干货推荐：

ITSS题库

中国ITSS白皮书2.0【第二版】PDF

ITSS服务项目经理培训

ITSS服务项目经理培训——2-基本概念及方法

ITSS服务项目经理培训——3-IT服务设计

ITSS服务项目经理培训——4-IT服务转换

ITSS服务项目经理培训——5-IT服务运营(3)

ITSS服务项目经理培训——6-IT服务改进

ITSS服务项目经理培训——7-IT服务项目类别

ITSS服务项目经理培训——9-IT服务项目管理知识体系(1)

ITSS服务项目经理培训——10-IT服务项目群管理  

3.4 恶意代码防护技术

    3.4.1 恶意代码基础

        恶意代码，通常与恶意软件同义。广义上，恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意代码具有入侵性、破坏性等特点。

     

    3.4.2 恶意代码分类

       按传播方式进行分类，恶意代码通常可以分成五类：病毒，木马，蠕虫，僵尸程序和间谍软件。

       病毒（Virus）

       病毒的特性是“感染”。
   
       病毒是能够通过修改其他程序而“感染”它们的一种程序；修改以后的程序里面包含了病毒程序的副本，这样它就能继续感染其他程序。计算机病毒与生物学上的病毒一样，寄居到一台主机后，一个典型的病毒会暂时控制计算机的磁盘操作系统。当受感染的计算机和未受感染的软件接触时，就会把一份新的病毒拷贝添加到该程序中。
   
       病毒感染系统后，常常会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU 资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。

     

    蠕虫

       蠕虫的特性是自我复制和扩散。

        蠕虫是另一种能自行复制和经由网络扩散的程序。它跟计算机病毒有些不同，病毒通常会专注感染其他程序，但蠕虫是专注于利用网络去扩散。随着互联网的普及，蠕虫可以利用电子邮件系统去复制，例如把自己隐藏于附件并于短时间内电子邮件给多个用户。随着逆向工程技术的进步，越来越多的软件漏洞被发现，越来越多的蠕虫利用软件漏洞传播，如造成了巨大损失的冲击波蠕虫就是通过Windows 系统的RPC 缓冲区溢出漏洞MS03-026 进行传播的。其中比较典型的还有Blaster和SQL Slammer。

   

    后门程序（Backdoor）/木马（Trojan Horse）

        后门和木马的特性是隐藏。
   
       之所以将后门程序和木马分为一类，是因为两者的目标都是窃取信息。后门和木马会潜伏在计算机中，这类恶意代码不一定会感染系统文件、程序等，但是这类恶意代码的危害同样不容小觑。
   
       木马可以做的事情很多。木马的服务器端隐藏在被感染的系统中，客户端（我们一般称之为控制端）可以远程发出指令，控制端一般拥有很大权限，可以修改文件、注册表、控制I/O 读写等。

      木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

   

      僵尸程序（Bot）
     
       大量僵尸程序感染的主机构成僵尸网络（Botnet），其特性是一对多的控制。

       僵尸网络（Botnet），是指采用一种或多种传播手段，将大量主机感染僵尸程序（Bot），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

       Bot 程序的传播采用了一定的恶意传播手段进行的，如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，从这个意义讲恶意程序Bot 也是一种病毒或蠕虫。不过，Bot 的主要目的在于形成一对多的控制形式，使得大量Bot 主机执行相同的恶意行为，比如可以同时对某目标网站进行DDos 攻击，同时发送大量的垃圾邮件等。在执行恶意行为的时候，Botnet 充当了一个攻击平台的角色，这也就使得Botnet 不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

   

       间谍软件（Spyware）

       间谍软件的特性是通过隐瞒用户，执行某些操作，将一些信息传递到第三方。

        间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。 用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。

     

      3.4.3 恶意代码防护
      
      工具与资源准备

        确保有足够的工具（硬件和软件）和资源处理恶意代码。典型的工具有，信息包嗅探器，协议分析器等。

• 常用的恶意代码事件分析的硬件和软件
•  笔记本，提供分析数据和嗅探数据包的移动工作站；
•  额外的工作站，服务器和网络设备，在隔离的环境下测试恶意软件；
•  空白的存储媒介，譬如说软盘，CD 来存储和传输恶意软件样本；
•  信息包嗅探器和协议分析器获取和分析包含恶意活动的流量。
• 恶意代码事件分析资源
•  端口清单，包括常用的端口和已知的木马和后门程序；
•  操作系统，应用程序，网络协议以及病毒库等的文件；
•  网络流量图和关键设备清单，譬如网络，电子邮件和FTP 服务器；
•  预期网络，系统和应用程序的基线。
• 恶意代码事件处置软件
•  媒介，操作系统根磁盘，CD，操作系统媒介和应用程序媒介；
•  安全补丁；
•  操作系统，应用程序等的磁盘图像软件和备份图像。
  

       了解恶意代码事件的表征

       恶意代码事件表征有两种：恶意代码先驱（precursor）和迹象（indication），所谓先驱是指恶意代码攻击可能会在将来出现。迹象是指是指已经出现或是正在出现的表征。
绝大多数的恶意代码先驱以如下形式出现：

• 恶意代码咨询公司、杀毒软件开发商和其他的安全组织会发布新的安全警报。事件处理人员可以定制这些信息报告以便清楚了解时下新的风险，企业可以自行分析潜在的风险和攻击；
• 安全工具警报工具，如杀毒软件，IPS 等可以探测，隔离，删除，或是阻止恶意代码感染系统。这些行动导致安全警报的产生。例如，恶意代码的尝试攻击的失败导致的警报，同样的攻击可能通过未受监视的攻击因素侵入企业或是感染系统，这样就会导致安全事件；
• 先驱的探测给了企业一个修正安全状态防止恶意代码的窗口时间。在最坏的情况下，如果企业发现其将遭到攻击，就可以事先进入战时状态，防范恶意代码。但是绝大多数的恶意代码并没有一个明显的标志，其迹象的发生也就是在事件发生之前，因此，企业不应该依赖这种事先的预警；
• 尽管安全事件常常在没有任何迹象的情况下发生，但是却有很多恶意事件的表征。常见的表征如下：
•  网络服务器崩盘；
•  用户抱怨上网速度慢，系统资源的消耗和磁盘访问速度慢；
•  杀毒软件检测到主机感染了蠕虫；
•  系统管理员观察到异常特征的文件名；
•  日志中记录了配置的变化；
•  上网的时候，笔记本莫名重启；
•  电子邮件管理员注意到大量可疑邮件；
•  杀毒软件等安全措施被禁止；
•  管理员注意到异常流量。
  

       由于恶意代码本身产生的特征如此之多，所以要想完全将其所有表征列举下来是不可能的。

     确认恶意代码事件特征

      了解恶意代码活动特征是有效地进行抑制，清除和恢复活动的重要基础。事件处理人员要事先与安全管理人员合作了解关于恶意代码信息的数据来源，以及数据来源包括何种信息。除了常见的数据来源，譬如说杀毒软件，事件处理人员还需要使用如下来源：

•  防火墙和路由器日志文件；
•  电子邮件服务器和基于网络的IDS 监视器上的日志文件；
•  信息包嗅探器，基于网络的IDS 监视器和网络取证分析工具上的信息抓包工具，里面可能会包括恶意代码相关的流量。
  

    一旦事件处理人员接收到了探测来源数据和确认了恶意代码的特征，然后就可以和杀毒软件厂商的病毒库进行对照，确认恶意代码的原因。如果恶意代码出现已有时日，杀毒软件厂商一定会有关于其的详细信息：

•  恶意代码种类，（病毒，蠕虫，木马等）；
•  攻击的端口和网络服务；
•  攻击的漏洞；
•  电子邮件抬头，附件名，附件大小，关键内容；
•  可能被感染的操作系统，设备，程序等；
•    恶意代码如何感染系统；
•  恶意代码如何影响被感染的系统，包括被感染文件的名称和地点，更改的配置设置，安装的后门端口等；
•  恶意代码如何传播及怎样实施抑制；
  

    从系统中删除恶意代码可采用如下方法：

      确定事件响应的先后顺序

      一旦恶意代码事件被确认，下一步行动就是采取处理措施。有一些恶意代码，譬如蠕虫，会在短时间之内造成极大的危害，因此要优先处理类似病毒。其他恶意代码，诸如木马感染的只是单一系统，可以根据数据的价值等采取保护措施。

       抑制

       抑制恶意代码包括两部分：一是禁止恶意代码的传播，防止感染其他系统；针对所有的恶意代码都需要采取抑制措施。在应对恶意代码事件的过程中，确定采用何种抑制方式很重要。孤立感染事件和非传播性恶意代码的抑制很简单，采取直接断网或是关闭系统的方式即可。对于传播广泛的恶意代码事件来说，需要及时采取措施限制计算机感染的数量，造成的危害，以及减少完全恢复系统和服务的时间。
    在抑制恶意代码事件的过程中，要知道禁止恶意代码的传播并不能防止其对系统造成的进一步的伤害。即使是在完全禁止其传播之后，恶意代码还会继续传播和删除数据，应用程序和操作系统文件。除此之外，有一些恶意代码在断开网络连接或是采取抑制措施之后导致额外的伤害。譬如，有的感染系统运行的恶意程序不断与其他系统联系。如果切断网络就会切断与网络的联系，恶意代码就会重写主机硬盘上的所有数据。所以，仅仅断网是不够的，还要采取进一步的措施防止进一步的伤害。
    企业需要建立相关的流程，并做出抑制恶意代码相关的决定，这些决定要反映风险可接受性层级。例如，企业决定运行关键功能的系统即使在感染病毒的情况下也不能断网，因为断网有可能带来更大的损失。恶意代码抑制战略要支持事件处理人员根据不同的感染作出不同的抑制决策。


返回到首页 《ITSS认证IT服务工程师培训教材》_试用版_2011_0311连载http://www.itilxf.com/thread-36464-1-1.html
ITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员（People）、流程[1]（Process）、技术（Technology）和资源（Resource），简称PPTR、规划设计（Planning&Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群：21542747  

干货推荐：

ITSS题库

中国ITSS白皮书2.0【第二版】PDF

ITSS服务项目经理培训

ITSS服务项目经理培训——2-基本概念及方法

ITSS服务项目经理培训——3-IT服务设计

ITSS服务项目经理培训——4-IT服务转换

ITSS服务项目经理培训——5-IT服务运营(3)

ITSS服务项目经理培训——6-IT服务改进

ITSS服务项目经理培训——7-IT服务项目类别

ITSS服务项目经理培训——9-IT服务项目管理知识体系(1)

ITSS服务项目经理培训——10-IT服务项目群管理  

3.4 恶意代码防护技术

    3.4.1 恶意代码基础

        恶意代码，通常与恶意软件同义。广义上，恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意代码具有入侵性、破坏性等特点。

     

    3.4.2 恶意代码分类

       按传播方式进行分类，恶意代码通常可以分成五类：病毒，木马，蠕虫，僵尸程序和间谍软件。

       病毒（Virus）

       病毒的特性是“感染”。
   
       病毒是能够通过修改其他程序而“感染”它们的一种程序；修改以后的程序里面包含了病毒程序的副本，这样它就能继续感染其他程序。计算机病毒与生物学上的病毒一样，寄居到一台主机后，一个典型的病毒会暂时控制计算机的磁盘操作系统。当受感染的计算机和未受感染的软件接触时，就会把一份新的病毒拷贝添加到该程序中。
   
       病毒感染系统后，常常会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU 资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。

     

    蠕虫

       蠕虫的特性是自我复制和扩散。

        蠕虫是另一种能自行复制和经由网络扩散的程序。它跟计算机病毒有些不同，病毒通常会专注感染其他程序，但蠕虫是专注于利用网络去扩散。随着互联网的普及，蠕虫可以利用电子邮件系统去复制，例如把自己隐藏于附件并于短时间内电子邮件给多个用户。随着逆向工程技术的进步，越来越多的软件漏洞被发现，越来越多的蠕虫利用软件漏洞传播，如造成了巨大损失的冲击波蠕虫就是通过Windows 系统的RPC 缓冲区溢出漏洞MS03-026 进行传播的。其中比较典型的还有Blaster和SQL Slammer。

   

    后门程序（Backdoor）/木马（Trojan Horse）

        后门和木马的特性是隐藏。
   
       之所以将后门程序和木马分为一类，是因为两者的目标都是窃取信息。后门和木马会潜伏在计算机中，这类恶意代码不一定会感染系统文件、程序等，但是这类恶意代码的危害同样不容小觑。
   
       木马可以做的事情很多。木马的服务器端隐藏在被感染的系统中，客户端（我们一般称之为控制端）可以远程发出指令，控制端一般拥有很大权限，可以修改文件、注册表、控制I/O 读写等。

      木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

   

      僵尸程序（Bot）
     
       大量僵尸程序感染的主机构成僵尸网络（Botnet），其特性是一对多的控制。

       僵尸网络（Botnet），是指采用一种或多种传播手段，将大量主机感染僵尸程序（Bot），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

       Bot 程序的传播采用了一定的恶意传播手段进行的，如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，从这个意义讲恶意程序Bot 也是一种病毒或蠕虫。不过，Bot 的主要目的在于形成一对多的控制形式，使得大量Bot 主机执行相同的恶意行为，比如可以同时对某目标网站进行DDos 攻击，同时发送大量的垃圾邮件等。在执行恶意行为的时候，Botnet 充当了一个攻击平台的角色，这也就使得Botnet 不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

   

       间谍软件（Spyware）

       间谍软件的特性是通过隐瞒用户，执行某些操作，将一些信息传递到第三方。

        间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。 用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。

     

      3.4.3 恶意代码防护
      
      工具与资源准备

        确保有足够的工具（硬件和软件）和资源处理恶意代码。典型的工具有，信息包嗅探器，协议分析器等。

• 常用的恶意代码事件分析的硬件和软件
•  笔记本，提供分析数据和嗅探数据包的移动工作站；
•  额外的工作站，服务器和网络设备，在隔离的环境下测试恶意软件；
•  空白的存储媒介，譬如说软盘，CD 来存储和传输恶意软件样本；
•  信息包嗅探器和协议分析器获取和分析包含恶意活动的流量。
• 恶意代码事件分析资源
•  端口清单，包括常用的端口和已知的木马和后门程序；
•  操作系统，应用程序，网络协议以及病毒库等的文件；
•  网络流量图和关键设备清单，譬如网络，电子邮件和FTP 服务器；
•  预期网络，系统和应用程序的基线。
• 恶意代码事件处置软件
•  媒介，操作系统根磁盘，CD，操作系统媒介和应用程序媒介；
•  安全补丁；
•  操作系统，应用程序等的磁盘图像软件和备份图像。
  

       了解恶意代码事件的表征

       恶意代码事件表征有两种：恶意代码先驱（precursor）和迹象（indication），所谓先驱是指恶意代码攻击可能会在将来出现。迹象是指是指已经出现或是正在出现的表征。
绝大多数的恶意代码先驱以如下形式出现：

• 恶意代码咨询公司、杀毒软件开发商和其他的安全组织会发布新的安全警报。事件处理人员可以定制这些信息报告以便清楚了解时下新的风险，企业可以自行分析潜在的风险和攻击；
• 安全工具警报工具，如杀毒软件，IPS 等可以探测，隔离，删除，或是阻止恶意代码感染系统。这些行动导致安全警报的产生。例如，恶意代码的尝试攻击的失败导致的警报，同样的攻击可能通过未受监视的攻击因素侵入企业或是感染系统，这样就会导致安全事件；
• 先驱的探测给了企业一个修正安全状态防止恶意代码的窗口时间。在最坏的情况下，如果企业发现其将遭到攻击，就可以事先进入战时状态，防范恶意代码。但是绝大多数的恶意代码并没有一个明显的标志，其迹象的发生也就是在事件发生之前，因此，企业不应该依赖这种事先的预警；
• 尽管安全事件常常在没有任何迹象的情况下发生，但是却有很多恶意事件的表征。常见的表征如下：
•  网络服务器崩盘；
•  用户抱怨上网速度慢，系统资源的消耗和磁盘访问速度慢；
•  杀毒软件检测到主机感染了蠕虫；
•  系统管理员观察到异常特征的文件名；
•  日志中记录了配置的变化；
•  上网的时候，笔记本莫名重启；
•  电子邮件管理员注意到大量可疑邮件；
•  杀毒软件等安全措施被禁止；
•  管理员注意到异常流量。
  

       由于恶意代码本身产生的特征如此之多，所以要想完全将其所有表征列举下来是不可能的。

     确认恶意代码事件特征

      了解恶意代码活动特征是有效地进行抑制，清除和恢复活动的重要基础。事件处理人员要事先与安全管理人员合作了解关于恶意代码信息的数据来源，以及数据来源包括何种信息。除了常见的数据来源，譬如说杀毒软件，事件处理人员还需要使用如下来源：

•  防火墙和路由器日志文件；
•  电子邮件服务器和基于网络的IDS 监视器上的日志文件；
•  信息包嗅探器，基于网络的IDS 监视器和网络取证分析工具上的信息抓包工具，里面可能会包括恶意代码相关的流量。
  

    一旦事件处理人员接收到了探测来源数据和确认了恶意代码的特征，然后就可以和杀毒软件厂商的病毒库进行对照，确认恶意代码的原因。如果恶意代码出现已有时日，杀毒软件厂商一定会有关于其的详细信息：

•  恶意代码种类，（病毒，蠕虫，木马等）；
•  攻击的端口和网络服务；
•  攻击的漏洞；
•  电子邮件抬头，附件名，附件大小，关键内容；
•  可能被感染的操作系统，设备，程序等；
•    恶意代码如何感染系统；
•  恶意代码如何影响被感染的系统，包括被感染文件的名称和地点，更改的配置设置，安装的后门端口等；
•  恶意代码如何传播及怎样实施抑制；
  

    从系统中删除恶意代码可采用如下方法：

      确定事件响应的先后顺序

      一旦恶意代码事件被确认，下一步行动就是采取处理措施。有一些恶意代码，譬如蠕虫，会在短时间之内造成极大的危害，因此要优先处理类似病毒。其他恶意代码，诸如木马感染的只是单一系统，可以根据数据的价值等采取保护措施。

       抑制

       抑制恶意代码包括两部分：一是禁止恶意代码的传播，防止感染其他系统；针对所有的恶意代码都需要采取抑制措施。在应对恶意代码事件的过程中，确定采用何种抑制方式很重要。孤立感染事件和非传播性恶意代码的抑制很简单，采取直接断网或是关闭系统的方式即可。对于传播广泛的恶意代码事件来说，需要及时采取措施限制计算机感染的数量，造成的危害，以及减少完全恢复系统和服务的时间。
    在抑制恶意代码事件的过程中，要知道禁止恶意代码的传播并不能防止其对系统造成的进一步的伤害。即使是在完全禁止其传播之后，恶意代码还会继续传播和删除数据，应用程序和操作系统文件。除此之外，有一些恶意代码在断开网络连接或是采取抑制措施之后导致额外的伤害。譬如，有的感染系统运行的恶意程序不断与其他系统联系。如果切断网络就会切断与网络的联系，恶意代码就会重写主机硬盘上的所有数据。所以，仅仅断网是不够的，还要采取进一步的措施防止进一步的伤害。
    企业需要建立相关的流程，并做出抑制恶意代码相关的决定，这些决定要反映风险可接受性层级。例如，企业决定运行关键功能的系统即使在感染病毒的情况下也不能断网，因为断网有可能带来更大的损失。恶意代码抑制战略要支持事件处理人员根据不同的感染作出不同的抑制决策。


返回到首页 《ITSS认证IT服务工程师培训教材》_试用版_2011_0311连载http://www.itilxf.com/thread-36464-1-1.html
ITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员（People）、流程[1]（Process）、技术（Technology）和资源（Resource），简称PPTR、规划设计（Planning&Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群：21542747