首页 > 安全 > 系统安全 >

深层防毒指南:快速和有效地相应恶意软件事件[二]

2004-10-25

步骤 3:恶意软件分析    控制恶意软件攻击的传播后,必须花些时间了解突发的本质并对恶意软件执行更详细的分析。不执行该步骤可以增加再次感染的可能性;不了解恶意软件的工作方式将无法确保系统已被清理并可以免遭未来

步骤 3:恶意软件分析

控制恶意软件攻击的传播后,必须花些时间了解突发的本质并对恶意软件执行更详细的分析。不执行该步骤可以增加再次感染的可能性;不了解恶意软件的工作方式将无法确保系统已被清理并可以免遭未来的攻击。

理想情况下,安全小组的成员将使用专用的应用程序和实用程序集(可用于自动收集所需信息)执行对恶意软件的分析。以下步骤将帮助了解攻击的本质。

检查操作系统元素
尝试确定攻击引入或修改的操作系统。作为该分析的一部分,查找以下方面的更改:

• 活动的进程和服务。
• 本地注册表。
• Microsoft? Windows? 系统文件夹中的文件。
• 新用户或组帐户,尤其是拥有管理员特权的新用户或组帐户。
• 共享文件夹(包括隐藏文件夹)。
• 具有正常的文件名但位于异常位置的新建文件。
• 打开的网络端口。

可用于检查这些操作系统元素的技术将在以下部分中介绍。

检查活动进程和服务
受感染的系统可能在其内存中引入了新进程。

要帮助最小化进程列表中的条目数并因此帮助标识任何恶意进程,应关闭所有有效应用程序以及任何有效的后台应用程序,如 Instant Messenger、电子邮件监视器或驻留在内存中的第三方实用程序。

如果专用工具不可用,则可以使用所有 Microsoft Windows 系统中的 Windows"任务管理器"工具来快速检查在系统中运行的活动进程。然而,由于"任务管理器"不显示启动进程的图像的路径,因此无法确定作为"svrhost"启动的恶意软件攻击是否是合法进程。

完成以下步骤以使用"任务管理器"分析活动进程:

要分析运行 Windows 的计算机上的活动进程,请执行下列操作:

1. 同时按下 Ctrl+Alt+Del 弹出"Windows 安全"窗口并选择"任务管理器"。注意:在 Windows 9x 计算机中,您将看到一个运行程序列表,而非"任务管理器"应用程序。

2. 单击"进程"选项卡。
3. 调整 Windows"任务管理器"窗口以便在屏幕上显示尽可能多的活动进程。
4. 从菜单条中选择"视图"选项并单击"选择列..."。
5. 选择以下列的复选框:

• PID(进程标识符)
• CPU 使用情况
• CPU 时间
• 内存使用情况
• 内存使用峰值
• I/O 读取
• I/O 写入

6. 单击"确定"并调整该窗口的大小,以显示尽可能多的这些列。可以通过单击任何列标题对列进行排序。对列出的每个列使用该排序方法并确定哪些进程使用哪些资源。

注意:要获取该列表的打印输出以便以后参考,激活 Process Explorer 或 Windows"任务管理器"窗口并按键盘上的 Alt+Print Screen。将在计算机的剪贴板上创建列表的屏幕快照,可以将该快照粘贴到 Windows Paint 应用程序或 Microsoft Word 中并进行打印。

下图将 Blaster 蠕虫的进程详细信息显示为 Microsoft Windows 2000? Server"任务管理器"中的活动进程。

图 4.3 显示活动 Blaster 蠕虫进程的 Windows 2000 任务管理器


注意:某些恶意软件可能尝试阻止"任务管理器"作为某种形式的防御启动。这种情况下,可以在 Microsoft Windows? XP 和 Windows Server? 2003 计算机上使用 Tasklist 命令行实用程序(或在 Windows 2000 计算机上使用 TList 命令行实用程序)生成可复制到可移动媒体的简单文本文件列表,以便进一步分析。使用以下命令行语法生成包含所有活动进程列表的文本文件:

tasklist /v >TaskList.txt
该命令行将在当前工作目录中创建一个名为 TaskList.txt 的文件。

使用以下提示检查被怀疑正在运行某种形式的恶意软件的计算机上的进程:

• 检查正在运行的 Telnet 或文件传输协议 (FTP) 服务的实例。

• 如果对进程不确定,则使用 Internet 搜索引擎(如 Google)尝试查找有关它的某些信息。

• 检查可以识别其图像名称的进程的图像文件的路径。

• 查找正在运行和已经停止的服务。

除上图中显示的 msblast.exe 进程以外,其他可能的可疑进程包括:

• ServuFTP
• Ocxdll.exe
• Kill.exe
• Mdm.exe
• Mdm.scr
• Mt.exe
• Ncp.exe
• Psexec.exe
• Win32load.exe

检查启动文件夹
恶意软件可以尝试通过修改系统的启动文件夹来自行启动。

注意:根据所分析的操作系统的不同,这些文件夹的准确路径将发生更改。以下信息适用于运行 Windows XP、Windows Server 2003 或 Windows 2000 的操作系统。

应检查启动文件的两个区域。第一个是"所有用户"文件夹,该文件夹可以在以下默认位置找到:

C:Documents and SettingsAll UsersStart Menu

第二个区域是当前登录的帐户的用户配置文件路径,检查系统上创建的所有配置文件而不仅仅是当前登录的帐户是很重要的。您将在 C:Documents and SettingsStart Menu 中找到该信息,其中 是检查的系统上定义的用户的登录 ID。

检查每个启动文件夹中的条目,以确保在系统启动过程中没有恶意软件尝试启动。

检查计划的应用程序
恶意软件还可能(但很少见)尝试使用 Windows 计划程序服务启动未授权的应用程序。要确认不存在该情况,应通过完成以下步骤对计划程序队列执行简单检查:

要检查计划程序队列,请执行下列步骤:

1. 单击"开始"、"运行",键入 at,然后按 Enter

2. 检查该列表。如果它显示任何未授权或可疑应用程序,则使用下列命令创建一个报告,以便进一步分析:

• 单击"开始"、"运行",键入 at >C:AT_Queue_Report.txt,然后按 Enter 键。

执行该命令将在 C: 驱动器的根目录中创建一个文本文件,该文件应移动到可移动磁盘中以便进一步分析。检查该文本文件,以确定在队列中是否计划了任何未授权的应用程序。

一旦完成对活动进程和计划进程的完整分析后,可以标识攻击引入的一个或多个进程。一旦记录这些进程,应重新启动系统,然后重复分析,以确定在启动时是否启动旨在破坏系统其他区域和允许的恶意进程的攻击。如果启动,则将完成对系统启动文件和注册表的分析,以找到用于维护一个或多个恶意进程的机制。

分析本地注册表
由于完成的系统注册表是大型的复杂数据存储,因此在完成攻击恢复进程后创建整个系统注册表的副本以进行详细分析将很有好处。

所有 Windows 版本包含的备份实用程序可用于备份和恢复整个注册表。如果已经使用备份定期备份硬盘,则可以轻松地在这些备份中包含注册表。要使用备份应用程序备份注册表,请在选择要包含在备份集中的驱动器、文件和文件夹时选择"系统状态"。

由于"系统状态"包含其他系统特定信息和注册表,因此这些备份文件的大小可能为数百 MB。另一个选项是使用所有 Windows 版本附带的注册表编辑器实用程序。这些实用程序比较适合于生成注册表副本。Windows XP 和 Windows Server 2003 有两个注册表编辑器工具,Regedit.exe 和命令行工具 Reg.exe。

要使用 Regedit 生成注册表的副本,请执行下列操作:

1. 单击"开始"、"运行",键入 Regedit,然后按 Enter。

2. 在左侧窗格中,选择"我的电脑",然后从"文件"菜单中,选择"导出"。

3. 在"文

相关文章
最新文章
热点推荐