二、深层防护安全模型 在发现并记录了组织所面临的风险后， 下一步就是检查和组织将用来提供防病毒 解决方案的防护措施。深层防护安全模型 是此过程的极好起点。此模型识别出七级 安全防护，它们旨在确保损害组织安全的 尝试将遇到一组强大的防护措施。每组防 护措施都能够阻挡多种不同级别的攻击。 图所示为深层防护安全模型定义的各层。
十、 检查和导出系统事件日志
可以使用 Windows 系统事件日志识别 各种异常行为。使用事件查看器管理控制 台将每种类型的事件日志文件（应用程序、 安全和系统）保存到可移动媒体，以便进 一步分析。默认情况下，这些文件存储在 C:\Winnt\System32\Config\ 目录中，并分 别称为 AppEvent.evt、SecEvent.evt 和 SysEvent.evt。然而，当系统处于活动状 态时，这些文件将被锁定，因此应使用事 件查看器管理工具导出。
恶意软件攻击用于放置和修改文 件的某些常见目标区域包括：
%Windir%。 %System%。 %Temp%。 %Temporary Internet Files%。
六、检查用户和组
某些恶意软件攻击将尝试评估系统上 现有用户的特权，或在拥有管理员特权的 组中添加新新帐户。检查以下异常设置： 旧用户帐户和组。 不适合的用户名。 包含无效用户成员身份的组。 无效的用户权限。 最近提升的任何用户或组帐户的特权。 确认所有管理器组成员均有效。
§2 恶意软件分析
对恶意软件进行分析，了解其工作方式可以 确保系统已被清理干净并减少再次感染和攻击的 可能性。 一、 检查活动进程和服务 二、 检查启动文件夹 恶意软件可以尝试通过修改系统的启动文件 夹来自行启动。检查每个启动文件夹中的条目， 以确保在系统启动过程中没有恶意软件尝试启动。
三、检查计划的应用程序 恶意软件还可能（但很少见）尝试使用 Windows 计划程序服务启动未授权的应用 程序。
– 5、触发机制 触发机制是恶意软件的一个特征， 恶意软件使用此机制启动复制或负载传递。 典型的触发机制包括以下内容： （1）手动执行。 （2）社会工程。 （3）半自动执行。 （4）自动执行。 （5）定时炸弹。 （6）条件。
– 6、防护机制
许多恶意软件示例使用某种类型的 防护机制，来降低被发现和删除的可能性。 以下列表提供了一些已被使用的技术的示 例： （1）装甲。 （2）窃取 （3）加密。 （4）寡态。 （5）多态。
2、启发式扫描 此技术通过查找通用的恶意软件 特征，来尝试检测新形式和已知形式 的恶意软件。此技术的主要优点是， 它并不依赖于签名文件来识别和应对 恶意软件。
启发式扫描的问题： （1）错误警报。 （2）慢速扫描。 （3）新特征可能被遗漏。 3、行为阻止 着重于恶意软件攻击的行为，而 不是代码本身。
三、防病毒软件原理 防病毒软件专门用于防护系统， 使其免受来自任何形式的恶意软件 （而不仅仅是病毒）的侵害。防病毒 软件可以使用许多技术来检测恶意软 件。其技术工作原理包括：
1、签名扫描 搜索目标来查找表示恶意软件的模式。 这些模式通常存储在被称为“签名文件” 的文件中，签名文件由软件供应商定期更 新，以确保防病毒扫描器能够尽可能多地 识别已知的恶意软件攻击。 主要问题：防病毒软件必须已更新为 应对恶意软件。
3、检查常用的隐藏区域 某些恶意软件攻击已经使用了有效的 系统文件名，但将该文件置于其他文件夹 中，以免被 Windows 文件保护服务检测到。 例如，恶意软件曾使用一个名为 Svchost.exe 的文件，该文件通常安装在 %WINDIR%\System32 文件夹中并在该文 件夹中受到保护。直接在 %WINDIR% 文 件夹中创建同名文件的恶意软件示例已被 看到，因此必须检查完整路径和文件名。
恶意代码分析教学
§1 恶意软件
一、 什么是恶意软件
“恶意软件” 指故意在计算机系统上 执行恶意任务的病毒、蠕虫和特洛伊木马。 1、特洛伊木马 （1）远程访问特洛伊 （2）Rootkit 2、蠕虫 3、病毒
二 、恶意软件的特征
– 1、目标环境 （1）设备。 （2）操作系统。 （3）应用程序。 – 2、携带者对象 （1）可执行文件。 （2）脚本。 （3）宏。 （4）启动扇区。
ห้องสมุดไป่ตู้
– 3、传输机制
（1）可移动媒体。 （2）网络共享。 （3）网络扫描。 （4）对等 (P2P) 网络。 （5）电子邮件。 （6）远程利用。
– 4、负载
一旦恶意软件通过传输到达了宿主计 算机，它通常会执行一个称为“负载”的 操作，负载可以采用许多形式。常见负载 类型包括： （1）后门。 （2）数据损坏或删除。 （3）信息窃取。 （4）拒绝服务 (DoS)
四、分析本地注册表 备份和恢复注册表。成功备份注册表后， 在以下区域中检查任何异常的文件引用。 （参见书上示例）
五、 检查恶意软件和损坏的文件 1、对比 大多数恶意软件将修改计算机硬盘上的一 个或多个文件，而查找已受到影响的文件可能 是一个很困难的过程。如果通过映像创建了系 统，则可以将受到感染的系统直接与通过该映 像创建的全新系统进行比较。 2、搜索 可以使用 Windows 搜索工具，对自从恶 意软件首次引入系统时更改的所有文件进行系 统范围的搜索，以确定哪些文件已被更改。
§3 深层恶意代码防护
许多组织在安装了防病毒软件后 仍然感染了病毒。与网络安全设计一 样，设计防病毒解决方案时采用深层 防护方法，了解防护模型的每个层以 及对应于每个层的特定威胁，以便在 实施自己的防病毒措施时使用此信息， 确保在设计时采用的安全措施将得到 可能的维护。
一、恶意软件的威胁方法 恶意软件可以通过许多方法来损害目标， 下面是最容易受到恶意软件攻击的区域： • 外部网络 • 来宾客户端 • 可执行文件 • 文档 • 电子邮件 • 可移动媒体
• • • • • •
七、检查共享文件夹 恶意软件的另一个常见症状是使用共享文件夹传 播感染。使用计算机管理 MMC 管理单元，或通过命 令行使用 NetShare 命令检查受感染系统上的共享文 件夹的状态。 八、 检查打开的网络端口 许多恶意软件一个常使用的技术是打开主机上的 网络端口，使用这些端口获取该主机的访问。 Netstat -an 九、 使用网络协议分析器 网络协议分析器工具可用于创建受感染主机传入 和传出的数据的网络流量日志。