网络主机恶意代码检测记录表

X区智慧政务网络恶意代码攻击检测报告目录1概述 (2)2检测结果汇总 (3)3感染威胁详情 (4)3.1木马感染情况 (4)3.1.1木马主要危害 (4)3.1.2木马感染详情 (4)3.1.3木马描述及解决方案 (6)3.2僵尸网络感染情况 (8)3.2.1僵尸网络主要危害 (8)3.2.2僵尸网络感染详情 (9)3.2.3僵尸程序描述及解决方案 (10)1 概述当前木马和僵尸网络攻击已经成为互联网安全安的主要威胁，由于其涉及很多经济、政治等因素，致使这些恶意威胁发展变化非常迅速，传统的安全防御手段难以及时检测、定位、清除这类恶意威胁。

上海市X区非常重视内部网X全，采用多种安全防范设备或措施提升整体信息安全水平，为检测内部木马等恶意攻击行为威胁，在网络中部署了一套僵尸木马网络攻击行为预警系统。

上海X信息安全技术有限公司是一家专门从事网络恶意攻击行为研究的高新企业，在恶意代码检测领域正在开展专业的探索和研究。

目前在上海市X区智慧政务网络中部署有一台网络恶意代码攻击检测系统，通过旁路镜像的方式接入上海市X区智慧政务网络中，当前系统旁路挂载在机房外网交换机上，流量在300 Mb/s。

当前部署的网络恶意代码攻击检测系统能够7*24监测网络中的流量并记录X区智慧政务网络内的业务服务器所感染的网站后门、木马或僵尸网络等恶意代码的情况。

2 检测结果汇总自2013年7月8日到2013年8月8日，这一段时间内，共检测到僵尸程序攻击9352次，木马攻击3666次，网站后门攻击174次。

目前X 区智慧政务网络威胁以僵尸网络程序攻击、木马攻击为主，并且检测到9352次僵尸网络攻击行为，需要尽快对这些木马、僵尸程序进行处理，以防止机密数据失窃密。

如下为所有内网络内部攻击行为分布图，通过图可以直观看出，僵尸程序、木马攻击行最为严重。

政务网络恶意代码攻击趋势图10002000300040005000600070008000900010000僵尸程序攻击木马攻击网站后门攻击935236661743 感染威胁详情3.1 木马感染情况3.1.1 木马主要危害(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外还有很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵，密码将很容易被窃取。

计算机网络设备定期检查记录表__医院计算机网络设备定期检查维护记录表维护时间1、计算机硬件及周边设备2、计算机软件第1周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第2周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第3周 3、进行数据备份 4、局域网网络设备1、计算机硬件及周边设备 2、计算机软件第4周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第1周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第2周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第3周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第4周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第1周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第2周 3、进行数据备份 4、局域网网络设备 1、计算机硬件及周边设备 2、计算机软件第3周 3、进行数据备份 4、局域网网络设备□计算机硬件及周边设备□计算机软件第4周□进行数据库备份□局域网网络设备检查维护项目5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ 5、工作环境整洁情况 6、科室的计算机、打印机维护 7、科室计算机时间、IP地址校对 8、其它__________ □工作环境整洁情况□科室的计算机、打印机维护□科室计算机时间、IP地址校对□其它___检查维护结果□ 良好□ 其它___维护人备注□ 良好□ 其它___年月□ 良好□ 其它___□ 良好□ 其它___□ 良好□ 其它___□ 良好□ 其它___年月□ 良好□ 其它___□ 良好□ 其它___□ 良好□ 其它___□ 良好□ 其它___年月□ 良好□ 其它___□ 良好□ 其它___备注：□计算机硬件及周边设备维护：计算机及外设(包括:计算机、打印机、复印机、扫描仪、摄像头等)安装、调试、保养、更新、送修、备故障检测及排除等。

恶意代码及其检测技术1.恶意代码概述1.1定义恶意代码也可以称为Malware，目前已经有许多定义。

例如Ed Skoudis将Malware定义为运行在计算机上，使系统按照攻击者的意愿执行任务的一组指令。

微软“计算机病毒防护指南”中奖术语“恶意软件”用作一个集合名词，指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。

随着网络和计算机技术的快速发展，恶意代码的传播速度也已超出人们想象，特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。

很多编程爱好者把自己编写的恶意代码放在网上公开讨论，发布自己的研究成果，直接推动了恶意代码编写技术发展。

所以目前网络上流行的恶意代码及其变种层出不穷，攻击特点多样化。

1.2类型按照恶意代码的运行特点，可以将其分为两类：需要宿主的程序和独立运行的程序。

前者实际上是程序片段，他们不能脱离某些特定的应用程序或系统环境而独立存在；而独立程序是完整的程序，操作系统能够调度和运行他们；按照恶意代码的传播特点，还可以把恶意程序分成不能自我复制和能够自我复制的两类。

不能自我复制的是程序片段，当调用主程序完成特定功能时，就会激活它们；能够自我复制的可能是程序片段（如病毒），也可能是一个独立的程序（如蠕虫）。

2.分析与检测的方法恶意代码与其检测是一个猫捉老鼠的游戏，单从检测的角度来说。

反恶意代码的脚步总是落后于恶意代码的发展，是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测，基于网络的检测方法主要有基于神经网络”、基于模糊识别“等方法，本文主要讨论基于主机的检测。

2.1 恶意代码分析方法2.1.1 静态分析方法是指在不执行二进制程序的条件下进行分析，如反汇编分析，源代码分析，二进制统计分析，反编译等，属于逆向工程分析方法。

（1）静态反汇编分析，是指分析人员借助调试器来对而已代码样本进行反汇编出来的程序清单上根据汇编指令码和提示信息着手分析。

附件1
XXXXXXX 网络安全检查表
九、本年度技术检测及网络安全事件情况
十、信息技术外包服务机构情况（包括参与技术检测的外部专业机构）
1本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

2本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分
控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

网络安全检查表格(总24页)--本页仅作为文档封面，使用时请直接删除即可----内页可以根据需求调整合适字体及大小--附件1网络安全检查表1本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

2本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

附件2网络安全管理工作自评估表9101112131415附件3重点行业网络安全检查结果统计表3网络安全事件分级标准参见《国家网络与信息安全事件应急预案》（国办函〔2008〕168号）附件4重点网络与信息系统商用密码检查情况汇总表统计密码设备时，国内指取得国家密码管理局型号的产品，国外指未取得国家密码管理局型号的产品（包括国外的产品）。

附件5重点网络与信息系统商用密码检查情况表备注：1. 表中的“密码机类”主要包括以下产品：IPSec/SSL VPN密码机、网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。

2. 表中的“密码系统”主要包括以下系统：动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。

3. 表中的“网络通信”主要包括以下产品：无线接入点、无线上网卡、加密电话机、加密传真机、加密VOIP终端等。

4. 表中“密码设备使用情况”的“产品型号”栏，应填写国家密码行政主管部门审批的商用密码产品型号，若产品无商用密码产品型号，可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。

通信行业网络安全检查表一、网络基础设施安全检查1. 检查网络设备的物理安全措施，包括防水、防尘、防雷击等；2. 检查网络设备的固件和软件版本，确保已安装最新的安全补丁；3. 检查网络设备的默认密码是否已修改，避免出现弱密码情况；4. 检查网络设备的访问控制列表(ACL)，限制非授权访问；5. 检查网络设备间的隔离措施，确保内部网络与外部网络相互隔离；6. 检查网络设备的日志记录功能是否启用，确保能够对网络活动进行监控和审计；7. 检查网络设备的入侵检测和防御系统是否正常运行；8. 检查网络设备与关键系统之间的物理隔离措施，防止攻击者通过网络设备入侵关键系统；9. 检查网络设备的备份和恢复机制是否已建立，以应对设备故障或数据丢失的情况；10. 检查网络设备的冗余配置，以提高网络的可用性和容错性。

二、网络通信安全检查1. 检查网络通信链路的加密措施，确保传输的数据不会被窃取或篡改；2. 检查网络通信协议的安全性，避免使用易受攻击的协议；3. 检查网络通信的身份验证机制，确保只有合法用户可以进行通信；4. 检查网络通信中的传输加密算法，确保数据传输的机密性；5. 检查网络通信的防火墙设置，限制未经授权的访问；6. 检查网络通信的反垃圾邮件和反病毒机制，防止恶意代码的传播；7. 检查网络通信的时钟同步机制，确保网络设备的时间一致性；8. 检查网络通信的网络地址转换(NAT)设置，保护内部网络的真实IP地址；9. 检查网络通信的域名系统(DNS)设置，防止DNS劫持和欺骗攻击；10. 检查网络通信的远程访问机制，限制对内部网络的远程访问。

三、网络应用安全检查1. 检查网络应用的身份验证机制，确保只有合法用户可以访问应用；2. 检查网络应用的数据输入验证机制，防止恶意用户输入攻击代码；3. 检查网络应用的访问控制机制，限制非授权访问；4. 检查网络应用的安全配置，避免使用默认或弱密码；5. 检查网络应用的数据加密机制，保护敏感数据的机密性；6. 检查网络应用的错误处理机制，防止信息泄露或拒绝服务攻击；7. 检查网络应用的日志记录机制，追踪异常操作和安全事件；8. 检查网络应用的更新和升级机制，确保及时应用安全补丁；9. 检查网络应用的备份和恢复机制，保护应用数据的完整性和可用性；10. 检查网络应用的安全教育和培训措施，提高员工的安全意识和技能。