第3節病毒與木馬防范第4章目錄病毒與木馬檢測病毒與木馬防范方法0102病毒與木馬防范意識0301病毒與木馬檢測情景導入警惕“電腦自己有想法”某公司一名員工正在寫策劃案。突然，電腦瀏覽器打開。一開始，這位員工并不在意，認為是自己在打字時不小心打開了瀏覽器。過了一會，電腦彈出一個警告框和許多圖片。這位員工意識到自己電腦是不是中病毒了，急忙想關掉彈出框，但是發現關不掉，并且警告框越來越多。這位員工一時半會不知道怎么辦，嚇得急忙關掉電腦。這位員工冷靜下來之后，覺得自己電腦應該是中毒了。接下來，他找到公司安全管理人員，尋求安全管理員的幫助。注：關于病毒木馬檢測的內容介紹，請參閱第四章/病毒木馬檢測.mp4病毒與木馬常見檢測方法檢測方法如果你不小心遇到跟上述案例員工一樣的事情，你會怎么處理呢？如何去檢測和判定電腦中毒情況？基本信息排查進程分析自啟動項檢查自動化檢測日志分析50常見檢測方法基本信息排查網絡排查排查可疑鏈接檢查目標系統是否存在可疑鏈接，用戶是否誤點擊了可疑鏈接，導致目標系統被植入了病毒木馬。正常鏈接可疑鏈接排查IP地址檢查目標系統是否存留可疑IP地址，警惕外部IP遠程登錄或者控制本地系統。基本信息排查網絡連接排查檢查端口連接情況，是否有遠程連接、可疑連接。排查方法1、netstat-ano查看目前的網絡連接，定位可疑的ESTABLISHED2、根據netstat定位出的pid，再通過tasklist命令進行進程定位tasklist|findstr“PID”基本信息排查網絡連接排查對可疑連接或者進程進一步分析使用方法3、獲取當前的進程(某可疑進程)、進程路徑、命令行、進程ID等信息4、列出某進程的詳細信息基本信息排查定時作業排查病毒木馬入侵系統之后，并不一定馬上執行，而是選擇藏于任務計劃程序庫，等待特定的時間點去運行。排查方法單擊【開始】>【運行】，輸入control選擇“系統和安全”在管理工具中打開“任務計劃程序”基本信息排查CPU排查查看CPU相關參數，比如利用率、速度、進程等。如果系統一開機，CPU使用率就一直保持在80%（或者某個高峰值）以上，那么就需要排查哪個程序占用資源。內存排查病毒木馬運行時，會自動打開系統當中某些服務，導致內存被占用。如果系統啟動后，內存使用就保持在高峰值，那么就需要排查哪個進程占據內存資源。進程分析任務管理器進程分析病毒木馬只有在運行之后才會對目標系統造成破壞。當病毒木馬運行時，一般在進程中可以找到對應的運行程序，一旦發現可疑進程，要及時采取對應措施。一般步驟打開“任務管理器”STEP1查看進程STEP2刪除可疑進程STEP3進程分析進程分析工具ProcessHacker是一款功能豐富的系統進程管理工具，可查看所有進程信息，包括進程加載的dll、進程打開的文件、進程讀寫的注冊表等。用戶借助該程序可以方便、快捷地查看相關進程的速度，內存，及模塊等等。另外，還可以對相關的進程進行管理工作。ProcessHacker進程分析進程分析工具ProcessMonitor是一款微軟官方推薦，實時刷新的進程信息監控工具，其穩定性和兼容性出色，同時展示的信息全面，專門用來監視系統中的文件操作過程與用來監視注冊表的讀寫操作過程。ProcessMonitor進程分析其他進程分析工具1一個Windows系統信息查看軟件，可協助排查木馬、后門等病毒XueTr2XueTr的增強版，功能和XueTr差不多，相比之下，減少出故障的概率PCHunter3可對指定的進程，將其進程空間內的所有模塊單獨Dump出來，甚至可Dump出隱藏的模塊ProcessDump自啟動項檢查自啟動服務排查排查任務管理器中相關服務，重點排查自啟動服務，發現可疑服務，以便及時處理。排查方式（一）打開“任務管理器”STEP1排查“服務”STEP2刪除可疑進程STEP3STEP1自啟動項檢查排查方式（二）STEP2單擊【開始】>【運行】，輸入services.msc，注意服務狀態和啟動類型，檢查是否有異常服務。在PowerShell下輸入service。自啟動項檢查啟動項分析工具AutoRuns是一款出色的啟動項目管理工具，其作用是檢查開機自動加載的所有程序，例如硬件驅動程序，Windows核心啟動程序和應用程序。AutoRuns自動化檢測掃描工具D盾通過自動化工具檢測病毒與木馬能起到事半功倍的效果。D盾是一款Webshell查殺工具，使用自行研發不分擴展名的代碼分析引擎，能分析更為隱藏的WebShell后門行為。一般步驟選擇“自定義掃描”STEP1選擇可疑的文件或文件夾STEP2根據說明內容進行排查STEP3注：關于D盾查殺木馬的內容介紹，請參閱第四章/D盾查殺木馬.mp4自動化檢測殺毒軟件殺毒軟件通常集成監控識別、病毒掃描和清除、自動升級、主動防御等功能。有的殺毒軟件還帶有數據恢復、防范黑客入侵、網絡流量控制等功能，是計算機防御系統（包含殺毒軟件，防火墻，特洛伊木馬和惡意軟件的查殺程序，入侵防御系統等）的重要組成部分。360安全管家騰訊電腦管家火絨安全軟件自動化檢測病毒與木馬檢測操作演示WindowsDefender檢測與查殺騰訊哈勃分析系統檢測與查殺自動化檢測其他在線查殺工具河馬在線查殺可以上傳zip文件壓縮包支持asp/php/aspx/jsp/perl等各種腳本百度在線查殺支持zip、rar、tar等各種常見壓縮包支持php/jsp/asp/aspx等各種腳本也支持通過API方式進行掃描CHIP在線查殺僅支持PHP且只能上傳單個PHP文件進行掃描在線webshell查殺-滅絕師太版支持zip或php文件上傳掃描/killwebshell日志分析Windows系統日志分析（一）Security安全日志包含安全性相關的事件。比如用戶權限變更，登錄及注銷，文件/文件夾訪問等信息。日志管理工具提供篩選功能以方便用戶能更迅速，更便捷地進行查看日志。（不同的類型的日志具有不同的編號，每一種操作都有不同的日志ID）日志分析Windows系統日志分析（二）System系統日志記錄設備驅動無法正常啟動或停止，硬件失敗，重復IP地址，系統進程的啟動，停止及暫停等行為。02病毒與木馬防范方法安全軟硬件部署與應用部署病毒防火墻病毒防火墻被稱為“病毒實時檢測和清除系統”，是反病毒軟件的工作模式。當病毒防火墻運行的時候，會把病毒特征監控的程序駐留內存中，可以隨時查看系統的運行中是否有病毒的跡象，一旦發現有攜帶病毒的文件，就會馬上激活殺毒處理的模塊進行查殺。防火墻的基本功能病毒防火墻強化安全策略監控木馬與病毒一鍵查殺文件隔離日志記錄與事件通知有效隔離并查殺病毒木馬防范病毒木馬竊取數據安全軟硬件部署與應用部署入侵檢測系統入侵檢測系統（intrusiondetectionsystem，簡稱“IDS”）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于IDS是一種積極主動的安全防護技術。Internet核心路由器入侵檢測系統核心交換機服務器辦公區域識別常見病毒與木馬攻擊監控網絡異常通信鑒別對系統漏洞及后門的利用完善網絡安全管理安全軟硬件部署與應用部署入侵防御系統入侵防御系統(IPS:IntrusionPreventionSystem)是電腦網絡安全設施，是對防病毒軟件和防火墻的補充。入侵防御系統是一種能夠監視網絡變化、網絡資料傳輸等行為的網絡安全設備，它能夠及時的中斷、調整或隔離一些不正常或是攜帶病毒或木馬的網絡資料傳輸行為。注意入侵防御系統與入侵檢測系統的差別：入侵防御系統，在檢測入侵的基礎上還添加了阻斷功能，在一定程度上講，IPS相當于IDS+防火墻。入侵防御系統異常流量入侵防御系統可以分析網絡流量和檢測異常流量越權訪問尋找未經授權的訪問，并將未授權的設備移出網絡文件傳輸檢測并阻斷攜帶病毒木馬資料傳輸計算機病毒發展歷程原始病毒階段第一階段產生年限一般在1986-1989年之間。大多是單機運行、種類也很有限。主要特點：攻擊目標單一；主要通過截獲系統中斷向量方式監視系統的運行狀態，對目標進行傳染；不具備自我保護的措施，容易被分析和解剖。混合型病毒階段第二階段其產生的年限在1989－1991年之間，是計算機病毒由簡單發展到復雜的階段。主要特點：工具目標趨于混合；采取更為隱蔽的方法駐留內存和傳染目標；病毒程序往往采取了自我保護措施；出現許多病毒的變種等。多態性病毒階段第三階段此類病毒的主要特點是，在每次傳染目標時，放入宿主程序中的病毒程序大部分都是可變的。這一階段的病毒技術開始向多維化方向發展。木馬演變歷程時間演變歷程1986年，出現世界上第一個木馬--PC-Write木馬。此木馬一旦運行成功，磁盤就會被格式化第一代木馬偽裝型木馬出現于1989年，此木馬程序藏于軟盤當中。當軟盤被運行時，木馬也隨之運行，將硬盤加密并鎖定第二代木馬AIDS木馬這代木馬已經非常成熟，兼備偽裝和傳播等特性。利用網絡的便捷，能夠在互聯網中快速傳播，同時還具備一定免殺功能第三代木馬網絡傳播型木馬病毒與木馬發展趨勢可智能轉化的病毒與木馬安全研究人員發現一種智能化的新型病毒與木馬，該病毒與木馬通過惡意軟件形式入侵電腦，在植入之后會自行判斷感染主機的配置高低，然后再決定演變為何種攻擊形態展開攻擊，更能發揮起作用。智能化選擇攻擊形態感染配置較高的主機，就會化身為挖礦病毒，通過惡意軟件發布指令使感染主機成為挖礦設備。感染配置較低的主機，就會化身為勒索病毒，會使用密鑰鎖定數據，用戶需要支付一定贖金才能換取解密密鑰。病毒與木馬發展趨勢自動化病毒與木馬24小時自動地監測系統，當系統開放了可以利用的端口或者運行了相關服務，病毒與木馬立刻按照預定的程序執行，完全不需要人為干預。病毒與木馬都嵌入了自動化腳本。能夠自動化選擇執行時間，執行路徑，甚至能自動化隱藏自己（如自動結束進程、刪除自身等）來躲避殺毒軟件的查殺。快速化病毒與木馬一旦感染系統，迅速蔓延至系統全部文件，對所有文件造成破壞