防御病毒 我的瑞星我做主—— “木马行为防御行为编辑器”防御木马系列一

使用瑞星2009的读者会发现,在最新版本的"工具"集合中加入了一款名为"木马行为防御行为编辑器"的小工具。使用该工具,我们可以自己编写规则来防御木马,并可以把这些规则导出为文件,共享给其他网友。别人在自己的瑞星上也可以导入这些规则,加强杀毒软件的主动防御能力。例如很多病毒都会"注入     

瑞星木马行为防御——从根本上杜绝病毒

现在用杀毒软件，只能查杀已知病毒，如果出现了变种或新的病毒，杀毒软件是无法删除的。虽说利用云安全能快速解决，但也会有部分人受到伤害。其实利用瑞星木马行为防御，就能从根本上解决木马病毒。不管什么木马或病毒，都是要制作相关的恶意操作，我们可以从对恶意操作设置入手，当系统发现有相关的恶意操作时，就会提示以杜绝病毒。下面以瑞星2009为例，讲讲如何利用木马行为防御来实现。     

我的瑞星我做主 用“木马行为防御行为编辑器”防范后门病毒

今天我们来学习一下后门病毒的防范方法。先来看后门病毒的病毒特征:通常后门病毒运行后会释放一个文件,并将其注册为系统服务,修改注册表,然后随一个进程启动而启动,例如IE。最终实现连接网络、远程控制、下载病毒,像灰鸽子这样的后门病毒就具有以上现象。针对这些行为我们应该如何建立"防御行为规则"呢?     

我的瑞星我做主 自编规则防范盗号木马

前两期我们了解了"木马行为防御行为编辑器"的基本作用以及一些病毒最基本的防范方法,今天我们来学一下目前非常流行的盗号木马病毒的防范方法。说到防范,首先,要了解一下盗号木马病毒的一些基本特征:释放DLL文件,注入Explorer.exe或其他进程,设置全局挂钩,设置Shell ExecuteHooks、Appinit_Dlls等键值以实现开机启动的目的。那么,针对这些常见的病毒破坏行为,我们应该如何建立"防御行为规则"呢?     

基于行为分析的木马检测系统

本文通过对木马及木马检测技术的研究,提出了基于行为分析的木马检测技术。主要对木马的行为特征进行抽象描述,首先根据一定的规则建立一个行为特征数据库,并结合启发式分析器来进一步分析判断被检测的程序是否是木马,同时做相应的处理。实验表明,与传统的木马检测技术相比,该算法准确率高,实时性强,占用系统资源少。     

木马运行机制及行为特征分析

为了更好地识别和查杀木马,介绍了木马程序的组成：被控制端和控制端,分析了控制端和被控制端的运行机制,研完了被控制端程序被植入到目标机器阶段、安装阶段、启动运行阶段及网络通信阶段的行为特征并予以归类,该研究结果对基于行为的木马查杀提供了较完善的行为特征库。     

警惕“看片木马”伪装成播放器

病毒名称:看片木马传播途径:网络下载行为分析:"看片木马"以盗版影视或色情内容作为诱饵,欺骗用户安装已植入木马的播放器插件。近期,电影大片接连上映,不法分子也会根据热门电影制作钓鱼网站,比如最近热映的"钢铁侠3"、"北     

基于心跳行为分析的木马快速检测方法

基于通信行为分析的木马检测算法的计算复杂度较高。为此,提出一种基于心跳行为分析的木马快速检测方法,通过对木马通信中心跳行为的描述,选取2个会话特征对木马通信流与正常通信流进行分类,基于该方法设计一个木马快速检测系统TRDS。实验结果表明,TRDS能够在百兆线速网络中快速有效地检测出木马通信。     

一种基于网络行为分析的反弹式木马检测方法

该文首先对反弹式木马的通信过程进行了分析,建立了反弹式木马的网络行为模型,提出了数据包簇的概念,并给出了形式化描述接着从网络行为分析的角度,提出了通过3个网络行为特征去检测木马心跳行为,通过6个网络行为特征去检测反弹式木马的交互性操控行为,并给出了实现算法实验结果表明,该算法对反弹式木马具有较好的检测效果．     

木马查杀与防御浅谈

由于木马具有远程控制计算机以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。文章对木马的壹杀进行了深入的论述，并在此基础上给出正确的防卫措施，帮助读者有效防范木马带来的危害。     

教你几招识别和防御Web网页木马

网页木马是网页恶意软件威胁的罪魁祸首,准确说,网页木马并不是木马程序,而应该称为网页木马"种植器",就是一种通过攻击浏览器或浏览器外挂程序(目标通常是 IE 浏览器和ActiveX 程序)的漏洞,向目标用户机器植入木马、病毒、密码盗取等恶意程序     

认识木马的本质 焚烧木马

据调查,目前在国内,78.26%的用户怀疑受到过木马病毒攻击,63%以上的电脑用户曾受过“木马”病毒攻击。木马和病毒有什么联系,又有什么区别?木马大致司分为哪些类型,它们又各有哪些特点?为什么木马难以清除?我们应该怎么样预防和手工清除木马?     

入侵容忍模式下木马特征行为阻断技术研究

介绍木马分类,分析提取出木马关键的特征行为及其实现的技术原理,由此提出入侵容忍模式下木马特征行为阻断策略,进而介绍挂钩系统服务调度表技术和NDIS中间驱动程序网络数据包拦截技术。在Windows 2000系统上构建一个完整的木马阻断系统,并且实现了该策略。分析各个模块的功能与工作过程,对各类特征行为定义了阻断的策略。最后对该系统作了测试与评价。测试结果表明,系统能有效地监测与阻断木马。     

采用行为分析的单机木马防护系统设计与实现

针对基于特征代码的静态木马检测技术的不足,通过实时监控程序的可疑行为,运用贝叶斯算法分析程序行为特征进而发现木马程序,并对恶意木马程序的非授权操作进行修复,设计并实现了一个基于行为分析的单机木马防护系统。实验表明：该木马防护系统在对检测率影响较小的前提下,显著降低了误报率。     

超强木马“食猫鼠”突袭互联网

正病毒名称:"食猫鼠"木马病毒危害:就在人们将网络安全的重点由传统的电脑移到移动终端时,一款名为"食猫鼠"的木马突然在互联网中快速传播起来。"食猫鼠"寄生于网络电台软件FIFM的安装包,在用户启动安装FIFM的时候就会释放并感染电脑。"食猫鼠"为了躲避安全工具的分析与追踪,严密监视用户的特定行为,如果发现用户正在使用常用反向分析与调试工具,或当前正在虚拟机中运行,就会放弃感染用户的电脑。     

基于时序分析的木马控制行为识别方法

传统指纹识别方法在检测新型未知木马时漏报率较高。为此,提出基于时序分析的无指纹木马控制行为识别方法。该方法先对数据流进行时序分簇处理,再计算分簇数据的加权欧氏距离,通过分簇数据的时序关系来识别木马控制行为。实验表明,该方法无需特征指纹库,且检测准确率高,占用资源少,能实现实时检测和处理。     

基于小波变换的木马心跳行为检测方法

通常的木马心跳行为检测方法利用的是聚类的思想,很难避免木马自身传输数据包的干扰,导致误报。为此,提出基于小波变换的木马心跳行为检测方法。该方法首先将TCP数据包流表示成包长度信号,然后用基于Mallat的强制阈值除噪算法对信号进行处理,最后通过基于包速率的行为详细信息判定算法得出检测结果。实验表明,该检测方法能有效地检测出心跳行为并具有较强的抗干扰性。     

基于特征分析和行为监控的未知木马检测系统研究与实现

木马是以盗取用户个人信息和文件数据,甚至是以远程控制用户计算机为主要目的并尽可能隐藏自身的恶意程序。近年来,随着黑客行为的职业化、利益化和集团化,网络入侵与攻击手段日新月异,木马等恶意代码已成为我国网络安全的重要威胁。现阶段,木马检测通常依赖于病毒软件的检测能力,防病毒软件一般采用特征码比对和行为识别的方式进行木马查杀,这种方式需要防病毒软件拦截木马样本进行分析,提取木马样本,对木马特种库进行升级后对木马进行识别,滞后性很强,无法对新出现的或无已知特征的木马进行查杀。文章对木马反杀毒技术、隐藏技术、突破主动防御技术进行探讨,并以此为基础,提出基于特征分析和行为监控的木马检测技术,完成了未知木马检测系统的设计与实现,能够在一定程度上弥补现有防病毒软件及安全措施只能查杀和监测已知木马而不能识别和查杀未知木马的不足。     

校园网病毒木马防治新方略

大学生网络安全意识较为淡薄,而校园网又给了病毒和木马绝好的传播平台。传统的查杀方法,即使你彻底杀掉了病毒或木马,同在一个校园网中的电脑上的病毒或木马也可能使你重复感染上这种病毒或木马。所以我们必须另辟蹊径,采用全新的云响应查杀方略,针对每一个学校,一定的用户查出某种病毒或木马的时候,全员启动针对该病毒和木马的专杀工具,做到在占用资源很小,不影响大学生游戏娱乐的情况下,云集响应,绝杀木马,切实维护大学生的利益。     

虚拟货币挖矿木马行为监测技术研究与应用

近年来,在利益驱动下通过传播挖矿木马程序,利用受害者主机算力进行挖矿获取虚拟货币的行为愈演愈烈。从攻击者视角分析了挖矿木马的暴力爆破、漏洞利用、木马植入、横向传播等典型攻击路径,基于挖矿协议的流量识别、威胁情报匹配、攻击链模型关联分析、AI基因模型监测等开展技术研究,结合研究成果进行了实际网络流量监测应用,为挖矿木马的防范和治理提供思考与借鉴。