《恶意代码分析》.ppt

恶意代码分析与深层防护安全模型
虽然许多组织已经开发了防病毒软件，但恶意软件（病毒、蠕虫和特洛伊木马）仍在继续感染着世界各地的计算机系统。这表明，在每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。
精选ppt
§1些常见目标区域包括：
%Windir%。
%System%。
%Temp%。
%Temporary Internet Files%。
精选ppt
六、检查用户和组
某些恶意软件攻击将尝试评估系统上现有用户的特权，或在拥有管理员特权的组中添加新新帐户。检查以下异常设置：
旧用户帐户和组。
不适合的用户名。
包含无效用户成员身份的组。
无效的用户权限。
最近提升的任何用户或组帐户的特权。
确认所有管理器组成员均有效。
精选ppt
七、检查共享文件夹
恶意软件的另一个常见症状是使用共享文件夹传播感染。使用计算机管理 MMC 管理单元，或通过命令行使用 NetShare 命令检查受感染系统上的共享文件夹的状态。
八、 检查打开的网络端口
许多恶意软件一个常使用的技术是打开主机上的网络端口，使用这些端口获取该主机的访问。
Netstat -an
九、 使用网络协议分析器
网络协议分析器工具可用于创建受感染主机传入和传出的数据的网络流量日志。
精选ppt
十、 检查和导出系统事件日志
可以使用 Windows 系统事件日志识别各种异常行为。使用事件查看器管理控制台将每种类型的事件日志文件（应用程序、安全和系统）保存到可移动媒体，以便进一步分析。默认情况下，这些文件存储在 C:\Winnt\System32\Config\ 目录中，并分别称为 、 和 。然而，当系统处于活动状态时，这些文件将被锁定，因此应使用事件查看器管理工具导出。
精选ppt
§3 深层恶意代码防护
许多组织在安装了防病毒软件后仍然感染了病毒。与网络安全设计一样，设计防病毒解决方案时采用深层防护方法，了解防护模型的每个层以及对应于每个层的特定威胁，以便在实施自己的防病毒措施时使用此信息，确保在设计时采用的安全措施将得到可能的维护。
精选ppt
一、恶意软件的威胁方法
恶意软件可以通过许多方法来损害目标，下面是最容易受到恶意软件攻击的区域：
外部网络
来宾客户端
可执行文件
文档
电子邮件
可移动媒体
精选ppt
二、深层防护安全模型
在发现并记录了组织所面临的风险后，下一步就是检查和组织将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护，它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。图所示为深层防护安全模型定义的各层。
精选ppt
精选ppt
（1）数据层
攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。
（2）应用程序层
攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。
精选ppt
（3）主机层
该层上的风险源自利用主机或服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。例如：缓冲区溢出。
Service Pack 和修复程序通常是针对此层。
（4）内部网络层
内部网络所面临的风险主要与通过网络传输的敏感数据有关。
精选ppt
（5）外围网络层
与外围网络层（也称为 DMZ）关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。
（6）物理安全层
物理层上的风险源自可以物理访问物理资产的攻击者。
精选ppt
（7）策略、过程和意识层
围绕安全模型所有层的是为满足和支持每个级别的要求所制定的策略和过程。提高组织中对所有相关方的安全意识很重要，许多情况下，忽视风险可以导致安全违反。因此，培训也应该是任何安全模型的不可缺少的部分。
精选ppt
根据实际需要，可将深层防护安全模型细化。
细化的深层病毒防护视图：
精选ppt
可以将数据层、应用程序层和主机层防护策