深层病毒防护之恶意软件的分析
来源:中国计算机报 更新时间:2012-04-13

 
    Microsoft公司视消费者的安全问题为公司的头等大事。Microsoft公司致力于整合软件、服务和最佳实践来保护消费者的系统。得益于稳固的系统,消费者尽可放心享受科技与因特网所带来的最大效益。

  Microsoft公司在安全与网络安全领域所作的贡献主要集中于以下三个方面:1)技术投资:提高其产品的安全性,改进升级流程,并提供加强安全保障的新特性与产品;2)产业合作:与合作伙伴、消费者、政府和法律实施代理合作,为发展打击计算机犯罪的相关政策和行动提供支持;3)说明性指导与教育:广泛传播即时信息来帮助消费者提高他们的系统安全性,并且做好防范新威胁的准备。

  Microsoft公司深知进行安全保障是一段长期的历程,同时已经迈出了帮助消费者和公司进行自我保护的第一步,尝试了诸多全新安全创新,包括Windows XP Service Pack 2, Windows Server Service Pack 1,产品质量改进与升级预告,普遍适用的安全规范,与消费者、合作伙伴和政府间的协作等。

  虽然许多组织已经开发了防病毒软件,但恶意软件(例如,计算机病毒、蠕虫和特洛伊木马)仍在继续感染着世界各地的计算机系统。要应对恶意软件的突发并进行善后恢复,是一个复杂的过程,它包括感染确认、事件响应、恶意软件分析、系统恢复、恢复后的处理等多个重要的步骤。

  控制恶意软件攻击的传播即对突发事件进行正确响应之后,必须花些时间了解突发事件的本质并对恶意软件进行更详细的分析。不执行该步骤可能增加再次感染的可能性;不了解恶意软件的工作方式将无法确保系统已被清理并免遭未来的攻击。

  理想情况下,企业安全小组的成员将使用专用的应用程序和实用程序集(可用于自动收集所需信息)执行对恶意软件的分析。Microsoft公司为主动防御新兴安全和网络安全威胁所进行的创新不仅强化了现有产品,更添加了全新特性使消费者可以控制自己的防护和安全级别。这样一来,他们尽可体验技术优势,放心使用因特网资源,因为他们的系统已经受到保护。以下步骤将帮助企业IT安全小组了解此次攻击的本质。

  检查活动进程和服务

  受感染的系统可能在其内存中引入了新进程,建议使用Windows任务管理器或专用的进程列表工具比如PsTools和 Process Explorer 进行,后者可以从 Sysinternals Web站点http://www.sysinternals.com(英文)获得,通过它们不仅可以查看图像文件的路径,而且还能看见过程树。

  分析本地注册表

  由于完成的系统注册表是大型的复杂数据存储,因此在完成攻击恢复进程后创建整个系统注册表的副本以进行详细分析将很有好处。

  所有Windows版本包含的备份实用程序可用于备份和恢复整个注册表。如果已经使用备份定期备份硬盘,则可以轻松地在这些备份中包含注册表。要使用备份应用程序备份注册表,请在选择要包含在备份集中的驱动器、文件和文件夹时选择“系统状态”。

  由于“系统状态”包含其他系统特定信息和注册表,因此这些备份文件的大小可能为数百MB。另一个选项是使用所有Windows版本附带的注册表编辑器实用程序。这些实用程序比较适合于生成注册表副本。Windows XP和Windows Server 2003有两个注册表编辑器工具,Regedit.exe和命令行工具Reg.exe。

  检查恶意软件和损坏的文件

  大多数恶意软件将修改计算机硬盘上的一个或多个文件,而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统,就可以将受感染的系统直接与通过该映像创建的全新系统进行比较。

  如果该选项不可用,则另一个确定哪些文件已被更改的方法是对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索,可以使用Windows搜索工具进行搜索。  

 检查用户和组

  某些恶意软件攻击将尝试评估系统上现有用户的特权,或在拥有管理员特权的组中添加新帐户。检查以下异常设置:

  旧用户帐户和组。

  不适合的用户名。

  包含无效用户成员身份的组。

  无效的用户权限。

  最近提升的任何用户或组帐户的特权。

  最后,确认所有管理器组成员均有效。

  使用本地用户和组Microsoft管理控制台(MMC)管理单元检查添加到本地管理员组的任何异常设置。还应检查本地计算机的安全日志中是否存在任何异常条目。例如,“帐户管理”类别条目(如事件636)指示已将新成员添加到本地组。这些日志还将为您提供更改发生的日期和时间。

  如果检查的系统是Windows服务器,则还应使用Active Directory用户和组MMC管理单元检查域组成员关系。

  检查共享文件夹及打开的网络端口

  恶意软件的另一个常见症状是使用共享文件夹传播感染,使用计算机管理MMC管理单元,或通过命令行使用NetShare命令检查受感染系统上的共享文件夹的状态。

  许多恶意软件攻击尝试削弱已遭破坏的系统,以便将来更容易进行攻击。一个通常使用的技术是打开主机上的网络端口,恶意软件攻击者随后将使用这些端口获取该主机的其他路由。

  有一些工具可用于导出当前网络端口设置的列表,包括Microsoft Windows Server 2003 支持工具中的PortQRY和Foundstone的FPort命令行实用程序,还可以使用Windows附带的NetStat命令行实用程序记录侦听的当前网络连接和网络端口的状态。该工具可用于获取网络连接和端口状态的完整打印输出。

  使用网络协议分析器

  网络协议分析器工具可用于创建受感染主机传入和传出数据的网络流量日志。网络跟踪文件应保存为信息文件集的一部分,以便进一步分析。