恶意软件是指由网络犯罪分子设计的恶意程序,可通过创建后门入口来获得对计算设备的访问权,从而窃取个人信息、机密数据,实施对计算机系统的破坏。为了更好地防护恶意软件,避免由恶意软件造成的危害,必须对恶意软件进行分析,以了解恶意软件的类型、性质和攻击方法。
恶意软件分析工作主要包括在隔离环境下分析木马、病毒、rootkit、勒索软件或间谍软件等恶意软件家族的样本,运用各种方法,根据其行为了解攻击者动机、目的及恶意软件类型和功能等,并创建规则来实施相应的缓解措施。当我们分析受感染的机器或文件时,我们的目标主要包括:
有效的恶意软件分析可以帮助安全团队快速检测并防止攻击者实施破坏活动。本文将重点介绍目前常见的恶意软件分析方法及相关工具。
静态恶意软件分析
静态恶意软件分析包括提取和检查不同二进制组件和可执行文件的静态行为,比如API 标头、引用的DLL、便携式可执行(PE)区域以及更多此类内容。任何有悖于正常结果的偏差都记录在静态调查中。静态分析在不执行恶意软件的情况下完成,而动态分析一般是在受控环境下执行恶意软件来进行。
在静态分析中,涉及以下几个方面的工作:
静态分析工具包括 :
动态恶意软件分析
动态恶意软件分析是分析师发现恶意软件功能的首选方法。在动态分析中,分析师将构建用作恶意软件分析的虚拟机。分析师将通过沙盒来分析恶意软件,并分析恶意软件生成的数据包数据。在动态分析中,隔离环境以避免恶意软件逃逸非常重要。
在动态分析中,需要注意以下几个问题:
动态分析工具包括:
内存取证分析
内存取证分析含有关于系统运行时状态的信息,并提供将来自传统取证分析工件(网络、文件系统和注册表)关联起来的功能。
在内存分析中,涉及以下几个方面的工作:
内存取证分析工具包括:
恶意软件检测
恶意软件检测是指扫描计算机和文件以检测恶意软件的过程。它不是单向过程,实际上相当复杂。它结合多款工具和方法进行检测,检测和清除过程通常在50秒钟内完成,在恶意软件检测方面卓有成效。
以下是常见的几种检测方式:
恶意软件检测工具包括:
网络交互分析
网络交互分析在专注于网络安全的同时,还监控综合平台,以执行更普通的网络流量分析。被动网络嗅探器/数据包捕获工具可用于检测操作系统、会话、主机名和开放端口等,并不在网络上带来任何流量。可分析以太网、PPP、SLIP、FDDI、令牌环和空接口上的IPv4/6、TCP、UDP、ICMPv4/6、IGMP和Raw流量,采用与数据包嗅探相同的方式理解BPF过滤器逻辑。
网络交互分析工具包括:
代码调试器
代码调试器是实用的恶意软件分析工具,允许在底层分析代码。调试器的重要功能是断点(breakpoint)。断点命中时,程序执行被停止,并将控制权交给调试器,允许对当时的环境进行恶意软件分析。调试器可利用专门的中央处理单元(CPU)工具,可以让用户深入了解程序如何执行任务,并访问被调试程序的环境等。这在分析恶意软件时可能很有用,因为可以让用户看到调试器如何尝试检测篡改,并跳过有意插入的垃圾指令。
调试工具包括:
恶意URL分析
如今,网站暴露在各种威胁面前,受感染的网站将被用作跳板,帮助攻击者达到邪恶目的。比如,URL重定向机制已被广泛用于隐蔽地执行基于Web的攻击。重定向是指自动替换访问目的地,一般由Web上的HTTP协议加以控制。除了这种传统方法外,还经常使用自动访问外部Web内容(比如iframe标签)的其他方法。恶意URL分析是通过机器学习等方式,分析URL文本分词词频来检测恶意URL。
恶意URL分析工具包括:
沙盒技术
沙盒是一个重要的安全分析系统,可以隔离程序,防止恶意或失败的项目损害或窥视PC上的任何剩余部分。沙盒是严格控制的环境,限制了一部分代码可以执行的操作。
沙盒分析工具包括:
网域分析
网域分析是指安全分析师了解背景信息、检查网域和IP地址的过程。网域分析应该包括已找到信息的简要总结,以及使其他人能够找到该信息的参考资料。
网域分析工具包括:
参考链接:
为什么电脑光掉线?
使用ADSL上网会经常遇到网页打不开、下载中断、或者在线视、音频流中断、qq掉线、游戏掉线等现象。 我们不妨假定楼主是使用ADSL上网。 其实其他方式上网经常掉线的原因和下列原因大致相同。 下面我们来分析一下ADSL掉线的原因。 一,线路问题首先检查一下家里线路,看屋内接头是否接好,线路是否经过了什么干扰源,比如空调、冰箱、电视等,尽量与这些用电设备保持一定的距离。 也可以自行把室内的线路使用抗干扰能力更强的网线代替。 确保线路连接正确。 电话线入户后连接接线盒,然后再到话音分离器分离,一线走电话、一线走MODEM(分离器上有标注)。 同时确保线路通讯质量良好没有被干扰,没有连接其它会造成线路干扰的设备。 并检查接线盒和水晶头有没有接触不良以及是否与其它电线串绕在一起。 有条件最好用标准电话线,PC接ADSL Modem附带的双绞线。 线路是影像上网的质量的重要因素之一。 距离用户电缆线100米以内的无线电发射塔、电焊机、电车或高压电力变压器等信号干扰源,都能使用户下线接收杂波(铜包钢线屏蔽弱,接收信号能力强),对用户线引起强干扰。 受干扰的信号往往是无屏蔽的下线部分进入,因为中继电缆有屏蔽层,干扰和影响都很小。 如果在干扰大的地方用一些带屏蔽的下线,就会减少因干扰造成的速度不稳定或掉线现象。 另外,电源线不可与adsl线路并行,以防发生串扰,导致adsl故障。 另外其他也有很多因素造成网络不稳定,例如信号干扰、软件冲突。 手机这一类辐射大的东西一定不要放在ADSL Modem的旁边,因为每隔几分钟手机会自动查找网络,这时强大的电磁波干扰足以造成ADSL Modem断流。 二,网卡问题网卡一般都是PCI网卡或者板载网卡,选择得时候定要选择质量较好的,不然可能造成上网质量欠佳。 10M或10M/100M自适应网卡都可。 另外,许多机器共享上网,使用双网卡,这也是引起冲突同样值得关注,这时,应当拔起连接局域网或其它电脑的网卡,只用连接ADSL的网卡上网测试,如果故障恢复正常,再检查两块网卡有没有冲突。 三,ADSL MODEM或者网卡设置问题现在MODEM一般具有2种工作模式,一种是使用拨号软件的正常模式,一种是自动拨号的路由模式。 在正常模式工作下,不需要对MODEM进行设置,使用默认即可。 而路由模式则需要进行设置,MODEM带有自己的闪存,可以将帐户、密码盒设置存入,进行开机自动拨号。 此方法最常见的是设置错了 ADSL Modem的IP地址,或是错误设置了DNS服务器。 因为对于ADSL虚拟拨号的用户来说,是不需要设定IP地址的,自动分配即可。 TCP/IP网关一般也不需要设置。 但是设定DNS一定要设置正确,DNS地址可以从当地电信部门获得。 另外,TCP/IP设置最容易引起不能浏览网页的情况,一般设置为自动获得IP地址,但是DNS一定要填写。 其他采用默认即可四,ADSL Modem同步异常问题检查一下自己的电话线和ADSL连接的地方是否接触不良,或者是电话线出现了问题,质量不好的电话特别容易造成掉线,但是这样的问题又不好检查,所以务必使用质量较好的电话线。 如果怀疑分离器坏或ADSL Modem坏,尝试不使用分离器而直接将外线接入ADSL Modem。 分离器与ADSL Modem的连线不应该过长,否则不能同步。 排除上述情况,只要重起ADSL Modem就可以解决同步问题。 五,操作系统,病毒问题除了上面提到的线路状况外,还有电脑系统方面的问题。 比如传奇杀手引起局域网掉线。 该问题在全国均大面积发生,该病毒对主机代理和路由器代理的网吧(局域网)均会造成影响。 传奇杀手是一款对局域网进行ARP欺骗,虚拟网关地址,以收集局域网中传奇游戏登陆信息并进行分析从而得到用户信息的破坏性软件.工作流程:首先,将本机 MAC通过arp欺骗广播至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp欺骗的传奇杀手软件中.通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.发作状况:局域网与internet链接速度突然变慢甚至断开.网络游戏断开链接, 且重新登陆后提示服务器无相应。 建议首先查杀病毒;如果有能力的话,重新安装系统;如机器使用有双网卡,卸载一块网卡;建议对于电脑不是很熟悉的用户不要随意安装各种防火墙软件,设置不正确会造成上网不稳定。 有的操作系统可能对ADSL的相关组件存在兼容性问题,这样可以到微软对系统进行升级,或者修复系统。 有条件可以进行重装。 如果软件有冲突就尽量找出冲突软件,对其卸载或者其他方法解决。 六,防火墙,IE浏览器设置不对ADSL 虽然受到黑客和病毒的攻击可能性较小,但也不排除可能性,特别是网页病毒和蠕虫病毒。 病毒如果破坏了ADSL相关组件也会有发生断流现象。 如果能确定受到病毒的破坏和攻击,还发生断流现象时就应该检查安装的防火墙、共享上网的代理服务器软件、上网加速软件等,停止运行这类软件后,再上网测试,看速度是否恢复正常。 如果上网不稳定,可以尝试先关闭防火墙,测试稳定与否,在进行相应的设置。 另外防火墙引起或IE浏览器出现故障,也可导致可以正常连接,但不能打开网页。 七,静电问题静电是影响ADSL的重要因素,而家中的电源一般都不接地线,再加上各种电器(如冰箱、电视)的干扰,很容易引起静电干扰,致使ADSL在使用中频繁掉线,请将三芯插座的接地端引出导线并良好接地,一般可以解决掉线问题。 一般解决方法:增加接地线,解决掉线问题 。 八,软件冲突问题ADSL接入Internet的方式有虚拟拨号和专线接入两种,现在个人用户的ADSL大都是虚拟拨号。 而PPPOE(Point-to- Point Protocol over Ethernet以太网上的点对点协议)虚拟拨号软件都有各自的优缺点。 经过多方在不同操作系统的测试,如果使用的操作系统是Windows XP,推荐用它自带PPPOE拨号软件,断流现象较少,稳定性也相对提高。 如果使用的是Windows ME或9x,可以用以下几种虚拟拨号软件--enterNet、WinPoET、RasPPPoE。 其中,EnterNet是现在比较常用的一款, EnterNet 300适用于Windows 9x;EnterNet 500适用于Windows 2000/XP。 当你用一个PPPOE拨号软件有问题时,不妨卸载这个软件后换用一个其它的PPPOE拨号软件,请务必注意不要同时装多个PPPOE软件,以免造成冲突。 因为电话线上网是宽带接入的主要方式,而这样就必须设置一条虚拟通道,如果几种拨号软件混装就会引起冲突,造成网络及其不稳定。 如果软件有冲突就尽量找出冲突软件,对其卸载或者其他方法解决。 比如有的朋友BT下载会导致网络掉线。 可能下载的时候占用过多的线程导致断线。 另外,,QQ以及游戏掉线的原因除了上述你自己电脑的原因外,还可能与它们自身的服务器限制以及服务器被攻击或出现故障有关系。
优化了系统有什么用
优化系统主要是提高系统的性能,提高运行速度,你给个邮箱,我把一些专用的优化文件发给你,像优化服务、通过优化注册表优化系统的文件发给你,用优化大师、超级兔子、恶意软件清理助手等专用软件优化;360安全卫士没有系统优化的功能,它可以清理流氓软件,修复IE。 这是它的主要作用。
虚拟化有哪些应用?
服务器虚拟化主要的有三种Citrix XenServer微软 Windows Server 2008 Hyper-VVMware ESX Server 这是最常用的总特点:将服务器物理资源抽象成逻辑资源,让一台服务器变成几台甚至上百台相互隔离的虚拟服务器,或者让几台服务器变成一台服务器来用,我们不再受限于物理上的界限,而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”,从而提高资源的利用率,简化系统管理,实现服务器整合,让IT对业务的变化更具适应力VMware ESX ServerESX Server运行在服务器裸机上,是基于硬件之上的架构。 属于企业级应用。 用同一台服务器底层硬件,划分出若干虚机,集中管理,很方便的做集群,负载均衡,热迁移等功能。 XenCenter是Citrix的虚拟化图形接口管理工具,可在同一界面,管理多台的XenServer服务器。 管理上,通常会先在XenCenter建立一个服务器群组(Pool),然后将位于同一机房内的XenServer服务器加入。 和大多数服务器半虚拟化产品相同的是,当数台XenServer服务器连接到同一台共享磁盘驱动器,且将虚拟档案放置于此的前提下,可以通过Xen-Motion这项功能,将虚拟机以手动方式在线转移到其它的XenServer服务器,从事主机的维护,或者降低硬件资源的消耗。 微软Hyper-V虚拟化平台,是以Xen的虚拟化技术为基础开发而成的,而这个虚拟化平台目前已整合在64位的Windows Server 2008操作系统,我是从IT号外知道的。
发表评论