中孚恶意程序辅助检测系统V单机版使用说明书.doc

中孚恶意程序辅助检测系统V2.0 之单机版 使用说明书 山东中孚信息产业股份有限公司 版权所有 翻版必究 版权声明 中孚公司,©2023版权所有，保存一切权力。 未经中孚公司书面批准不得擅自拷贝、传播、复制、泄露或复写本文档的所有或部分内容。本文档中的信息归中孚信息产业股份有限公司所有并受中国知识产权法和国际公约的保护。 信息更新 本文档及其相关计算机程序仅用于为最终用户提供信息，并且随时可由中孚信息产业股份有限公司更改或撤回。 免责条款 根据合用法律的许可范围，中孚公司按“原样”提供本文档而不承担任何形式的担保，涉及（但不限于）任何隐含的适销性、特殊目的合用性或无侵害性。在任何情况下，中孚公司都不会对最终用户或任何第三方因使用本文档导致的任何直接或间接损失或损坏负责，即使中孚公司明确得知这些损失或损坏，这些损坏涉及（但不限于）利润损失、业务中断、信誉或数据丢失。 本文档中所有引用产品的使用及本文档均受最终用户可合用的特许协议约束。 修订记录： 日期 版本 修改 2023-11-23 V1.0 第一版 目录 第一章 公司简介 3 第二章 中孚恶意程序辅助检测系统简介 5 2.1 概述 5 2.2 重要功能 6 2.3 重要特点 8 第三章 中孚恶意程序辅助检测系统使用向导 8 一、初始设立 8 二、功能介绍 10 2.1 计算机体检 10 2.2 U盘摆渡木马监测 21 2.3 木马扫描 24 2.4 域名实时监测 27 2.5 可疑文献扫描 33 第四章 技术服务 37 第一章 公司简介 中孚成立于1997年，是国内一流的信息安全保密产品供应商和安全服务提供商。公司是国家级软件产业基地--齐鲁软件园的骨干公司，国家火炬计划、国家发改委信息安全专项和国家电子信息产业发展基金项目承担单位。公司是首批在国内获得国家涉密集成资质的公司之一，具有国家认可的涉密信息系统综合服务能力。公司具有国家商用密码定点生产单位资质和商用密码销售许可证书，以及国家信息产业部认定的系统集成资质。 公司凭借自身的技术优势先后承担了六项国家级重点科研项目。通过不断的自主创新，公司在物理隔离、安全中间件、网络检查、终端安全防护、数据销毁和商用密码等技术领域取得了可喜的成绩，积累了宝贵的经验，现拥有40多个具有自主知识产权的软硬件产品，涉及技术领域如下： ●物理隔离领域：公司是国内最早从事物理隔离产品研发的主流厂商之一，物理隔离产品先后获得国家保密局、国家公安部、中国人民解放军等权威部门的十多项认证，产品与联想、浪潮两大主机厂家进行配套， 2023国内首家推出“实时切换物理隔离”技术，并且第一家通过国家保密局认证。 ●安全中间件领域： 2023年公司承担了国家保密局立项的《电子政务通用安全中间件V1.0》项目，并通过了国家级科学技术成果鉴定，该系列产品已经广泛应用到各级政府机关和军工公司的涉密内网中，为涉密网络提供符合国家保密标准的安全保障机制。 ●网络检查技术领域：采用单机检查取证技术、网络漏洞检查取证技术和互联网搜索取证技术，对计算机网络进行检查取证。该系列产品通过了国家保密局、军队的权威认证，已经成为我国各级保密和安全主管部门进行检查的专用设备。 ●数据销毁技术领域 ：该项技术于2023年在国家保密局科研立项，通过了国家保密局、军队的权威认证，填补国内空白，可以彻底解决数据删除后可以通过特殊工具被恢复的问题。 ●商用密码技术领域：公司是国家商用密码产品定点生产单位，自主研发的高速USBKey、高端加密卡、身份认证中心等系列产品在工商、金融、政府等领域得到了广泛应用。 ●终端安全防护领域：该系列产品通过国家保密局权威认证，采用先进的活体指纹辨认技术和USBKEY技术有效提高计算机终端和移动存储介质的安全保密性能。 公司专注信息安全保密领域，具有国内领先的自主研发能力，已经形成了以物理隔离和安全中间件技术为基础，覆盖信息安全体系多个层面的系列产品线，从底层硬件到上层安全应用软件，构建整体的安全产品平台。特别在物理安全、网络检查及数据销毁领域，全国领先，正引领着该领域的快速发展。 公司具有完善的质量管理体系，2023年通过了ISO 9001质量体系认证，2023年通过了CMMI三级评估，通过规范化的管理，公司建立了以山东为龙头，覆盖全国三十个省的销售服务网络，产品在国家保密局等几万家党政军机关或公司事单位得到了推广应用，受到了广大客户的好评与青睐。公司凭借资深经验，规范的实行管理，正逐步成为中国信息安全整体解决方案的一流提供商。 第二章 中孚恶意程序辅助检测系统简介 2.1 概述 随着网络技术的迅猛发展，网络安全问题的日趋严重，黑客袭击的日益猖獗，不亚于非典时期的病毒对人类社会的影响，数据安全、信息保护、用户隐私等问题变得比任何时期都重要。 近年来，境内外敌对势力和情报机构在采用收买、策反、渗透等传统手法的同时，更加注重借助高科技手段进行窃密，目的直指我党政军领导机关、国防军工科研生产单位和重要计算机信息系统，直指我要害部门、部位的涉密人员，直指我党和国家核心秘密。境内外敌对势力和情报机构窃取文献、帐号、信息的手段也在不断变化与进步，其袭击水平不断的提高，加上日趋成熟的袭击工具，以及越来越复杂的袭击手法，使得网络防范面临极大的困难。新型的未知恶意木马、病毒通过使用内核技术和变种技术对安装了防病毒、防火墙软件的计算机具有免疫力，仍然可通过U盘、网络下载、网站浏览、软件安装等多种途径潜入计算机。 传统杀毒软件和安全软件由于技术上的局限，对未知或者变种的木马病毒，在查杀和检测上一直处在一种被动的地位，传统通过病毒，木马特性码扫描方式进行查杀已经属于一种落后的方式。近几年来，国内一些安全厂商推出积极防御的防范方式对新型木马病毒进行防御，但是这种方式对于已经感染了木马或者木马使用针对性的方式躲开检测显得无能为力，这种新型木马对计算机实行肆虐的破坏和信息窃取，威胁极大！如何快速判断计算机是否健康，帮助计算机摆脱病毒、木马的破坏和侵蚀，是信息化维护和安全保密主管部门检查的一个工作重点。 单机体检系统使用本公司提出的一种新奇的技术，鉴于病毒木马在计算机中肯定有自己的运营行为，智能分析功能通过对计算机运营行为进行分析，只需一键式操作，对木马病毒的检测达成了一种智能化的状态，特别对于未知的病毒木马有良好的检测功能，并使用强大的底层技术，对自我进行保护，顽固的木马病毒可以轻松实现文献的粉碎，对通过各种手段隐藏自己的木马可以进行准确的定位。 其中U盘摆渡木马监测功能，为用户的安全和经济考虑，假如使用真实U盘进行检测，难免出现用户操作不小心，导致U盘木马的反复传播，并且检测时要配置专门U盘。本程序为避免以上现象,使用内核技术，虚拟出一个U盘，不需要用户提供检测用的U盘，虚拟的U盘和真实U盘同样，可以正常的对其使用U盘的一切操作。U盘摆渡木马对病毒行为检测，类似于杀毒软件的积极防御，可以准确有效地监控到木马、病毒对u盘感染或者窃取资料的行为，并且可以准确的提供应用户，方便用户进行查看和记录。 2.2 重要功能 中孚恶意程序辅助检测系统单机版是以防病毒的U盘或光盘作为软件载体，检查人员只需在被检计算机上运营载体中的软件程序，即可完毕对计算机是否感染已知高危木马和未知木马的一键式检测。系统通过静态和动态两个检测引擎搜集基础信息，运用木马特性库和评估模块进行基线安全点对比分析，并快速给出评估报告。更可运用“智能分析”模块动态跟踪分析已知或未知木马的入侵和窃密行为，通过嵌入式报表系统快速打印关注的检测项报告，检测结果一览无遗。 1、计算机体检 对目的计算机进行手动和智能分析，模块涉及智能分析、自运营启动项、进程管理、服务管理、本地端口、文献关联、IE加载项、HOST文献、SSDT等。 “智能分析”模块可疑根据木马的计算机进行判断，并且通过系统智能化的分析，给出用户安全的解决建议，保证计算机的使用安全。 2、U盘摆渡木马监测 摆渡木马是指通过移动存储介质像渡船同样在内外网之间摆渡木马和文档，是一种运用U盘等移动存储介质窃取内网机密信息的袭击手段。摆渡木马是当前物理隔离网络的最重要威胁。 “U盘摆渡木马监测”模块可以自动模拟U盘设备防止交叉感染，并监测U盘活动，从而发现目的计算机中潜在威胁。 3、木马扫描 扫描目的计算机系统中的木马等恶意程序。可以提供检测到的恶意程序的名称、安装时间、危害等级、危害行为具体描述和解决方案建议等信息。 4、域名实时监控 对目的计算机的域名访问进行实时监测，监测内容涉及域名、IP地址、地理位置等，可以及时、有效的发现目的计算机中潜在的恶意网络活动。 5、可疑文献扫描 检测系统中特别是系统目录下存在的可疑文献，涉及RAR、ZIP、7z文献等，这些可疑文献极有也许是木马活动所产生的文献。 2.3 重要特点 Ø 系统中“智能分析”模块，通过一键式操作即可以智能的分析计算机中存在的潜在威胁，给出客户具体的分析报告和解决建议。 Ø 检测系统安全性高，系统采用品有中孚特色的USBKey认证的方法，保证了软件以及软件监测信息的高度安全 Ø 敏锐的动态监测，分析木马在运营环境中的行为，综合检测启动方式、系统钩子、文献系统等多项特性 Ø 系统绿色无须安装，通过移动U 盘或光盘载体，一键式的简洁操作； Ø 检查支持Microsoft最新的Vista，win7操作系统，支持Microsoft Windows 2023/XP/2023/Vista/win7； Ø 操作简朴快捷，只需点击几下鼠标，即可完毕可疑文献的扫描。 第三章 中孚恶意程序辅助检测系统使用向导 一、初始设立 系统为了保证软件的安全使用，配置了专门的USBKey，通过专属的初始化工具进行初始化，默认密码为：12345678。 本软件为绿色软件，无需安装，以光盘为载体，双击zfrkt.exe程序文献便可打开本系统运营，操作简朴易行，初始界面如下图所示： 假如系统没有检测到相应的USBKey，会弹出提醒框，给出提醒框，如下图示： 校验码输入对的，会自动转入到软件主界面，如下图示： 通过主界面的左侧的功能按钮，可激活相应的应用程序。 二、功能介绍 本产品主界面涉及五个重要功能部分： 1. 计算机体检 2. U盘摆渡木马监测。 3. 木马扫描 4. 域名实时监测。 5. 可疑文献扫描。 下面我们具体的介绍五大功能模块的功能和使用方法。 2.1 计算机体检 隐藏是木马的天性，任何木马都希望在被侵入的计算机中隐藏起来不被发现，以实行其破坏行为，其启动方式也多种多样。木马经常藏于注册表、boot.ini文献、某些特定程序等文献中，并通过注册表、boot.ini文献、文献关联等方式自动启动。 通过计算机体检模块对计算机的扫描和检测，可以动态和静态的分析计算机系统中的注册表状况，插件状况，服务状况，进程状况等关系到计算机自身安全的实时信息。并且能通过计算机体检删除恶意插件，修改注册表，终止可疑进程，结束服务等方式来解除危险，恢复系统的安全性。 计算机体检模块中的“智能分析”功能针对木马的网络行为、署名校验等特性进行智能的判断，通过具体的“智能分析报告”可清楚的发现此类木马，并且可以通过一键式的操作对木马或者被感染文献进行准拟定位。 程序总体界面如下图，单击窗口左侧的功能选择部分可以方便的在各功能块中切换。 下面我们对“计算机体检”模块各功能进行具体的介绍。 2.1.1 智能分析 智能分析模块是针对没有署名的自启动项、未经署名的进程、异常的进程网络活动、未经署名的SSDT挂钩程序、隐藏注册表和可疑的网络行为等六项进行综合的分析。 1、智能分析 点击“智能分析”，系统即可自动运营，系统会提醒重新启动系统，如图所示：【提醒：请注意保存当前运营的文档，以免数据丢失】 点击“取消”可以取消当前的操作，点击“拟定”系统将自动的重新启动，进入系统界面，程序自动弹出校验USBKey的提醒，输入密码系统自动对计算机进行智能分析，分析结果如下图示： 2、智能分析报告 智能分析过程中，建议不要对软件进行操作，智能分析完毕，系统自动生成“智能分析报告”，点击相应按钮即可查看，如图所示： 3、导出分析报告 导出的报告分为两个部分，涉及“智能分析过程”和“智能分析报告”，均可以有选择的保存到存储类介质，点击“导出分析报告”，系统自动弹出保存对话框，如图所示： 一方面导出的是“智能分析过程”，选定途径，点击“保存”后，系统会再次弹出如上图的提醒，保存“智能分析报告”。 4、清除临时文献及卸载服务 模块为了方便用户的使用，提供了一键式的卸载服务，只需点击“清除临时文献及卸载服务”按钮，系统将在下次电脑启动时，自动将临时文献和服务完全卸载。 2.1.2启动项 启动项可以快速查看系统的注册表信息、启动项、boot.ini文献以及系统自动运营文献，帮助您分析这些文献中是否隐藏有木马程序，杜绝木马通过这些文献自动运营。 1、注册表 单击“注册表”可以把注册表中加载的起动项列出，如下图: 右键单击某项弹出如下菜单，单击即可进行相关的操作。 2、启动文献夹 单击“启动文献夹”可以将启动项中的内容列出，如下： 右键单击某项弹出如下菜单，即可进行相关的操作。 3、boot.ini 单击“boot.ini”，即可将C盘启动文献中的内容列出。 4、autorun.inf 单击“autorun.inf”即可检查各盘中是否有自动运营文献，如下： 2.1.3 进程服务管理 进程服务管理可以分析当前系统中存在的进程和服务情况，并且可以通过文献校验查看系统进程加载的动态链接库是否是是合法文献，防止木马经由进程服务侵入并隐藏于计算机系统中，维护系统的安全。 1、进程管理 单击“进程管理”，可以将当前系统中的进程列出，如下： 点击其中的某项可以将其中加载的动态链接库列出，如下图所示： 同时，点击工具栏中的“文献校验”或者单击“操作”菜单项下的“文献校验(C)”,可以对文献进行校验，并在动态链接库列表中显示出来，如下图所示： 2、服务管理 服务管理功能可以将当前系统的服务具体列出，其中涉及服务名、服务状态和服务的描述等情况，如下图所示： 2.1.4 安全检查 除了启动项和进程服务，木马还经常通过本地端口、文献关联、IE加载项和Hosts文献对计算机实行破坏行为。计算机体检中的安全检查通过度析本地端口、文献关联情况、IE加载项和hosts文献，有助于及时发现可疑木马程序。 1、本地端口监视 有些木马会积极侦听端口，或者会连接特定的IP和端口。通过本地端口监测，您可以在没有正常程序连接网络的情况下，查看本地端口信息，检查是否存在木马程序。 选中“本地端口监视”即可以将本地端口信息列出，涉及协议名称、本地地址、远程地址、连接状态以及进程程序名称，具体信息如下图所示： 2、文献关联 文献关联功能是为了防止有些木马会通过修改EXE文献关联来达成运营自身的目的。木马修改了关联以后会把积极权交还给系统，使用户觉察不出中了木马。在计算机体检中通过查看“文献关联”，利于发现借由文献关联侵入系统运营的木马程序。单击“文献关联”即可将常用文献的默认打开程序列出，如下图所示： 3、IE加载项 单击“IE加载项”即可将检查的结果列出，如下： 4、hosts文献 单击“hosts文献”可以打开本机的hosts文献，如图： 2.1.5 内核管理 SSDT功能是通过监控恶意程序通过修改此表的函数地址可以对常用Windows函数及API进行hook，来保护自己或者破坏防毒软件，从而实现对一些关心的系统动作进行过滤、监控的目的。 单击内核管理中的“SSDT”可以将当前系统服务描述表列出，其中涉及服务函数的原始地址和当前地址，如下所示： 对可疑的行为会以红色显示，可以通过点击右键对某项或所有SSDT表进行恢复（此项功能也许导致部分杀毒软件的积极防御功能失效，请慎用，一般来说只可以对智能分析分析出的内核木马进行恢复） 2.1.6导出HTML报告 单击菜单中的“状态报告导出”，可以将检查情况以HTML来显示，结果如下图所示： 其中绿色显示的部分为单功能超链接，点击可以查看本功能。 2.2 U盘摆渡木马监测 摆渡木马是一种特殊的木马，其感染目的计算机后，会尽量隐藏自己的踪迹.不会出现普通U盘病毒感染后的症状，唯一的动作就是扫描系统中的文献数据，运用关键字匹配等手段将敏感文献悄悄写回U盘中，一旦这个U盘再插入到连接互联网的计算机上，就会将这些敏感文献自动发送到互联网上指定的计算机中。摆渡木马隐蔽性、针对性很强，一般只感染特定的计算机，普通杀毒软件和木马查杀工具难以及时发现，对国家重要部门和涉密单位的信息安全威胁巨大。 本系统中的“U盘摆渡木马监测”模块就是专门针对此类木马设计的。通过该模块可以虚拟出一个U盘，当计算机感染U盘木马的时候，会对虚拟U盘执行相关操作，这时程序可以监测出是否携带摆渡木马，并记录可疑行为途径及可疑模块途径，防止信息泄露。 点击主界面中“U盘摆渡木马监测”，进入此模块界面，如下图所示： U盘摆渡木马注意事项： 1、 Windows2023系统下需要安装系统附带的扩展补丁 2、 Windows Vista和Windows 7系统需为正式发布版本 3、 在进行U盘摆渡木马检测过程中，为了数据的准确性，不要对电脑进行任何多余的操作，特别是程序自带的检测U盘，即“中孚U盘” 2.2.1木马行为监测 打开程序，点击“开始”或者单击“操作”菜单下的“开始”， 这是程序会自动模拟出一个128MB大小的U盘，在我的电脑中可以看到这个设备，如图: 假如软件开始运营，在顶端会显示“正在监测……”的提醒。在监测过程中，请不要对U盘进行操作，这时假如有恶意程序对U盘，甚至在后台进行读写操作，则会被记录。为安全人员判断是否为非法操作提供依据。 点击“停止”软件会在当前状态下停止，并且保存当前的监测结果。 监测的内容涉及木马的行为和可疑模块途径,如下图： 2.2.2 INF分析 假如不使用U盘，对真实U盘中的可疑INF文献（INF文献是U盘木马传播的重要文献）进行分析，请插入真实U盘，点击“INF分析”或“操作”菜单下的“INF文献分析”，系统会自动检测当前计算机中的真实U盘设备，假如被监测的U盘为安全U盘，则系统会提醒如图： 图1 假如检测到有此类行为，软件会将AUTORUN.INF文献检测结果进行记录，如下图所示： 2.2.3导出HTML报告 点击工具栏中的“导出”按钮或者单击“操作”菜单下的“导出HTML报告”，系统自动弹出提醒保存的对话框，如下图所示，选择要保存的途径，点击“保存”，文献将以HTML的形式保存。内容涉及木马的行为和可疑模块途径。 导出以后，保存为HTML格式，打开后如图所示： 2.3 木马扫描 木马扫描模块用于扫描目的计算机系统中的木马等恶意程序，可以提供检测到的恶意程序的名称、安装时间、危害等级、危害行为具体描述和解决方案建议等信息。 点击本系统主界面左侧的“木马扫描”，进入木马扫描模块，此模块主界面如下图所示。 木马扫描模块有以下几个功能。 2.3.1 扫描途径设立 如上图所示，在“木马扫描”界面的左侧，一方面可以勾选磁盘前面的选项框来扫描整个磁盘，另一方面也可以选择磁盘中的某几个文献夹进行扫描，如下图所： 2.3.2 参数设立 点击上图中右下角的“参数设立”，弹出扫描参数设立对话框，可对要进行扫描的方式进行设立，涉及快速扫描和深度扫描。 快速扫描针对目前流行的木马做快速扫描，扫描速度快，占用资源少。 深度扫描使用高达60万的恶意程序库做深度扫描，速度较慢，占用资源相对快速扫描多。 设立界面如下图所示： 2.3.3 木马扫描 设立好扫描途径后，点击“开始扫描”,便可对选中的扫描途径进行扫描，如下图所示： 在扫描过程中，可以随时点击“暂停扫描”或“停止扫描”。点击“暂停扫描”后，可以再单击“继续扫描”来继续进行木马扫描。点击“停止扫描”，将弹出如下图所示的对话框，提醒您是否的确要停止扫描。 2.4 域名实时监测 实时监控当前电脑的域名访问情况，记录下所有访问过的域名，并列出监测到的域名服务器的域名地址、地理位置、IP、时间，并可找出本地积极访问的域名地址，及时、有效的发现目的计算机中潜在的恶意网络活动。 点击本产品主界面左侧的“域名实时监测”，进入域名实时监测模块，此模块主界面如下图所示。 域名实时监测模块有以下几个功能点。 2.4.1 实时域名监测 点击界面工具栏中的“开始”或者单击“操作”菜单下的“开始监测”，便可实时监测当前电脑的域名访问情况，并记录下所有访问过的域，并列出监测到的域名服务器的域名地址、地理位置、IP、时间。如下图所示： 在监测过程中，点击工具栏中的“停止”或者单击“操作”菜单下的“停止监测”，即可停止域名监测。 2.4.2视图设立 点击工具栏中的“收起”或者单击“视图”菜单项下的“收起子项”，就可以将IP地址列下的IP地址展开，再次点击，即可收起每个IP地址子项。 初次点击“收起”如下图所示： 再次点击如图： 2.4.3 域名筛选 对于系统检测出来的域名信息，可以通过在界面下方的筛选框中输入您所要筛选的相关信息，便可显示符合规定的域名信息，如下图所示。 2.4.4解析本地区名 单击工具栏中的“本地区名”或点击“操作”菜单项下的“本地区名解析”便可对本地区名进行解析，如下图所示： 2.4.5 IP Whois查询 鼠标指向域名列表中某一项的IP地址，然后单击，便可打开IP Whois查询，如下如图所示： 同时，点击红色圈中所示的按钮可以将“IP Whois查询”列隐藏，如下图： 2.4.6导出HTML报告 本产品可以将监测到的域名信息以html的格式导出。点击工具栏中的“导出”或者点击操作菜单下的“导出HTML”，便可将信息导出，可以选择导出信息的存储位置。如下图所示： 导出格式为HMTL格式，打开后如图所示： 2.5 可疑文献扫描 此功能只要是检测恶意程序通过修改文献的扩展名，将程序进行伪装，逃过电脑的防护程序，进入电脑，进行非法的，具有破坏力的行为。 计算机系统特别是系统目录下的rar、zip、7z等可疑文献极有也许是木马活动所产生的文献。可疑文献扫描可以扫描指定目录下的可疑文献，以拟定计算机是否被木马程序袭击。 点击上图左侧的“可疑文献扫描”功能按钮，便进入可疑文献扫描功能模块的界面，如下图所示。以下我们来具体介绍这部分的功能及使用方法。 2.5.1参数设立 点击上图中右下角的“参数设立”，弹出扫描参数设立对话框，可对要进行扫描的文献类型进行设立。也可以勾选“只显示可疑文献”选项框，以设立是否显示所有文献。如图所示： 对文献类型设立好后，单击“拟定按钮”，设立便完毕。 2.5.2 扫描途径设立 如下图所示，在“可疑文献扫描”界面的左侧，既可以勾选磁盘前面的选项框来扫描整个磁盘，又可以选择磁盘中的某几个文献夹进行扫描。 2.5.3 可疑文献扫描 设立好扫描文献类型和扫描途径后，点击“开始扫描”,便可对选中的扫描途径进行扫描，如下图所示。 在扫描过程中，可以随时点击“暂停扫描”或“停止扫描”。点击“暂停扫描”后，可以再单击“继续扫描”来继续进行可疑文献的扫描。点击“停止扫描”，将弹出如图所示的对话框，提醒您是否的确要停止扫描。 第四章 技术服务 假如您有任何疑问，请与山东中孚信息产业股份有限公司联系。 技术服务电话： 说明书版本号：EYDJ V1.0