的專用防病毒配置、工具和應用程序。應用程序特定的防病毒解決方案通常提供更佳的保護和性能，因為它們設計用于與特定服務集成在一起，而不是試圖在文件系統(tǒng)級服務的下面起作用。2、角色特定的防病毒配置和軟件49Web服務器所有類型的組織中的Web服務器（如IIS）都是安全攻擊的目標。不管攻擊來自惡意軟件（如CodeRed）還是來自試圖破壞組織網站的黑客，充分配置Web服務器上的安全設置以最大限度地防御這些攻擊都是很重要的。除了此指導外，還可以下載某些免費工具，它們將在IIS上自動執(zhí)行許多安全配置。例如，IISLockdownTool和UrlScan。Web服務器50消息服務器為組織中的電子郵件服務器設計有效的防病毒解決方案時，要牢記兩個目標。一是防止服務器本身受到惡意軟件的攻擊。二是阻止任何惡意軟件通過電子郵件系統(tǒng)進入組織中用戶的郵箱。一般來說，標準文件掃描防病毒解決方案無法阻止電子郵件服務器將惡意軟件作為附件傳遞到客戶端。但是以下兩種基本類型的電子郵件防病毒解決方案通常是可用的：消息服務器51SMTP網關掃描程序。這些基于簡單郵件傳輸協(xié)議(SMTP)的電子郵件掃描解決方案通常稱為防病毒“網關”解決方案。優(yōu)點：可以用于所有的SMTP電子郵件服務，而不是僅用于特定電子郵件服務器產品。缺點：由于這些解決方案依賴于SMTP電子郵件協(xié)議，因此它們在可以提供的某些更高級功能方面受到限制。SMTP網關掃描程序。這些基于簡單郵件傳輸協(xié)議(SMTP52集成的服務器掃描程序。這些專用防病毒應用程序直接與特定的電子郵件服務器產品一起工作。這些應用程序確實有許多優(yōu)點。例如，它們可以與高級服務器功能直接集成在一起，它們設計為與電子郵件服務器使用相同的硬件。集成的服務器掃描程序。這些專用防病毒應用程序直接與特定的電子53數據庫服務器在考慮數據庫服務器（如SQLServer）的病毒防護時，需要保護以下四個主要元素：主機。運行數據庫的一個或多個服務器。數據庫服務。在主機上運行的為網絡提供數據庫服務的各種應用程序。數據存儲區(qū)。存儲在數據庫中的數據。數據通信。網絡上數據庫主機和其他主機之間使用的連接和協(xié)議。數據庫服務器54由于數據存儲區(qū)內的數據不能直接執(zhí)行，因此通常認為數據存儲區(qū)本身不需要掃描。目前，沒有專為數據存儲區(qū)編寫的主要防病毒應用程序。但是，在進行防病毒配置時，應該仔細考慮數據庫服務器的主機、數據庫服務和數據通信這些元素。由于數據存儲區(qū)內的數據不能直接執(zhí)行，因此通常認為數據存儲區(qū)本55§6網絡防護層

在已記錄的惡意軟件事件中，通過網絡發(fā)動的攻擊是最多的。通常，發(fā)動惡意軟件攻擊是為了利用網絡外圍防護中的漏洞允許惡意軟件訪問組織IT基礎結構中的主機設備。這些設備可以是客戶端、服務器、路由器，甚至是防火墻。存在一種日益增長的趨勢：許多組織已經采用多層方法來設計其網絡同時使用內部網絡結構和外部網絡結構。這正好符合深層防護安全模型。§6網絡防護層在已記錄的惡意軟件56

第一個網絡防護指外圍網絡防護，這些防護旨在防止惡意軟件通過外部攻擊進入內部網絡。應該使用常規(guī)安全防護措施，以確保只有經過授權的人員才能訪問內部網絡的數據。假定網絡安全設計已經為組織提供了所需的標識、授權、加密和保護級別，以防止未經授權的攻擊者直接侵入。但是，此時病毒防護仍是不完整的。下一步是將網絡層防護配置為檢測和篩選使用允許的網絡通信（如電子郵件、Web瀏覽和即時消息）的惡意軟件攻擊。第一個網絡防護指外圍網絡防護，這些防護571、網絡防病毒配置2、網絡入侵檢測系統(tǒng)3、應用程序層篩選使用Internet篩選技術監(jiān)視和屏蔽網絡通信中的非法內容（如病毒）不僅是有用的，而且是必需的。防火墻僅允許根據源或目標IP地址或者特定的網絡端口來篩選網絡流量。應用程序層篩選(ALF)在OSI網絡模型的應用程序層上工作，因此它允許根據數據的內容檢查和篩選。1、網絡防病毒配置584、內容掃描內容掃描詢問允許通過有效數據通道進入或離開組織網絡的數據。如果內容掃描是在電子郵件上執(zhí)行的，則它通常與電子郵件服務器協(xié)同工作以檢查電子郵件的特性（如附件）。此方法可以在數據通過服務時實時掃描和識別惡意軟件內容。4、內容掃描595、URL篩選使用它阻止有問題的網站。例如，使用URL篩選阻止已知的黑客網站、下載服務器和個人HTTP電子郵件服務。網絡管理員可以使用兩種基本的URL篩選方法：阻止列表。允許列表6、隔離網絡為保護網絡可以使用的另一種方法是：為不滿足組織最低安全要求的計算機建立隔離網絡。5、URL篩選60§7物理安全性

與其說物理安全性是特定的惡意軟件問題，不如說它是一般的安全問題，但是如果沒有用于組織基礎結構中所有客戶端、服務器和網絡設備的有效物理防護計劃，則無法避免惡意軟件的攻擊。在有效的物理防護計劃中有許多關鍵元素，其中包括：§7物理安全性與其說物理安全61建立安全性人員安全性網絡接入點服務器計算機工作站計算機移動計算機和設備如果攻擊者損害其中的任一元素，則風險級別增加，惡意軟件可以繞過外部和內部網絡防護邊界感染網絡上的主機。建立安全性62§8策略、過程和意識

客戶端、服務器和網絡的操作策略及過程是病毒防護層的基本方面?！?策略、過程和意識客戶端、服631、制定策略防病毒掃描例程。防病毒簽名更新例程。允許的應用程序和服務的相關策略。變更控制。網絡監(jiān)視。攻擊檢測過程。家用計算機網絡訪問策略。訪問者網絡訪問策略。無線網絡策略。1、制定策略642、安全更新策略檢查更新。下載更新。測試更新。部署更新。2、安全更新策略653、用戶意識有必要使用戶了解他們可以避免的常見風險：打開電子郵件附件。使用弱密碼。從不受信任的網站下載應用程序和ActiveX控件。從未經授權的可移動媒體運行應用程序。允許訪問組織的數據和網絡。3、用戶意識66惡意代碼分析與深層防護安全模型

雖然許多組織已經開發(fā)了防病毒軟件，但惡意軟件（病毒、蠕蟲和特洛伊木馬）仍在繼續(xù)感染著世界各地的計算機系統(tǒng)。這表明，在每臺計算機上部署防病毒軟件的標準方法可能不足以應對惡意軟件。惡意代碼分析與深層防護安全模型

雖然許多組織已67§1惡意軟件一、什么是惡意軟件“惡意軟件”指故意在計算機系統(tǒng)上執(zhí)行惡意任務的病毒、蠕蟲和特洛伊木馬。1、特洛伊木馬（1）遠程訪問特洛伊（2）Rootkit2、蠕蟲3、病毒§1惡意軟件一、什么是惡意軟件68二、惡意軟件的特征1、目標環(huán)境（1）設備。（2）操作系統(tǒng)。（3）應用程序。2、攜帶者對象（1）可執(zhí)行文件。（2）腳本。（3）宏。（4）啟動扇區(qū)。二、惡意軟件的特征693、傳輸機制（1）可移動媒體。（2）網絡共享。（3）網絡掃描。（4）對等(P2P)網絡。（5）電子郵件。（6）遠程利用。3、傳輸機制704、負載一旦惡意軟件通過傳輸到達了宿主計算機，它通常會執(zhí)行一個稱為“負載”的操作，負載可以采用許多形式。常見負載類型包括：（1）后門。（2）數據損壞或刪除。（3）信息竊取。（4）拒絕服務(DoS)4、負載715、觸發(fā)機制觸發(fā)機制是惡意軟件的一個特征，惡意軟件使用此機制啟動復制或負載傳遞。典型的觸發(fā)機制包括以下內容：（1）手動執(zhí)行。（2）社會工程。（3）半自動執(zhí)行。（4）自動執(zhí)行。（5）定時炸彈。（6）條件。5、觸發(fā)機制726、防護機制許多惡意軟件示例使用某種類型的防護機制，來降低被發(fā)現和刪除的可能性。以下列表提供了一些已被使用的技術的示例：（1）裝甲。（2）竊?。?）加密。（4）寡態(tài)。（5）多態(tài)。6、防護機制73三、防病毒軟件原理防病毒軟件專門用于防護系統(tǒng)，使其免受來自任何形式的惡意軟件（而不僅僅是病毒）的侵害。防病毒軟件可以使用許多技術來檢測惡意軟件。其技術工作原理包括：三、防病毒軟件原理741、簽名掃描搜索目標來查找表示惡意軟件的模式。這些模式通常存儲在被稱為“簽名文件”的文件中，簽名文件由軟件供應商定期更新，以確保防病毒掃描器能夠盡可能多地識別已知的惡意軟件攻擊。主要問題：防病毒軟件必須已更新為應對惡意軟件。惡意代碼分析課件752、啟發(fā)式掃描此技術通過查找通用的惡意軟件特征，來嘗試檢測新形式和已知形式的惡意軟件。此技術的主要優(yōu)點是，它并不依賴于簽名文件來識別和應對惡意軟件。2、啟發(fā)式掃描76

啟發(fā)式掃描的問題：（1）錯誤警報。（2）慢速掃描。（3）新特征可能被遺漏。3、行為阻止著重于惡意軟件攻擊的行為，而不是代碼本身。啟發(fā)式掃描的問題：77§2惡意軟件分析

對惡意軟件進行分析，了解其工作方式可以確保系統(tǒng)已被清理干凈并減少再次感染和攻擊的可能性。一、檢查活動進程和服務二、檢查啟動文件夾惡意軟件可以嘗試通過修改系統(tǒng)的啟動文件夾來自行啟動。檢查每個啟動文件夾中的條目，以確保在系統(tǒng)啟動過程中沒有惡意軟件嘗試啟動?！?惡意軟件分析對惡意軟件進行分78三、檢查計劃的應用程序惡意軟件還可能（但很少見）嘗試使用Windows計劃程序服務啟動未授權的應用程序。四、分析本地注冊表備份和恢復注冊表。成功備份注冊表后，在以下區(qū)域中檢查任何異常的文件引用。（參見書上示例）三、檢查計劃的應用程序79五、檢查惡意軟件和損壞的文件1、對比大多數惡意軟件將修改計算機硬盤上的一個或多個文件，而查找已受到影響的文件可能是一個很困難的過程。如果通過映像創(chuàng)建了系統(tǒng)，則可以將受到感染的系統(tǒng)直接與通過該映像創(chuàng)建的全新系統(tǒng)進行比較。2、搜索可以使用Windows搜索工具，對自從惡意軟件首次引入系統(tǒng)時更改的所有文件進行系統(tǒng)范圍的搜索，以確定哪些文件已被更改。五、檢查惡意軟件和損壞的文件803、檢查常用的隱藏區(qū)域某些惡意軟件攻擊已經使用了有效的系統(tǒng)文件名，但將該文件置于其他文件夾中，以免被Windows文件保護服務檢測到。例如，惡意軟件曾使用一個名為Svchost.exe的文件，該文件通常安裝在%WINDIR%\System32文件夾中并在該文件夾中受到保護。直接在%WINDIR%文件夾中創(chuàng)建同名文件的惡意軟件示例已被看到，因此必須檢查完整路徑和文件名。3、檢查常用的隱藏區(qū)域81

惡意軟件攻擊用于放置和修改文件的某些常見目標區(qū)域包括：%Windir%。%System%。%Temp%。%TemporaryInternetFiles%。惡意軟件攻擊用于放置和修改文件的某些常見82六、檢查用戶和組某些惡意軟件攻擊將嘗試評估系統(tǒng)上現有用戶的特權，或在擁有管理員特權的組中添加新新帳戶。檢查以下異常設置：舊用戶帳戶和組。不適合的用戶名。包含無效用戶成員身份的組。無效的用戶權限。最近提升的任何用戶或組帳戶的特權。確認所有管理器組成員均有效。六、檢查用戶和組83

七、檢查共享文件夾惡意軟件的另一個常見癥狀是使用共享文件夾傳播感染。使用計算機管理MMC管理單元，或通過命令行使用NetShare命令檢查受感染系統(tǒng)上的共享文件夾的狀態(tài)。八、檢查打開的網絡端口許多惡意軟件一個常使用的技術是打開主機上的網絡端口，使用這些端口獲取該主機的訪問。Netstat-an九、使用網絡協(xié)議分析器網絡協(xié)議分析器工具可用于創(chuàng)建受感染主機傳入和傳出的數據的網絡流量日志。七、檢查共享文件夾84十、檢查和導出系統(tǒng)事件日志可以使用Windows系統(tǒng)事件日志識別各種異常行為。使用事件查看器管理控制臺將每種類型的事件日志文件（應用程序、安全和系統(tǒng)）保存到可移動媒體，以便進一步分析。默認情況下，這些文件存儲在C:\Winnt\System32\Config\目錄中，并分別稱為AppEvent.evt、SecEvent.evt和SysEvent.evt。然而，當系統(tǒng)處于活動狀態(tài)時，這些文件將被鎖定，因此應使用事件查看器管理工具導出。十、檢查和導出系統(tǒng)事件日志85§3深層惡意代碼防護

許多組織在安裝了防病毒軟件后仍然感染了病毒。與網絡安全設計一樣，設計防病毒解決方案時采用深層防護方法，了解防護模型的每個層以及對應于每個層的特定威脅，以便在實施自己的防病毒措施時使用此信息，確保在設計時采用的安全措施將得到可能的維護?！?深層惡意代碼防護許多組織在安裝86一、惡意軟件的威脅方法惡意軟件可以通過許多方法來損害目標，下面是最容易受到惡意軟件攻擊的區(qū)域：外部網絡來賓客戶端可執(zhí)行文件文檔電子郵件可移動媒體一、惡意軟件的威脅方法87二、深層防護安全模型在發(fā)現并記錄了組織所面臨的風險后，下一步就是檢查和組織將用來提供防病毒解決方案的防護措施。深層防護安全模型是此過程的極好起點。此模型識別出七級安全防護，它們旨在確保損害組織安全的嘗試將遇到一組強大的防護措施。每組防護措施都能夠阻擋多種不同級別的攻擊。圖所示為深層防護安全模型定義的各層。二、深層防護安全模型88惡意代碼分析課件89（1）數據層攻擊者有可能利用它們獲得對配置數據、組織數據或組織所用設備獨有的任何數據的訪問。（2）應用程序層攻擊者有可能利用它們訪問運行的應用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都可能用來攻擊系統(tǒng)。（1）數據層90（3）主機層該層上的風險源自利用主機或服務中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動攻擊。例如：緩沖區(qū)溢出。

ServicePack和修復程序通常是針對此層。（4）內部網絡層內部網絡所面臨的風險主要與通過網絡傳輸的敏感數據有關。（3）主機層91（5）外圍網絡層與外圍網絡層（也稱為DMZ）關聯(lián)的風險源自可以訪問廣域網(WAN)以及它們所連接的網絡層的攻擊者。模型此層上的主要風險集中于網絡可以使用的傳輸控制協(xié)議(TCP)和用戶數據報協(xié)議(UDP)端口。（6）物理安全層物理層上的風險源自可以物理訪問物理資產的攻擊者。（5）外圍網絡層92（7）策略、過程和意識層圍繞安全模型所有層的是為滿足和支持每個級別的要求所制定的策略和過程。提高組織中對所有相關方的安全意識很重要，許多情況下，忽視風險可以導致安全違反。因此，培訓也應該是任何安全模型的不可缺少的部分。（7）策略、過程和意識層93根據實際需要，可將深層防護安全模型細化。細化的深層病毒防護視圖：根據實際需要，可將深層防護安全模型細化。94可以將數據層、應用程序層和主機層防護策略組合，作為客戶端和服務器防護策略。雖然這些防護共享許多公共策略，但是實施客戶端和服務器防護方面還是有一定的差異的。因此，應將客戶端和服務器防護策略分開考慮和實施。內部網絡層和外圍層也可以組合到一個公共網絡防護策略中，因為這兩個層所涉及的技術是相同的。每個層中的實施細節(jié)將是不同的，具體取決于組織基礎結構中的設備位置和技術?？梢詫祿?、應用程序層和主機層防護策略組合，作為客戶端和服95三、客戶端防護假定惡意軟件已經通過前面的所有防護層，當其到達主機時，防護系統(tǒng)必須集中于保護主機系統(tǒng)及其數據，并停止感染的傳播。1、減小攻擊面應用程序層上的第一道防護是減小計算機的攻擊面。應在計算機上刪除或禁用所有不需要的應用程序或服務，最大限度地減少攻擊者可以利用系統(tǒng)的方法數。三、客戶端防護962、應用安全更新可能連接到組織網絡的客戶端計算機數量很大，而且種類很多，僅這一點就可以導致很難提供快速而可靠的安全更新管理服務。Microsoft和其他軟件公司已經開發(fā)了許多可用來幫助解決此問題的工具。2、應用安全更新973、啟用基于主機的防火墻基于主機的防火墻或個人防火墻是應該啟用的重要客戶端防護層。WindowsXP包括名為“Internet連接防火墻”(ICF)的簡單個人防火墻。ICF在被啟用后將監(jiān)視通過它的通信的所有方面。ICF還檢查它處理的每個數據包的源地址和目標地址，以確保每個通信都是允許的通信。強烈建議啟用ICF。3、啟用基于主機的防火墻984、安裝防病毒軟件許多公司推出防病毒應用程序，其中的大多數在提供此保護方面都是很有效的，但是它們都要求經常更新以應對新的惡意軟件。

4、安裝防病毒軟件995、測試漏洞掃描程序在配置系統(tǒng)之后，應該定期檢查它以確保沒有留下安全漏洞。許多掃描軟件來查找惡意軟件和黑客可能試圖利用的漏洞，其中的多數工具更新自己的掃描例程以保護系統(tǒng)免受最新漏洞的攻擊。5、測試漏洞掃描程序1006、使用最少特權策略在客戶端防護中不應忽視的是在正常操作下分配給用戶的特權。Microsoft建議采用這樣的策略：提供最少可能的特權，以便使得受到因利用用戶特權的惡意軟件的影響減到最小。對于通常具有本地管理特權的用戶，這樣的策略尤其重要。6、使用最少特權策略1017、限制未授權的應用程序如果應用程序為網絡提供一種服務，如MicrosoftInstantMessenger或Web服務，則在理論上它可能成為惡意軟件攻擊的目標。7、限制未授權的應用程序102四、客戶端應用程序的防護這里提供惡意軟件可能作為攻擊目標的特定客戶端應用程序的配置準則。四、客戶端應用程序的防護1031、電子郵件客戶端如果惡意軟件設法通過了網絡和電子郵件服務器級別上的病毒防護，則可以進行一些配置以便為電子郵件客戶端提供額外保護。通常，用戶打開電子郵件的附件是惡意軟件在客戶端上傳播是主要方式之一。因此，可電子郵件客戶端必須配置額外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。1、電子郵件客戶端104

例如，在MicrosoftOutlook和OutlookExpress中可以：使用InternetExplorer安全區(qū)域禁用HTML電子郵件中的活動內容。啟用一項設置以便用戶只能以純文本格式查看電子郵件。阻止程序在未經特定用戶確認的情況下發(fā)送電子郵件。阻止不安全的電子郵件附件。例如，在MicrosoftOutl1052、桌面應用程序隨著桌面辦公應用程序的日益強大，它們也成為惡意軟件的攻擊目標。宏病毒使用字處理器、電子表格或其他支持宏的應用程序創(chuàng)建的文件復制自身。應該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應用程序上啟用最合適的安全設置。2、桌面應用程序1063、即時消息應用程序雖然文本消息不會構成直接的惡意軟件威脅，但是大多數即時消息（InstantMessenger）客戶端提供另外的文件傳輸功能以提高用戶的通信能力。允許文件傳輸就提供了進入組織網絡的直接路由，因而有可能受到惡意軟件的攻擊。網絡防火墻只需篩選用于此通信的端口，即可阻止這些文件傳輸。3、即時消息應用程序107如果文件傳輸而無法應用防火墻阻止這些端口，則應該確保在傳輸所有文件之前對其掃描以確定是否存在惡意軟件。應該將即時消息應用程序配置為：一收到文件，就自動將傳輸的文件傳遞到防病毒應用程序進行掃描。例如，可以將MSNMessenger配置為自動掃描傳輸的文件。如果文件傳輸而無法應用防火墻阻止這些端口，則應該確保在傳輸所1084、Web瀏覽器從Internet下載或執(zhí)行代碼之前，希望確保知道它來自已知的、可靠的來源。用戶不應該僅依賴于站點外觀或站點地址，因為網頁和網址都可以是偽造的。已經有許多方法和技術來幫助用戶的Web瀏覽器應用程序確定用戶所瀏覽網站的可靠性。例如，IE使用Authenticode技術（證書）驗證已下載代碼的身份。4、Web瀏覽器1095、對等應用程序

P2P應用程序便利了文件查找和交換。但是，許多惡意軟件試圖使用這些應用程序將文件復制到其他用戶的計算機。蠕蟲（如W32.HLLW.Sanker）已經將P2P應用程序（如Kazaa）作為攻擊目標以達到復制目的。建議使用前面所述的Windows軟件限制策略阻止用戶運行對等應用程序。5、對等應用程序110§5服務器防護

環(huán)境中的服務器防護與客戶端防護有許多共同之處，二者都試圖保護單個計算機環(huán)境。兩者的主要差異在于：服務器防護在可靠性和性能方面的預期級別通常高得多。此外，許多服務器在組織基礎結構中起到的專門作用，通常需要制定專門的防護方案?！?服務器防護環(huán)境中的服務器防護1111、減小攻擊面。從服務器中刪除不需要的服務和應用程序，將其攻擊面減到最小。2、應用安全更新。如有可能，確保服務器運行的都是最新的安全更新。3、啟用基于主機的防火墻。4、使用漏洞掃描程序進行測試。使用WindowsServer2003上的MBSA幫助識別服務器配置中可能存在的漏洞。1、減小攻擊面。從服務器中刪除不需要的服務和應用程序，將其攻1125、一般的服務器防病毒軟件為客戶端環(huán)境（如XP）設計的防病毒應用程序和為服務器環(huán)境（如2003）設計的防病毒應用程序之間的主要差異在于：基于服務器的掃描程序和任何基于服務器的服務（如消息服務或數據庫服務）之間的集成級別。許多基于服務器的防病毒應用程序還提供了遠程管理功能，以最大限度地減少物理訪問服務器控制臺的需要。。5、一般的服務器防病毒軟件113

在為服務器環(huán)境評估防病毒軟件時應該考慮的其他重要問題包括：掃描期間的CPU使用率。應用程序可靠性。管理開銷。應用程序互操作性。在為服務器環(huán)境評估防病毒軟件時應1142、角色特定的防病毒配置和軟件現在，有許多可用于企業(yè)中特定服務器角色的專用防病毒配置、工具和應用程序。應用程序特定的防病毒解決方案通常提供更佳的保護和性能，因為它們設計用于與特定服務集成在一起，而不是試圖在文件系統(tǒng)級服務的下面起作用。2、角色特定的防病毒配置和軟件115Web服務器所有類型的組織中的Web服務器（如IIS）都是安全攻擊的目標。不管攻擊來自惡意軟件（如CodeRed）還是來自試圖破壞組織網站的黑客，充分配置Web服務器上的安全設置以最大限度地防御這些攻擊都是很重要的。除了此指導外，還可以下載某些免費工具，它們將在IIS上自動執(zhí)行許多安全配置。例如，IISLockdownTool和UrlScan。Web服務器116消息服務器為組織中的電子郵件服務器設計有效的防病毒解決方案時，要牢記兩個目標。一是防止服務器本身受到惡意軟件的攻擊。二是阻止任何惡意軟件通過電子郵件系統(tǒng)進入組織中用戶的郵箱。一般來說，標準文件掃描防病毒解決方案無法阻止電子郵件服務器將惡意軟件作為附件傳遞到客戶端。但是以下兩種基本類型的電子郵件防病毒解決方案通常是可用的：消息服務器117SMTP網關掃描程序。這些基于簡單郵件傳輸協(xié)議(SMTP)的電子郵件掃描解決方案通常稱為防病毒“網關”解決方案。優(yōu)點：可以用于所有的SMTP電子郵件服務，而不是僅用于特定電子郵件服務器產品。缺點：由于這些解決方案依賴于SMTP電子郵件協(xié)議，因此它們在可以提供的某些更高級功能方面受到限制。SMTP網關掃描程序。這些基于簡單郵件傳輸協(xié)議(SMTP118集成的服務器掃描程序。這些專用防病毒應用程序直接與特定的電子郵件服務器產品一起工作。這些應用程序確實有許多優(yōu)點。例如，它們可以與高級服務器功能直接集成在一起，它們