恶意代码
检测
工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训
与防范技术——作战篇田苏梅S310060134作战篇恶意代码的分析1恶意代码的防御2恶意代码的清除方法3作战篇恶意代码的分析1恶意代码的防御2恶意代码的清除方法3恶意代码分析方法静态分析方法基于代码特征的分析方法常用于对执行程序类型的恶意代码进行分析c语言编写的程序中存在一条语句CreateMuetex(NULL,NULL,“MYTEST”);那么在生成的PE文件中会存在一个静态数据“MYTEST”,通过分析PE结构可以从静态数据节中提取静态数据。用C语言编写的恶意代码中使用下面的语句URLDownloadToFile(0,"http://www.microsoft.com/a.exe","c:\\a.exe",0,0)从网站下载可执行程序到C盘根目录,这个动作很有可能是进行恶意代码升级基于代码语义的分析方法基于代码语义的分析过程,首先使用反汇编工具对恶意代码执行体进行反汇编,然后通过理解恶意代码的反汇编程序了解恶意代码的功能。从理论上讲通过这种方法可以得到恶意代码所有功能特征。但是,目前基于语义的恶意代码分析方法主要还是依靠人工来完成,人工分析的过程需要花费分析人员的大量时间,对分析人员本身的要求也很高。动态分析方法外部观察法恶意代码作为一段程序在运行过程中通常会对系统造成一定的影响,有些恶意代码为了保证自己的自启动功能和进程隐藏的功能,通常会修改系统注册
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
和系统文件,或者会修改系统配置。通过网络进行传播、繁殖和拒绝服务攻击等破坏活动通过网络进行诈骗等犯罪活动通过网络将搜集到的机密信息传递给恶意代码的控制者在本地开启一些端口、服务等后门等待恶意代码控制者对受害主机的控制访问跟踪调试法在实际分析过程中,跟踪调试可以有两种方法。单步跟踪恶意代码执行过程,监视恶意代码的每一个执行步骤,在分析过程中也可以在适当的时候执行恶意代码的一个片断,这种分析方法可以全面监视恶意代码的执行过程,但是分析过程相当耗时。利用系统hook技术监视恶意代码执行过程中的系统调用和API使用状态来分析恶意代码的功能,这种方法经常用于恶意代码检测。恶意代码分析方法比较分析
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
代码特征分析法代码语义分析法外部观察法跟踪调试法隐藏功能能能加密功能能能能触发功能能能自启动功能能能能自主攻击和繁殖功能能部分能破坏功能能部分能对分人员的依赖程度低较高低高对分析环境的破坏否否大可控恶意代码分析步骤恶意代码分析步骤恶意代码分析步骤恶意代码分析步骤恶意代码分析步骤作战篇恶意代码的分析恶意代码的防御2恶意代码的清除方法321恶意代码的防御技术技术对比基于主机基于良性蠕虫防御技术基于网络基于主机的恶意代码防御技术误用检测技术,也称基于特征字的恶意代码检测恶意代码检测计算机程序或数据清除恶意代码删除文件恶意代码特征库基于特征字的恶意代码检测优点实现简单检测速度快误报率低缺点对压缩、加密、变形的恶意代码不能很好的处理需要不断更新查毒引擎和特征库,不能检测未知恶意代码基于主机的恶意代码防御技术完整性技术校验和技术Windows的代码签名验证技术权限控制技术沙箱技术安全操作系统权限控制技术恶意代码的防御技术技术对比基于网络基于良性蠕虫防御技术基于主机基于网络的恶意代码检测技术异常检测可发现网络内主机可能感染恶意代码以及感染恶意代码的程序,然后采取控制措施,如限制计算机发送数据包计算机断网。优点:能很快发现网络流量的异常,并采取措施,避免网络瘫痪和恶意代码的大规模传播。能检测出已知恶意代码产生的异常流量,也能检测出未知的新出现的恶意代码。缺点:不能检测出计算机究竟感染了哪一种恶意代码。不利于采取有针对性的防范措施。误报率相对比较高。基于网络的恶意代码检测技术误用检测基于网络的恶意代码检测中使用的特征串与基于主机检测使用的特征串不同,一个特征码规则可以有多个特征串,特征码规则指定了每个特征串的相对偏移和间隔位置。优点:能够检测出计算机感染恶意代码的具体类型。检测结果比较准确。缺点:一般不能检测出未知恶意代码。检测范围和准确性依赖于特征库的完备程度,并需要不断更新特征库规则。基于网络的恶意代码防御技术恶意代码的防御技术技术对比基于良性蠕虫基于网络防御技术基于主机基于良性蠕虫的恶意代码防御技术良性蠕虫可以采取先利用漏洞或其它途径进入目标主机,然后对恶意代码进行查杀、修补漏洞等措施,最后进行自动扩散并退出目标主机。“冲击波杀手”蠕虫编写者的本意是想用它自动清除“冲击波”蠕虫,但结果“冲击波杀手”蠕虫对网络的破坏程度甚至比“冲击波”蠕虫本身还要严重。恶意代码的防御技术基于良性蠕虫技术对比基于网络防御技术基于主机恶意代码防御技术比较防御技术优点缺点防病毒软件1、技术比较成熟,可以推广2、操作使用方便3、对传统病毒和已知恶意代码防御效果比较好1、对木马、蠕虫、脚本病毒、未知恶意代码防御效果差2、需要经常升级3、各种防毒软件性能性能不同,难以抉择4、可能影响计算机正常操作防火墙技术1、对蠕虫防御效果比较好,对木马也有一定效果2、技术比较成熟,容易实现1、不能防御计算机病毒2、在全网实施成本较高3、可能会影响网络性能4、对蠕虫只能控制传播不能清除权限控制技术1、对某些类型的恶意代码比较有效2、在某些特定应用环境有效1、不能作为通用技术2、难以掌握,使用不便完整性技术1、技术比较通用2、在某些特定应用环境有效1、难以实现其他防御技术可能在某些特定应用环境有效1、不能通用1、工程实施难度大难以实现作战篇恶意代码的分析恶意代码的防御2恶意代码的清除方法231恶意代码的清除方法独立的木马或蠕虫,直接删除执行文件文件型恶意代码,一般反恶意代码软件需要掌握感染过程的逆过程,将添加的恶意代码清除,并恢复文件头的正常设置。覆盖型恶意代码,由于原宿主代码部分丢失,程序功能不能恢复。谢谢!
浙公网安备 33021202002483