病毒，间谍软件，广告软件和 Rootkit

病毒，间谍软件，广告软件和 Rootkit
12/3/ :56 PM 病毒，间谍软件，广告软件和 Rootkit 褚诚云软件开发组长微软Windows 安全部门 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

提纲安全现状有害软件（病毒）间谍软件，广告软件 Rootkit Phishing 监测和防护 Q&A
12/3/ :56 PM 提纲安全现状有害软件（病毒）间谍软件，广告软件 Rootkit Phishing 监测和防护 Q&A © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

安全现状有害软件（病毒）增长的速度加快间谍软件，广告软件泛滥成灾 Rootkit技术发展迅速针对普通用户的Phishing攻击
12/3/ :56 PM 安全现状有害软件（病毒）增长的速度加快间谍软件，广告软件泛滥成灾 Rootkit技术发展迅速针对普通用户的Phishing攻击 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

用户和企业没有做好相应准备系统没有安装最新的安全补丁用户认为间谍软件，广告软件是免费软件的一部分 12/3/2018 12:56 PM
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12/3/ :56 PM 有害软件（病毒）的最新统计数据数据来源 Symantec 2005年3月发布的互联网安全报告 Q304/Q105有1403新的安全漏洞被发现较前六个月相比，增幅13% 97%安全漏洞的严重级别是中或高 04下半年发现7630新的有害软件较前六个月相比，增幅64% 在04下半年发现有害软件中，试图窃取用户机密信息较前六个月相比，从44%增长到54% 单个组织每日平均被攻击次数较前六个月相比，从10.6增长到13.6 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

目的和攻击模式目的：攻击模式： Israel的安全事件 http://www.msnbc.msn.com/id/8145520/
12/3/ :56 PM 目的和攻击模式目的：以前：登上报纸的头版头条现在：具体化的实际利益攻击模式：以前：感染范围大，速度快现在：受控传播,针对特定用户 Israel的安全事件 Zotob © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

有害软件分类后门 -- Backdoor 木马 -- Trojan 蠕虫 -- Worm
12/3/ :56 PM 有害软件分类后门 -- Backdoor 木马 -- Trojan 蠕虫 -- Worm 文件感染器 -- File infector (virus) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

传播方式利用操作系统的安全漏洞社会工程？Social Engineering 12/3/2018 12:56 PM

系统安全漏洞缓存溢出（ Buffer Overrun ） Code Red: IIS缓存溢出 Blaster: DCOM RPC缓存溢出
12/3/ :56 PM 系统安全漏洞缓存溢出（ Buffer Overrun ） Code Red: IIS缓存溢出 Blaster: DCOM RPC缓存溢出 Zotob: PnP缓存溢出 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

堆栈缓存溢出 Top of Stack Return Address char[128]
12/3/ :56 PM 堆栈缓存溢出 Top of Stack Return Address void UnSafeRecv(char* payload) char[128] { char localBuffer[128]; … … strcpy (localBuffer, payload); } © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

有害软件主体执行，系统被全面感染, 开始攻击其他机器
12/3/ :56 PM 典型攻击模式用户攻击方恶意的网络数据 OS存在安全漏洞缓存溢出恶意代码被执行发出下载请求有害软件主体有害软件主体执行，系统被全面感染, 开始攻击其他机器 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

社会工程攻击者通过某种手段，例如虚假信息，诱使用户执行一定的动作，已达到控制系统，窃取信息的目的用户参与
12/3/ :56 PM 社会工程攻击者通过某种手段，例如虚假信息，诱使用户执行一定的动作，已达到控制系统，窃取信息的目的用户参与 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

典型攻击模式邮件蠕虫攻击方用户发送电子邮件打开附件有害代码执行搜集邮件地址发送新的邮件以传播有害软件作为附件
12/3/ :56 PM 典型攻击模式邮件蠕虫攻击方用户发送电子邮件有害软件作为附件打开附件有害代码执行搜集邮件地址发送新的邮件以传播 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

反病毒软件文件扫描基于特征代码（signature） 12/3/2018 12:56 PM

实时防护反病毒驱动程序截获应用程序的文件调用监控I/O操作，以便反病毒软件扫描文件反病毒驱动程序反病毒软件文件系统应用程序
12/3/ :56 PM 实时防护反病毒驱动程序截获应用程序的文件调用监控I/O操作，以便反病毒软件扫描文件应用程序反病毒驱动程序文件系统驱动程序反病毒软件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

局限性反病毒软件工作基于病毒样本的特征代码仅依靠反病毒软件保护系统安全是不完善的对于小规模传播的病毒，可能没有特征代码
12/3/ :56 PM 局限性反病毒软件工作基于病毒样本的特征代码对于小规模传播的病毒，可能没有特征代码病毒爆发和反病毒软件公司提供特征代码之间有时间间隔仅依靠反病毒软件保护系统安全是不完善的 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

间谍软件/广告软件间谍软件广告软件未经用户允许，有以下行为的软件：广告，收集用户个人信息，修改系统配置等等。
12/3/ :56 PM 间谍软件/广告软件间谍软件未经用户允许，有以下行为的软件：广告，收集用户个人信息，修改系统配置等等。广告软件通过Banner和Popup显示广告的软件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

传播途径电子邮件邀请访问特定的网站，或是运行附件附加在其它软件中一起安装通过弹出对话框或其它手段诱使用户安装
12/3/ :56 PM 传播途径电子邮件邀请访问特定的网站，或是运行附件附加在其它软件中一起安装通过弹出对话框或其它手段诱使用户安装 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

感染间谍软件的症状广告框总是自动弹出 IE的缺省主页和搜索配置未经允许被修改 IE出现不熟悉的工具条，凭无法被正常删除计算机性能下降
12/3/ :56 PM 感染间谍软件的症状广告框总是自动弹出 IE的缺省主页和搜索配置未经允许被修改 IE出现不熟悉的工具条，凭无法被正常删除计算机性能下降操作系统频繁崩溃 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

反间谍软件和反病毒软件类似，主要是基于对文件的扫描。扫描基于间谍软件特征代码的数据库
12/3/ :56 PM 反间谍软件和反病毒软件类似，主要是基于对文件的扫描。扫描基于间谍软件特征代码的数据库 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

防护措施安装反间谍软件尽量从正式网站下载软件注意IE中Internet secure zone的配置使用右上角的“X”关闭弹出框
12/3/ :56 PM 防护措施安装反间谍软件尽量从正式网站下载软件注意IE中Internet secure zone的配置使用右上角的“X”关闭弹出框 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Rootkit 历史用于修改操作系统，以改变操作系统的表现行为的工具软件。而这种改变，往往不是操作系统设计时所期望的
12/3/ :56 PM Rootkit 历史术语来自于Unix系统。最早的一个版本是出现在SunOS 4 用于修改操作系统，以改变操作系统的表现行为的工具软件。而这种改变，往往不是操作系统设计时所期望的 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

隐藏信息 Rootkit可用于隐藏以下系统信息: 运行进程服务 TCP/IP端口文件注册信息Registry 用户帐号
12/3/ :56 PM 隐藏信息 Rootkit可用于隐藏以下系统信息: 运行进程服务 TCP/IP端口文件注册信息Registry 用户帐号 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

新的威胁越来越多的Windows系统的Rootkit 越来越多的有害软件，间谍软件和Rootkit 绑定
12/3/ :56 PM 新的威胁越来越多的Windows系统的Rootkit 越来越多的有害软件，间谍软件和Rootkit 绑定 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Win32 API 调用 Application NTExecutives Int 2E (NtCreateFile) User mode
12/3/ :56 PM Win32 API 调用 User mode Kernel mode Application NTExecutives Kernel32.dll (CreateFileW) Int 2E Ntdll.dll (ZwCreateFile) KiServiceTable (NtCreateFile) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

类型 User-Mode API 截获 Kernel-Mode API 截获 Kernel-Mode 数据结构修改
12/3/ :56 PM 类型 User-Mode API 截获 Kernel-Mode API 截获 Kernel-Mode 数据结构修改 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

检测Rootkit Offline OS检测 API副作用检测 Rootkit检测工具
12/3/ :56 PM 检测Rootkit Offline OS检测 API副作用检测 Rootkit检测工具 Strider/Ghostbuster，MS Research RootkitRevealer，Sysinternals © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

删除Rootkit 官方提供的工具重新安装系统 12/3/2018 12:56 PM

Phishing 复制一个官方网站的主页，诱使用户输入个人的机密信息，如银行账号，密码等等。 12/3/2018 12:56 PM

Phishing的最新统计数据数据来源 Symantec 2005年3月发布的互联网安全报告
12/3/ :56 PM Phishing的最新统计数据数据来源 Symantec 2005年3月发布的互联网安全报告 Symantec Brightmail AntiSpam™ 每周截获的phishing攻击从9百万次增长到3千3百万次 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

防护 http://www.microsoft.com/athome/security/email/phishing.mspx
12/3/ :56 PM 防护对特定的邮件信息要当心使用XP SP2 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

综合保护措施第一重要：用户培训综合措施：系统备份防火墙反病毒软件，反间谍软件及时安装操作系统的补丁尽量避免运行在系统管理员模式
12/3/ :56 PM 综合保护措施第一重要：用户培训综合措施：系统备份防火墙反病毒软件，反间谍软件及时安装操作系统的补丁尽量避免运行在系统管理员模式特定的硬件配置 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

AutoStart工具从www.sysinternals.com下载检测那些程序开机会自动运行 12/3/2018 12:56 PM

12/3/ :56 PM 资源 Windows 安全 Rootkit Phishing Sysinternal 信息安全Blog © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

病毒，间谍软件，广告软件和 Rootkit

Similar presentations

Presentation on theme: "病毒，间谍软件，广告软件和 Rootkit"— Presentation transcript:

Similar presentations

About project

反馈

请登录

Auth with social network:

病毒，间谍软件，广告软件和 Rootkit

Similar presentations

Presentation on theme: "病毒，间谍软件，广告软件和 Rootkit"— Presentation transcript:

Similar presentations

About project

反馈