欧美日韩在线亚洲综合国产人,情色九九

QQ 咨詢：361652718 513960520

知識學(xué)堂

·聯(lián)系電話:+86.023-75585550
·聯(lián)系傳真:+86.023-75585550
·24小時(shí)手機(jī):13896886023
·QQ 咨詢：361652718 513960520

當(dāng)前位置 > 首頁 > 知識學(xué)堂 > 常見技術(shù)問題

用簡單的工具從防火墻追蹤惡意軟件

更新時(shí)間：2012-04-04 | 發(fā)布人：本站 | 點(diǎn)擊率：345 次

對于應(yīng)付企業(yè)每日所面臨的各種信息安全威脅來說，能夠很好的控制企業(yè)網(wǎng)絡(luò)每日流進(jìn)流出的數(shù)據(jù)，是很關(guān)鍵的一步。過濾流出企業(yè)的數(shù)據(jù)，可以有效防止惡意軟件將重要信息泄漏出去或聯(lián)系攻擊方服務(wù)器，比如可以阻止僵尸電腦聯(lián)系服務(wù)器下載病毒的企圖。本文將向大家介紹Windows下的幾個(gè)免費(fèi)小工具，可以幫助網(wǎng)絡(luò)管理員確認(rèn)被防火墻攔截的流出數(shù)據(jù)是否存在潛在的安全威脅。

　　監(jiān)測潛在威脅

　　要控制流出企業(yè)的數(shù)據(jù)流，你必須定期檢查防火墻或路由器的日志文件，因?yàn)檫@些日志會顯示出任何不正常的數(shù)據(jù)流或惡意的數(shù)據(jù)傳播模式。不正常的輸出數(shù)據(jù)活動可能表現(xiàn)為定期嘗試連接某個(gè)遠(yuǎn)程地址的某個(gè)特殊端口，或者某個(gè)主機(jī)定期嘗試連接某個(gè)內(nèi)部服務(wù)器，而該主機(jī)的用戶通常情況是不需要訪問該服務(wù)器的。下面我們就舉個(gè)例子來具體分析一下，假設(shè)公司里有個(gè)Windows主機(jī)總是通過UDP端口12000嘗試連接一個(gè)IP地址位于俄羅斯的主機(jī)。

　　一旦你確定了公司內(nèi)這個(gè)主機(jī)的位置(并且通過殺軟對該主機(jī)進(jìn)行了全面掃描)，我們就可以使用netstat命令來檢查該主機(jī)的網(wǎng)絡(luò)連接狀態(tài)。使用netstat加上 -? 參數(shù)可以查看該命令所有可以使用的功能參數(shù)和相應(yīng)的介紹。下面就是netstat的相關(guān)功能參數(shù)，可能會在你的調(diào)查工作中用到:

-a	顯示所有連接和監(jiān)聽的端口號
-b	顯示涉及每個(gè)連接或監(jiān)聽端口的可執(zhí)行文件
-n	以數(shù)字順序排列現(xiàn)有連接地址和端口號
-o	顯示每個(gè)連接所涉及的進(jìn)程ID號
-p protocol	顯示使用某種協(xié)議的連接：TCP, UDP, TCPv6, 或 UDPv6.

需要注意的是，雖然使用-b參數(shù)可以列出發(fā)起連接的可執(zhí)行程序名稱，但是這個(gè)參數(shù)也會降低netstat命令的執(zhí)行速度，而且可能會讓你錯(cuò)過某個(gè)你在尋找的連接。通過數(shù)字順序排列的方式可以幫助你更好的閱讀命令執(zhí)行的反饋結(jié)果。

　　在我們的例子中，我只需要顯示使用UDP協(xié)議的連接，因此我們使用-p UDP參數(shù)，再加上 -a, -o 和 -n 參數(shù)。命令執(zhí)行結(jié)果如下圖所示(我修改了真實(shí)的IP地址)：

　　圖 A

用簡單的工具從防火墻追蹤惡意軟件

　　通過反饋的PID，我們可以在Windows的進(jìn)程管理器里確定發(fā)起該連接的進(jìn)程以及相關(guān)的程序。

　　圖 B

用簡單的工具從防火墻追蹤惡意軟件

　　有時(shí)候，直接運(yùn)行netstat就足夠確定引發(fā)該連接的進(jìn)程和相關(guān)可執(zhí)行文件了。但是有時(shí)候netstat的結(jié)果會誤導(dǎo)我們。在本例中，我們看到的可疑連接通過PID追溯到的可執(zhí)行程序是explorer.exe，這是Windows shell文件。將該文件上傳到VirusTotal (http://www.virustotal.com)進(jìn)行分析，顯示該文件是干凈的，并沒有被病毒感染或破壞。因此本例中肯定還存在某個(gè)隱形的程序。

　　進(jìn)入進(jìn)程監(jiān)視器Process monitor (procmon可以在以下地址下載：http://technet.microsoft.com/en-us/sysinternals/bb896645) 是Sysinternals開發(fā)的一款Windows工具，可以讓管理員實(shí)時(shí)查看活動的文件系統(tǒng)，注冊表和進(jìn)程/線程活動情況。該工具采用圖形界面，但同時(shí)也支持命令行模式。

　　啟動procmon.exe后，該軟件會理解開始捕獲事件。你可以將捕獲結(jié)果保存到日志文件以便日后分析。需要注意，在某些主機(jī)上，可能會在短時(shí)間內(nèi)產(chǎn)生大量事件，捕獲事件幾分鐘就會積累大量的事件記錄，同時(shí)保存下來的日志文件超大：

　　圖 C

　　要停止捕獲事件，選擇File菜單，Capture Events。在本例中，我們通過netstat知道可疑連接是由explorer.exe發(fā)起的，因此我們使用進(jìn)程監(jiān)控工具中的過濾器，只查看explorer.exe的活動情況。右鍵點(diǎn)擊列表中的任意一個(gè)explorer.exe 事件，選擇“include”。這個(gè)動作會忽略其它所有可執(zhí)行文件的記錄：

　　圖 D

　　當(dāng)然你也可以排除某個(gè)程序，這樣就會在當(dāng)前視圖中隱藏該程序的相關(guān)事件�；氐轿覀兊睦又�，我們可以發(fā)現(xiàn)捕獲到的連接遠(yuǎn)程IP的動作：圖 E

　　然后我們分析explorer.exe在發(fā)起連接請求前的動作，可以看到一個(gè)不正常的字串：

　　圖 F

上圖點(diǎn)擊放大

　　看上去好像explorer.exe 嘗試讀取注冊表中的某段信息，而且該注冊表信息指向回收站中的某個(gè)文件。對于惡意軟件來說，這是很常用的在電腦中隱藏自身的方法，所以我們很可能發(fā)現(xiàn)了真正的罪魁禍?zhǔn)住⑽募蟼鞯絍irusTotal進(jìn)行檢查，有幾個(gè)掃描引擎確認(rèn)該文件中存在某個(gè)古老木馬的變種，但是該變種的變化量太大，導(dǎo)致目前本機(jī)安裝的使用病毒特征碼為依據(jù)的殺軟無法將其識別出來。

　　上面介紹的只是一個(gè)很簡單的例子，我希望通過這個(gè)例子讓大家學(xué)習(xí)到相關(guān)工具的使用方法以及有關(guān)威脅檢測的相關(guān)方法，幫助大家更好的應(yīng)對企業(yè)辦公環(huán)境的潛在威脅