网络恶意代码诊断及查杀方法

1恶性代码诊断及治疗2目录1.ASEC业务进程2.V3引擎结构3.V3引擎的诊断方法及治疗31.ASEC业务进程4监控对策监控恶性代码及安全威胁通过V3,SpyZero及网络信号对安全威胁应用对策保护保护客户的IT资产及Infra1.ASEC业务进程1.ASEC(AhnLabSecurityEmergencyresponseCenter)Mission5紧急对策引擎开发提供安全服务V3产品群,SpyZero产品群的引擎开发•对应防蠕虫,防间谍软件的网络信号•VBS(VirusBlockingService)•OM(OutbreakManagement)Policy•Windows安全及Application补丁24小时365天监控分析漏洞&恶性代码引擎升级提供分析信息1.ASEC业务进程2.ASECRole&Responsibilities63.ASEC组织结构图ASEC由以下4个小组构成1)对应小组364天,24小时实时监控,恶性代码初期对应,病毒申报中心V3及SZ引擎装卸2)分析1小组分析恶性代码,制作V3引擎,制作恶性代码的分析信息,体现诊断及治疗代码制作OMPolicy3)分析2小组制作TrusGuard信号,制作Spyware引擎,分析系统及网络漏洞4)引擎开发小组开发引擎,Flight引擎维修,Flight引擎改善1.ASEC业务进程74.ASEC恶性代码样品接收恶性代码样品接收路径1)韩国国内个人客户及企业客户2)韩国国内政府机关及情报保护单位3)中国法人,日本法人,国外政府机关,国外情报保护单位4)通过HoneyPot自行收集恶性代码样品5)与国外Anti-Virus企业交换样品(如在中国,与瑞星、江民及金山进行样本交流）接收样品分析[对应小组][分析1小组与分析2小组1.ASEC业务进程82.V3引擎结构92.V3引擎结构1.V3引擎文件现在V3产品群使用V3Flight(FastandLightHyperTechnology)引擎V3pro32e.dll–Flight引擎文件在C:\ProgramFiles\AhnLab\V3\System\13文件夹V3warpn.v3d–Flight引擎使用的恶性代码诊断名数据文件在Windows系统文件夹V3warpd.v3d–Flight引擎使用的恶性代码诊断及治疗数据文件在Windows系统文件夹102.V3引擎装卸1)以引擎初始化阶段,确保系统资料,准备检查2)执行文件检查3)感染时,治疗后再重新心检查4)执行引擎清除后,结束2.V3引擎结构113.V3引擎的诊断方法及治疗123.V3引擎的诊断方法与治疗1.V3主要诊断方法V3Flight引擎主要有5个诊断方法,以CRC检查为基本.1)PE-CRC在诊断一般PE文件时使用2)PE-EXTRA-CRC在一般PE文件中,CRC2选择困难时3)COM-CRC诊断DOS文件的COM文件时使用4)EXE-CRC诊断DOSEXE文件与HEAD诊断为MZ的文件时使用5)Script-CRC诊断Script文件(VBS,HTML,ASP,JS)等相同的Text基础文件时使用132.PE-CRC诊断方法是最常被使用的诊断方法,共使用3个CRC与1个文件Offset1)CRC1在PEHEAD选择共12Bytes的CRC2)CRC2在文件的EntryPoint选择100H之外的78H大小的CRC3)CRC3(UserCRC)在分析人员选择的文件Offset选择78H的CRCPE-CRC在PE文件中使用共252Bytes选择CRC3.V3引擎的诊断方法及治疗143.PE-EXTRA-CRC诊断方法3.V3引擎的诊断方法及治疗基本上与PE-CRC,但使用共3个CRC与2个文件Offset为选择PE文件的CRC2,计算EP+100H+78H,当超出PE文件领域时使用4.COM-CRC诊断方法使用4个CRC与1个文件Offset1)CRC1文件的第一个2Bytes2)CRC2文件的第二个2Bytes3)CRC3把文件的255Bytes以特定Seed演算后得出来的CRC4)CRC4分析人员指定的文件Offset中,把256Bytes以特定Seed演算后得出来的CRC15选择EXE文件的CS值与IP值,1个文件Offset及2个CRC1)EXE-CSEXE文件的16H位置上2Bytes2)EXE-IPEXE文件的14H位置上2Bytes3)CRC1文件的32Bytes以特定Seed演算后得出来的CRC4)CRC2分析人员指定的文件Offset中,把256Bytes以特定Seed演算后得出来的CRC3.V3引擎的诊断方法及治疗5.EXE-CRC诊断方法6.Script-CRC诊断方法把读取文件的引擎Buffer以特定Seed演算后得出来的CRC167.注册表的治疗(1)诊断文件时,若有与文件名相同的注册表数据时,在引擎中删除该数据或恢复此数据.1)HKLM部分HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce2)HKCU部分HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService3)HKU部分HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunHKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce3.V3引擎的诊断方法及治疗177.注册表的治疗(2)4)Windows服务部分HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]的下键5)HKCR部分HKEY_CLASSES_ROOT\batfile\shell\open\commandHKEY_CLASSES_ROOT\cmdfile\shell\open\commandHKEY_CLASSES_ROOT\comfile\shell\open\commandHKEY_CLASSES_ROOT\piffile\shell\open\commandHKEY_CLASSES_ROOT\scrfile\shell\open\commandHKEY_CLASSES_ROOT\regfile\shell\open\commandHKEY_CLASSES_ROOT\Inifile\shell\open\commandHKEY_CLASSES_ROOT\txtfile\shell\open\commandHKEY_CLASSES_ROOT\chm.file\shell\open\commandHKEY_CLASSES_ROOT\exefile\shell\open\command3.V3引擎的诊断方法及治疗18谢谢Q&A