恶意软件及反病毒学习总结
目录
恶意软件
特征
恶意软件分类
按照传播方式分类
病毒
蠕虫
木马
按照功能分类
后门
勒索
挖矿
恶意代码的免杀技术
特征码
文件免杀
改特征码免杀原理
花指令免杀原理
加壳免杀
内存免杀
行为免杀
反病毒技术
单机反病毒
检测工具
杀毒软件
网关反病毒
反病毒网关工作流程
配置过程
恶意软件
恶意软件包括任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备,还可能会影响与受感染设备通信的其他设备。恶意软件涵盖从最简单的电脑蠕虫和木马程序,到最复杂的电脑病毒等,都包括在内。
特征
1、强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。
2、难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。
3、浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。
4、广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
5、恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
6、恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。
7、恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。
8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。
恶意软件分类
按照传播方式分类
病毒
病毒是一种基于硬件和操作系统的程序,具有感染力和破坏能力,这与病毒程序的结构有关。病毒攻击宿主程序是病毒的栖身地,既是目的地也是出发点。
- 原理:当病毒感染宿主后将夺取控制权。寻找感染突破将病毒程序嵌入感染目标。借助计算机操作系统和宿主程序的运行。
- 病毒感染目标:硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件。主要通过感染文件传播。
例子:熊猫烧香
“熊猫烧香”是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒 ,它不但能感染系统中exe、html、com等文件,它还能终止大量的反病毒软件进程并且会删除拓展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户系统备份文件丢失)。
蠕虫
主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染和自身拷贝到另一台计算机上的程序。
- 原理:蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段,首先蠕虫程序随机 (或在某种倾向性策略下)选取某一段IP地址,接着对这一地址段的主机扫描,当扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理。. 同时,蠕虫程序生成多个副本,重复上述流程。
- 传播方式:通过网络发送攻击数据包
木马
- 传输方式:捆绑其他软件、利用网页。
按照功能分类
后门
- 典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
- 典型家族∶灰鸽子、pCshare
勒索
- 主要采用非对称加密方式
- 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
- 通过比特币或其它虚拟货币交易
- 利用钓鱼邮件和爆破rdp口令进行传播
挖矿
- 不会对感染设备的数据和系统造成破坏。
- 由于大量消耗设备资源,可能会对设备硬件造成损害。
恶意代码的免杀技术
- 修改文件特征码
- 修改内存特征码
- 行为免查杀技术
特征码
特征码就是一种只在病毒或木马文件内才有的独一无二的特征,它或是一段字符,或是在特定位置调用的一个函数。总之,如果某个文件具有这个特征码,那反病毒软件就会认为它是病毒。反过来,如果将这些特征码从病毒、木马的文件中抹去或破坏掉,那么反病毒软件就认为这是一个正常文件了。
文件免杀
通过一定的修改使得原本会被查杀的文件免于被杀。其中最直接的方法就是让反病毒软件停止工作,或使病毒木马”变”为一个正常的文件。
改特征码免杀原理
- 一种思想是改特征码,这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功!”这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了,如果是无关痛痒的,直接 将其删掉也未尝不可。
- 第二种原理仍是特征码如果一个文件某个特定区域的校验和符合病毒库中的特征,那么反病毒软件就会报警。所以如果想阻止反病毒软件报警,只要对病毒的特定区域进行一定的更改,就会使这一区域的校验和改变,从而达 到欺骗反病毒软件的目的,如图所示。这就是在定位特征码时,有时候定位了两次却得出不同结果的原因所在。
花指令免杀原理
加壳免杀
总结:基于文件的免杀基本上就是破坏原有程序的特征,无论是直接修改特征码还是加上 一段花指令,抑或是将其加壳,其最后的目的只有一个,那就是打乱或加密可执行文件内部的数据。
内存免杀
行为免杀
当文件查杀与内存查杀都相继失效后,反病毒厂商便提出了行为查杀的概念,从最早的“文件防火墙”发 展到后来的“主动防御”,再到现在的部分“云查杀”,其实都应用了行为查杀技术。
反病毒技术
单机反病毒
检测工具
- TCP View
- Regmon
- Filemon
- Process Explorer
- IceSword
- Process Monitor
- Wsyscheck
- SREng
- Wtool
- Malware Defender
杀毒软件
- 杀毒软件存在病毒特征库,包含了各种病毒的特征码,特征码是一段特殊的程序,从病毒样本中抽取而来,与正常的程序不太一样。把被扫描的信息与特征库进行对比,如果匹配到了特征库,则认为该被扫描信息为病毒。
- 病毒在运行的时候会有各种行为特征,比如会在系统里增加有特殊后缀的文件,监控用户行为等,当检测到某被检测信息有这些特征行为时,则认为该被检测信息为病毒。
网关反病毒
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。如果与互联网相连,就需要网关的防病毒软件。
场景应用
- 内网用户可以访问外网,且经常需要从外网下载文件。
- 内网部署的服务器经常接收外网用户上传的文件。
反病毒网关工作流程
- FTP(File Transfer Protocol):文件传输协议
- HTTP(Hypertext Transfer Protocol):超文本传输协议
- POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
- SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
- IMAP(Internet Message Access Protocol):因特网信息访问协议
- NFS(Network File System):网络文件系统
- SMB(Server Message Block):文件共享服务器
- 上传:指客户端向服务器发送文件。
- 下载:指服务器向客户端发送文件。
- 白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规 则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。
- 前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是 “example”就命中白名单规则
- 后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
- 关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
- 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
- 智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行 匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不 匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应 动作进行处理。
- 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
- 判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
- 病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
- 如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
- 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载 多种应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
如果协议和应 用都配置了响应动作,则以应用的响应动作为准。
- 如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。
配置过程
首先申请激活,配置并加载特征库对进入流量做限制,再配置安全策略,最后做例外签名等完善限制流量。
恶意软件及反病毒学习总结相关推荐
- IDS、恶意软件、反病毒网关、APT与密码学
目录 IDS 1.什么是IDS 2.IDS和防火墙的区别 3.IDS工作原理 4.IDS的主要检测方法有哪些详细说明? 5.IDS的部署方式有哪些? 6. IDS的签名是什么意思?签名过滤器有什么作用 ...
- 对抗恶意软件,反病毒软件还有戏吗?
对抗恶意软件,反病毒软件还有戏吗? 作者:Michael Kassner 翻译:PurpleEndurer,2010-04-08第1版 分类:安全 标签:软件,漏洞,恶意软件,攻击,反病毒软件,安全产 ...
- 恶意软件逃避反病毒引擎的几个新方法
本文讲的是恶意软件逃避反病毒引擎的几个新方法,火眼研究人员发现的几种恶意软件样本使用了一些耐人寻味的技术,能够更长久地维持对反病毒引擎的隐身状态. 火眼公司刚刚发布了一个新的威胁分析专题,名为&quo ...
- 恶意软件与反病毒技术
1.什么是恶意软件 恶意软件是任何软件故意设计造成损害到计算机.服务器.客户端或计算机网络(相比之下,软件导致无意的伤害由于一些缺陷通常被描述为一个软件错误).各种各样的类型的恶意软件存在的,包括计算 ...
- 网络防御 --- 恶意软件与反病毒详解
1.什么是恶意软件 恶意软件是指故意设计造成损害到计算机.服务器.客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误).恶意软件存在各种各样的类型,包括计算机病毒. ...
- 恶意软件与反病毒网关
目录 什么是恶意软件? 恶意软件有哪些特征? 恶意软件的可分为那几类? 恶意软件的免杀技术有哪些? 反病毒技术有哪些? 反病毒网关的工作原理是什么? 反病毒网关的工作过程是什么? 反病毒网关的配置流程 ...
- 安全防御第四天知识总结--(恶意软件、反病毒技术)
目录 1.什么是恶意软件? (1)按照传播方式分类 (2)按照功能分类 2. 恶意软件的免杀技术有哪些? 3. 反病毒技术有哪些? (1)单机反病毒 (2)网关反病毒 4.反病毒工作原理 5. 反病毒 ...
- IDS,恶意软件,反病毒网关,密码学,ssl
目录 什么是IDS? IDS和防火墙的区别? IDS的工作原理? IDS的主要检测方法有哪些详细说明? IDS的部署方式有哪些? IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么? ...
- 安全防御知识总结(IDS,APT,恶意软件,反病毒网关,对称/不对称加密)
1. 什么是IDS? IDS即入侵检测系统(Intrusion Detection System),是一种安全检测系统,通过监控网络流量.系统日志等信息,来检测系统中的安全漏洞.异常行为和入侵行为. ...
- 恶意软件及反病毒的一些知识
目录标题 什么是恶意软件? 恶意软件的特征 恶意软件可以分为几类? 按照传播方式分类 按照功能分类 恶意软件的免杀技术有哪些? 文件免杀 内存免杀 行为免杀 反病毒技术有哪些? 单击反病毒 网关反病毒 ...
最新文章
- 平面设计中的网格系统pdf_全面掌握版式设计中的网格系统
- 【Android 插件化】Hook 插件化框架 ( 从 Hook 应用角度分析 Activity 启动流程 一 | Activity 进程相关源码 )
- 计算机科学学院参加些什么比赛,计算机科学学院学生在“2018年中国大学生计算机设计大赛(西北赛区)”中喜获佳绩...
- 两个主机mtu不相同_案例详解:MTU不一致导致主机和RAC不断重启
- 层和 native_React-Native与小程序的底层框架比较
- dataframe.sum()函数
- NILMTK——因子隐马尔可夫之隐马尔可夫
- 分析一周后终于明白,为什么说不注重数据的企业会被时代淘汰?
- 适用于大型项目的TinyCircuits,硬件需求较小
- 一维数状数组区间修改,查询
- SetCapture()函数和ReleaseCapture()
- [洛谷P2370]yyy2015c01的U盘
- GoLang笔记—容器篇
- git的push rejected报错
- 单例模式的5种实现方式
- Activiti会签
- 财务内部收益率用计算机怎么算,财务内部收益率EXCEL怎么计算
- 输入一个有大写和小写的字符串,把其中的大写转化为小写,小写转化为大写。
- 评“最惨创业者”:伪装的道德,轻松绑架了契约精神
- php加密函数与解密函数