病毒，间谍软件，广告软件和 Rootkit

Slides:

Advertisements

Similar presentations

应用技术陕西华辉科技有限公司.

Advertisements

泛舆情管理平台 ——助力媒体业务创新新模式新格局创新盈利增长点 2/26/2017 1:59 AM 屈伟：创始人，总裁

中国银行业前置端操作系统移植研究.

3/3/ :01 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.

吴峻软件设计工程师组长 Exchange Server 微软有限公司

王书贵资深分析师 CCW Research 计世资讯

深市协助执法及证券查询业务介绍客户服务部 China Securities Depository

Database Architecture, not only DBA

抱怨處理技巧高雄捷運公司公共事務處胡宜萍安全 ‧ 便捷 ‧舒適 ‧ 可靠

请点击以下链接下载WinHEC的演讲材料

1. 设定愿景，确定业务场景 Microsoft Corporation

金融信息安全人才培养的思考与实践中央财经大学朱建明 2012年11月24日.

广东省广州市花都区教育局教研室汤少冰优化评估方式, 促进中学英语的教与学广东省广州市花都区教育局教研室汤少冰

張書源 Microsoft MVP MCT 趨勢科技技術經理網酷科技資深顧問集英信誠資深顧問

Office 2013 全新功能介紹台灣微軟 Office 大使楊承恩 Marcus Microsoft Office

——打造科技金融升级版中国建设银行顺德分行 2015年6月.

2017年9月14日12时3分 DEV349 Visual C 无缝集成，无限潜力李建忠微软特约讲师上海祝成科技

管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏，可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统，浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通，待开通后再告知大家。

四川省集体林权流转平台中国西部林权交易网

DEV323 .NET架构：全球化思想！定制各种文化及国际数据

IIS網站的安全性管理羅英嘉 2007年4月.

MBL 340 Tablet PC SDK：在您的应用程序中使用数字墨水

Windows Vista 操作系统最新安全特性

解振宇客户技术经理客户售前技术部微软中国有限公司广州办事处

轉移Windows XP的使用者環境到Windows Vista

11/17/2018 5:15 PM 病毒，间谍软件最新趋势 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes.

Mobile & Embedded DevCon 2005 朱敏博士微软有限公司

Windows Vista Internet Explorer 7.0 Overview

从UNIX到Windows的电信软件移植实践

Microsoft Office SharePoint Server 2007 事件追蹤與專案管理

SOLUTIONACCELERATORS Windows Vista Hardware Assessment 1

利用最新Hyper-V Replica 功能達成Hyper-V 災難備援機制

Windows Server 2008 NAP整合802.1x網路安全控管

互聯網安全資訊助您達至更安全的網上體驗.

中国科学技术大学肖明军《网络信息安全》中国科学技术大学肖明军

MSG 330 Exchange服务器性能调节技巧

凌云计算机病毒分析师安全商业和技术部微软有限公司

服務啟用、導入流程、郵件移轉步驟簡介 Microsoft Office 12/2/2018

OFC351 利用Office System开发复杂的商务解决方案架构、模式、场景

MBL 327 Windows Mobile开发中的异构系统集成

大学计算机基础典型案例之一构建FPT服务器.

第11章：一些著名开源软件介绍第12章：服务安装和配置本章教学目标：了解当前一些应用最广泛的开源软件项目搭建一个网站服务器

构建 Windows TV Tuner 产业生态环境的重要观点

使徒行傳 21:17-23章「保羅的見證(一)」引言預言保羅為主的名受許多的苦難的實現

凌宁系统工程师亚洲区嵌入式系统事业群微软（中国）有限公司

Windows 7 的系统设置.

2/24/2019 5:40 AM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.

教师课堂教学能力提升培训 ---“互联网+教育”考勤小测验 Plickers 洛阳理工学院

Windows Vista (Longhorn) 操作系统新的安全特性

SQL Server Mobile 2005 程序开发(三)

请点击以下链接下载WinHEC的演讲材料

可愛的鍬形蟲五年四班2.

4/30/2019 7:40 AM 約翰福音 15:9;17:20-23 加拉太書 6:1-2 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product.

模式与实践：Windows Mobile 5.0应用程序架构

DEV 343 VS2005超快速开发方案/EEP2006控件包.

微軟資安稽核解決方案 System Center 2012

使徒行傳 24-26章 [ 保羅的見證(二)] 徒9:15 “ 主對亞拿尼亞說、你只管去．他是我所揀選的器皿、要在外邦人和君王並以色列人面前、宣揚我的名。 ”]

IT 安全第 9节通信和网络控制.

TechEd /6/ :36 PM © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks.

Windows 徽标计划工具：综述与发展趋势

5/5/2019 7:06 PM 两跨框架梁截面配筋图的绘制 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.

SQL Server Mobile 2005 程序开发(二)

MBL302 设计Windows Mobile应用程序的用户界面

DEV 343 VS2005超快速开发方案/EEP2006控件包.

蔺华 ISV开发合作经理平台及开发技术部微软（中国）有限公司

MSG 361 如何从Exchange 5.5迁移胡义咨询顾问上海星移软件有限公司 2019年7月31日8时9分

入侵检测技术大连理工大学软件学院毕玲.

DEV310 Microsoft Visual Studio 2005托管代码调试

強化 Windows 平台唐任威資深講師.

高擴充高穩定高安全企業級資料管理平台 Report Builder概論錢曉明資策會資深講師台灣微軟資深講師.

Presentation transcript:

病毒，间谍软件，广告软件和 Rootkit 12/3/2018 12:56 PM 病毒，间谍软件，广告软件和 Rootkit 褚诚云软件开发组长微软Windows 安全部门 chchu@microsoft.com © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

提纲安全现状有害软件（病毒）间谍软件，广告软件 Rootkit Phishing 监测和防护 Q&A 12/3/2018 12:56 PM 提纲安全现状有害软件（病毒）间谍软件，广告软件 Rootkit Phishing 监测和防护 Q&A © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

安全现状有害软件（病毒）增长的速度加快间谍软件，广告软件泛滥成灾 Rootkit技术发展迅速针对普通用户的Phishing攻击 12/3/2018 12:56 PM 安全现状有害软件（病毒）增长的速度加快间谍软件，广告软件泛滥成灾 Rootkit技术发展迅速针对普通用户的Phishing攻击 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

用户和企业没有做好相应准备系统没有安装最新的安全补丁用户认为间谍软件，广告软件是免费软件的一部分 12/3/2018 12:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12/3/2018 12:56 PM 有害软件（病毒）的最新统计数据数据来源 Symantec 2005年3月发布的互联网安全报告http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 Q304/Q105有1403新的安全漏洞被发现较前六个月相比，增幅13% 97%安全漏洞的严重级别是中或高 04下半年发现7630新的有害软件较前六个月相比，增幅64% 在04下半年发现有害软件中，试图窃取用户机密信息较前六个月相比，从44%增长到54% 单个组织每日平均被攻击次数较前六个月相比，从10.6增长到13.6 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

目的和攻击模式目的：攻击模式： Israel的安全事件 http://www.msnbc.msn.com/id/8145520/ 12/3/2018 12:56 PM 目的和攻击模式目的：以前：登上报纸的头版头条现在：具体化的实际利益攻击模式：以前：感染范围大，速度快现在：受控传播,针对特定用户 Israel的安全事件 http://www.msnbc.msn.com/id/8145520/ Zotob © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

有害软件分类后门 -- Backdoor 木马 -- Trojan 蠕虫 -- Worm 12/3/2018 12:56 PM 有害软件分类后门 -- Backdoor 木马 -- Trojan 蠕虫 -- Worm 文件感染器 -- File infector (virus) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

传播方式利用操作系统的安全漏洞社会工程？Social Engineering 12/3/2018 12:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

系统安全漏洞缓存溢出（ Buffer Overrun ） Code Red: IIS缓存溢出 Blaster: DCOM RPC缓存溢出 12/3/2018 12:56 PM 系统安全漏洞缓存溢出（ Buffer Overrun ） Code Red: IIS缓存溢出 Blaster: DCOM RPC缓存溢出 Zotob: PnP缓存溢出 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

堆栈缓存溢出 Top of Stack Return Address char[128] 12/3/2018 12:56 PM 堆栈缓存溢出 Top of Stack Return Address void UnSafeRecv(char* payload) char[128] { char localBuffer[128]; … … strcpy (localBuffer, payload); } © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

有害软件主体执行，系统被全面感染, 开始攻击其他机器 12/3/2018 12:56 PM 典型攻击模式用户攻击方恶意的网络数据 OS存在安全漏洞缓存溢出恶意代码被执行发出下载请求有害软件主体有害软件主体执行，系统被全面感染, 开始攻击其他机器 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

社会工程攻击者通过某种手段，例如虚假信息，诱使用户执行一定的动作，已达到控制系统，窃取信息的目的用户参与 12/3/2018 12:56 PM 社会工程攻击者通过某种手段，例如虚假信息，诱使用户执行一定的动作，已达到控制系统，窃取信息的目的用户参与 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

典型攻击模式邮件蠕虫攻击方用户发送电子邮件打开附件有害代码执行搜集邮件地址发送新的邮件以传播有害软件作为附件 12/3/2018 12:56 PM 典型攻击模式邮件蠕虫攻击方用户发送电子邮件有害软件作为附件打开附件有害代码执行搜集邮件地址发送新的邮件以传播 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

反病毒软件文件扫描基于特征代码（signature） 12/3/2018 12:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

实时防护反病毒驱动程序截获应用程序的文件调用监控I/O操作，以便反病毒软件扫描文件反病毒驱动程序反病毒软件文件系统应用程序 12/3/2018 12:56 PM 实时防护反病毒驱动程序截获应用程序的文件调用监控I/O操作，以便反病毒软件扫描文件应用程序反病毒驱动程序文件系统驱动程序反病毒软件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

局限性反病毒软件工作基于病毒样本的特征代码仅依靠反病毒软件保护系统安全是不完善的对于小规模传播的病毒，可能没有特征代码 12/3/2018 12:56 PM 局限性反病毒软件工作基于病毒样本的特征代码对于小规模传播的病毒，可能没有特征代码病毒爆发和反病毒软件公司提供特征代码之间有时间间隔仅依靠反病毒软件保护系统安全是不完善的 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

间谍软件/广告软件间谍软件广告软件未经用户允许，有以下行为的软件：广告，收集用户个人信息，修改系统配置等等。 12/3/2018 12:56 PM 间谍软件/广告软件间谍软件未经用户允许，有以下行为的软件：广告，收集用户个人信息，修改系统配置等等。广告软件通过Banner和Popup显示广告的软件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

传播途径电子邮件邀请访问特定的网站，或是运行附件附加在其它软件中一起安装通过弹出对话框或其它手段诱使用户安装 12/3/2018 12:56 PM 传播途径电子邮件邀请访问特定的网站，或是运行附件附加在其它软件中一起安装通过弹出对话框或其它手段诱使用户安装 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

感染间谍软件的症状广告框总是自动弹出 IE的缺省主页和搜索配置未经允许被修改 IE出现不熟悉的工具条，凭无法被正常删除计算机性能下降 12/3/2018 12:56 PM 感染间谍软件的症状广告框总是自动弹出 IE的缺省主页和搜索配置未经允许被修改 IE出现不熟悉的工具条，凭无法被正常删除计算机性能下降操作系统频繁崩溃 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

反间谍软件和反病毒软件类似，主要是基于对文件的扫描。扫描基于间谍软件特征代码的数据库 12/3/2018 12:56 PM 反间谍软件和反病毒软件类似，主要是基于对文件的扫描。扫描基于间谍软件特征代码的数据库 http://www.microsoft.com/athome/security/spyware/default.mspx © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

防护措施安装反间谍软件尽量从正式网站下载软件注意IE中Internet secure zone的配置使用右上角的“X”关闭弹出框 12/3/2018 12:56 PM 防护措施安装反间谍软件尽量从正式网站下载软件注意IE中Internet secure zone的配置使用右上角的“X”关闭弹出框 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Rootkit 历史用于修改操作系统，以改变操作系统的表现行为的工具软件。而这种改变，往往不是操作系统设计时所期望的 12/3/2018 12:56 PM Rootkit 历史术语来自于Unix系统。最早的一个版本是出现在SunOS 4 用于修改操作系统，以改变操作系统的表现行为的工具软件。而这种改变，往往不是操作系统设计时所期望的 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

隐藏信息 Rootkit可用于隐藏以下系统信息: 运行进程服务 TCP/IP端口文件注册信息Registry 用户帐号 12/3/2018 12:56 PM 隐藏信息 Rootkit可用于隐藏以下系统信息: 运行进程服务 TCP/IP端口文件注册信息Registry 用户帐号 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

新的威胁越来越多的Windows系统的Rootkit 越来越多的有害软件，间谍软件和Rootkit 绑定 12/3/2018 12:56 PM 新的威胁越来越多的Windows系统的Rootkit 越来越多的有害软件，间谍软件和Rootkit 绑定 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Win32 API 调用 Application NTExecutives Int 2E (NtCreateFile) User mode 12/3/2018 12:56 PM Win32 API 调用 User mode Kernel mode Application NTExecutives Kernel32.dll (CreateFileW) http://rootkit.host.sk/knowhow/hookingen.txt Int 2E Ntdll.dll (ZwCreateFile) KiServiceTable (NtCreateFile) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

类型 User-Mode API 截获 Kernel-Mode API 截获 Kernel-Mode 数据结构修改 12/3/2018 12:56 PM 类型 User-Mode API 截获 Kernel-Mode API 截获 Kernel-Mode 数据结构修改 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

检测Rootkit Offline OS检测 API副作用检测 Rootkit检测工具 12/3/2018 12:56 PM 检测Rootkit Offline OS检测 API副作用检测 Rootkit检测工具 Strider/Ghostbuster，MS Research RootkitRevealer，Sysinternals © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

删除Rootkit 官方提供的工具重新安装系统 12/3/2018 12:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Phishing 复制一个官方网站的主页，诱使用户输入个人的机密信息，如银行账号，密码等等。 12/3/2018 12:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12/3/2018 12:56 PM 实例1 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12/3/2018 12:56 PM 实例2 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Phishing的最新统计数据数据来源 Symantec 2005年3月发布的互联网安全报告 12/3/2018 12:56 PM Phishing的最新统计数据数据来源 Symantec 2005年3月发布的互联网安全报告 Symantec Brightmail AntiSpam™ 每周截获的phishing攻击从9百万次增长到3千3百万次 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

防护 http://www.microsoft.com/athome/security/email/phishing.mspx 12/3/2018 12:56 PM 防护 http://www.microsoft.com/athome/security/email/phishing.mspx 对特定的邮件信息要当心使用XP SP2 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

综合保护措施第一重要：用户培训综合措施：系统备份防火墙反病毒软件，反间谍软件及时安装操作系统的补丁尽量避免运行在系统管理员模式 12/3/2018 12:56 PM 综合保护措施第一重要：用户培训综合措施：系统备份防火墙反病毒软件，反间谍软件及时安装操作系统的补丁尽量避免运行在系统管理员模式特定的硬件配置 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

AutoStart工具从www.sysinternals.com下载检测那些程序开机会自动运行 12/3/2018 12:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12/3/2018 12:56 PM 资源 Windows 安全 http://www.microsoft.com/athome/security/spyware/default.mspx Rootkit http://research.microsoft.com/rootkit/ Phishing http://www.microsoft.com/athome/security/email/phishing.mspx Sysinternal http://www.sysinternals.com 信息安全Blog http://blogs.itecn.net/blogs/chengyun_chu © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12/3/2018 12:56 PM 欢迎大家的反馈！ © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.