安全防御——防病毒网关

介绍
基本信息
工作原理
- 首包检测技术
- 启发式检测技术
- 文件信誉检测技术
处理过程
防病毒网关功能特点
防病毒网关与防火墙的区别
防病毒网关与防火墙的关系
防病毒网关与防病毒软件的区别
防病毒网关——查杀方式
- 防病毒网关查杀方式
反病毒网关的基本配置思路
传统防病毒网关面临的三大问题
防病毒网关的最新趋势
按照传播方式分类——病毒，蠕虫，木马
- 病毒
- 蠕虫病毒
- 木马
- 病毒，蠕虫，木马的区别
按照功能分类
- 后门
- 勒索
- 挖矿
恶意代码的特征
- **下载特征**
- **后门特征**
- **信息收集特性**
- **自身隐藏特性**
- **文件感染特性**
- **网络攻击特性**
- **病毒威胁场景**
- **病毒传播途径**
- - 电子邮件
  - 网络共享
  - P2P共享软件
  - 系统漏洞
  - 广告软件/灰色软件
**恶意代码的免杀技术**
- **原理**
- **文件免杀原理**
- - **改特征码免杀原理**
  - **花指令免杀原理**
  - **加壳免杀原理**
- **内存免杀原理**
- **行为免杀原理**
**反病毒技术**
一、结合以下问题对当天内容进行总结

网关在应用网络的应用层协议

介绍

防病毒网关是一种网络设备，用以保护网络内（一般是局域网）进出数据的安全。

主要体现在病毒杀除、关键字过滤（如色情、反动）、垃圾邮件阻止的功能，同时部分设备也具有一定防火墙的功能。如果与互联网相连，就需要网关的防病毒软件。

对于网关，相信大多数人都有接触过是对网络进行管理。但是防病毒网关，是一种在网关的基础上，增加了保护网络功能的一种全新网关。防病毒网关具有优秀的杀毒，关键字、关键词过滤、垃圾邮件拦截的功能，同时还具有防火墙功能，路由分配功能，可以对网络内设备进行分配，防病毒网关是一种功能强大的网关，下面就来介绍介绍，防病毒网关具有哪些特点吧。

基本信息

对于企业网络，一个安全系统的首要任务就是阻止病毒通过电子邮件与附件入侵。当今的威胁已经不单单是一个病毒，经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。网关作为企业网络连接到另一个网络的关口，就象是一扇大门，一旦大门敞开，企业的整个网络信息就会暴露无遗。从安全角度来看，对网关的防护得当，就能起到“一夫当关，万夫莫开”的作用，反之，病毒和恶意代码就会从网关进入企业内部网，为企业带来巨大损失。基于网关的重要性，企业纷纷开始部署防病毒网关，主要的功能就是阻挡病毒进入网络。

这种网关防病毒产品能够检测进出网络内部的数据，对HTTP、FTP、SMTP、IMAP四种协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作用。

防病毒网关也通常被称作UTM（统一威胁管理），目前比较有名的反病毒网关为McAfee公司的Web Gateway（也称MWG）和趋势科技的IWSA，这两种产品均采用经过优化的linux内核。

其中McAfee Web Gateway还支持https等加密流量的恶意代码检测，并支持URL过滤、应用控制、以及对互联网的使用行为进行统计等功能，性能和功能居于业界领导地位。

工作原理

首包检测技术

通过提取PE（Portable Execute;Windows系统下可移植的执行体，包括exe、dll、“sys等文件类型）文

件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采

用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

启发式检测技术

启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是

病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文

件不一致的行为达到一定的阀值，则认为该文件是病毒。

启发式依靠的是"自我学习的能力"，像程序员一样运用经验判断拥有某种反常行为的文件为病

毒文件。

启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境

的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认

情况下关闭该功能。启动病毒启发式检测功能∶heuristic-detect enable 。

文件信誉检测技术

文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特

征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文

件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。

文件信誉检测依赖沙箱联动或文件信誉库。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nd8LY3LQ-1663161949330)(.\安全防御图片\文件信誉检测技术)]

处理过程

\1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

\2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

NGFW支持对使用以下协议传输的文件进行病毒检测。FTP（File Transfer Protocol）：文件传输协议HTTP（Hypertext Transfer Protocol）：超文本传输协议POP3（Post Office Protocol - Version 3）：邮局协议的第3个版本SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议IMAP（Internet Message Access Protocol）：因特网信息访问协议NFS（Network File System）：网络文件系统SMB（Server Message Block）：文件共享服务器NGFW支持对不同传输方向上的文件进行病毒检测。上传：指客户端向服务器发送文件。下载：指服务器向客户端发送文件。

\3. 判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

白名单由白名单规则组成，管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。

\4. 针对域名和URL，白名单规则有以下4种匹配方式：

前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是“example”就命中白名单规则。

后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是“example”就命中白名单规则。

关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含“example”就命中白名单规则。

精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则。

\5. 病毒检测：

智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给FW，FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应动作进行处理。

病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上的病毒特征库需要不断地从安全中心平台（sec.huawei.com）进行升级。

\6. 当NGFW检测出传输文件为病毒文件时，需要进行如下处理：

判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。

病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。

应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。

由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。

如果协议和应用都配置了响应动作，则以应用的响应动作为准。

如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。

防病毒网关功能特点

1、智能接入，安全可靠

和工业网关一样，防病毒网关也支持通过ADSL，光纤等多种方式宽带接入方案，可实现扩展带宽和廉价的接入，可通过路由、NAT、多链路复用及检测功能为企业解决灵活扩展带宽和廉价接入的接入方案。

2、健康网络，应用安全

自带防火墙功能，可通过防火墙拦截病毒以及非法请求。用以保障企业的网络安全和数据的安全。还可通过DHCP服务器，ARP防火墙、DDNS等功能为企业提供全方位的局域网管理方案。

3、移动办公，快速安全

带有的SSLVPN、IPSEC、PPTP、L2TP等VPN功能，能够让用户通过一键式操作，方便快捷的建立价格低廉的广域网上专用网络，为企业提供广域网安全业务传输通道，便利的实现了企业总部与移动工作人员、分公司、合作伙伴、产品供应商、客户间的连接，提高与分公司、客户、供应商和合作伙伴开展业务的能力。

4、动态智能带宽管理

可通过动态智能带宽管理功能，对网络带宽进行合理分配，便于解决bt、p2p、p2p和视频视频下载和视频视频下载等带宽问题。

防病毒网关与防火墙的区别

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uL3ko4px-1663161949330)(.\安全防御图片\防病毒网关与防火墙的区别)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2uoJEiMo-1663161949330)(.\安全防御图片\防病毒网关与防火墙的网络传输的IP数据包结构)]

防病毒网关

分析数据包中传输数据内容

下载1个文件会被拆分多个数据包传输

对由数据包组成的文件运用反病毒技术分析是否为病毒

防毒墙对数据包分析比防火墙要深入

防火墙

分析数据包中原IP目的IP

匹配IP访问控制规则控制访问

防病毒网关与防火墙的关系

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hTJDPbk7-1663161949331)(.\安全防御图片\防病毒网关与防火墙的关系)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6kObkLAt-1663161949331)(.\安全防御图片\防病毒网关与防病毒软件关系)]

防病毒网关与防病毒软件的区别

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-52h6dw7D-1663161949332)(.\安全防御图片\防病毒网关与防病毒软件的区别)]

防病毒网关——查杀方式

1、对进出防病毒网关数据检测
综观国外的网关防病毒产品，其对数据的病毒检测还是以特征码匹配技术为主其扫描技术及病毒库与其服务器版防病毒产品是一致的
2、对检测出病毒数据进行查杀
如何对进出网关的数据进行查杀，是网关防病毒网关技术的关键。由于目前国内外防病毒产品还无法对数据包进行病L检测，所以各厂商在网关处只能采取将数据包还原成文件的方式进行病毒处理。

防病毒网关查杀方式

防病毒厂商所采取的方式又各不相同，主要分为以下四种方式:

1、基于代理服务器的方式

2、基于防火墙协议还原的方式

3、基于邮件服务器的方式

4、基于信息渡船产品方式

反病毒网关的基本配置思路

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x41exDcG-1663161949332)(.\安全防御图片\反病毒网关的基本配置思路)]

案例

某公司在网络边界处部署了FW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和

邮件，内网FTP服务器需要接收外网用户上传的文件。公司利用FW提供的反病毒功能阻止病毒文件在这

些过程中进入受保护网络，保障内网用户和服务器的安全。

其中，由于公司使用Ctdisk网盘作为工作邮箱，为了保证工作邮件的正常收发，需要放行Ctdisk网盘的

所有邮件。另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被FW判定为病

毒而被阻断（病毒ID为16424404），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放

行该类病毒文件，以使用户可以成功下载该软件。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QhG1Rjem-1663161949332)(.\安全防御图片\反病毒网关的基本配置思路案例)]

传统防病毒网关面临的三大问题

首先，传统防病毒网关一般是基于X86或者单一的ASIC、NP架构的，其单处理器的模式无法同时处理多个任务流，而其基于Proxy的引擎类型也无法同时处理多个环节，这致使其无法进行并行处理，网关性能只能依托于CPU主频，性能提升空间有限。

另一个制约其性能的因素是臃肿不堪的病毒库。如今每天新病毒木马都层出不穷，这导致传统反病毒网关使用的病毒特征库也变得越来越大，目前传统反病毒网关的病毒特征库总数一般都在十万级以上，如此庞大的病毒库数量，导致在其在分析文件时消耗CPU高，网关吞吐率变低，从而也会造成较高的延迟。但事实上，尽管如今病毒数量总量已经数以十万计，实际上每天活跃的病毒数量才一两千个，病毒特征库中绝大部分内容并没有发挥多少作用，而且，随着病毒数量的与日俱增，病毒库臃肿的问题只会越来越严重。

最后，网络应用的Web化趋势也给传统反病毒网关也带来了新的挑战。如今网络应用越来越复杂多样，同时呈现出Web化的趋势，用户每天在网络上要使用的诸多网络应用，如QQ、MSN等即时通讯工具，各种音频视频应用，各种CS(Client/Server)客户端，还有文件下载等，都通过Web化的形式呈现出来，这不仅增加了防病毒网关要处理的任务量，还提升了进行分析处理时的难度。传统的防病毒网关在目前的应用Web化趋势下，越来越显出其性能的相对不足，难以满足当前形势下的网络安全需求。

防病毒网关的最新趋势

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wE9qNxGx-1663161949332)(.\安全防御图片\防病毒网关的最新趋势1)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XL5G71xy-1663161949332)(.\安全防御图片\防病毒网关的最新趋势2)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PbIQyE2T-1663161949333)(.\安全防御图片\3)]

按照传播方式分类——病毒，蠕虫，木马

首先病毒，木马，蠕虫统称为电脑病毒。病毒（包含蠕虫）的共同特征是自我复制、传播、破坏电脑文件，对电脑造成数据上不可逆转的损坏。而木马独有特征是伪装成正常应用骗取用户信任而入侵，潜伏在电脑中盗取用户资料与信息。

病毒

病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。

计算机病毒感染的一般过程

当计算机运行染毒的宿主程序时，病毒夺取控制权；寻找感染的突破口；将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。

病毒感染目标包括

硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件（.exe）、命令文件（.com）、覆盖文件（.ovl）、COMMAND文件、IBMBIO文件、IBMDOS文件。

计算机病毒感染的一般过程

当计算机运行染毒的宿主程序时，病毒夺取控制权；寻找感染的突破口；将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。主要传播方式∶感染文件传播。

主要传播方式∶感染文件传播

例如， “熊猫烧香” 是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。由于被其感染的文件图标会被替换成 "熊猫烧香"图案，所以该病毒被称为"熊猫烧香"病毒。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TMVJUb0v-1663161949334)(.\安全防御图片\熊猫烧香)]

蠕虫病毒

蠕虫病毒一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它不需要附着在其他程序上，而是独立存在的。当形成规模、传播速度过快时会极大地消耗网络资源导致大面积网络拥塞甚至瘫痪。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QxIQi9r7-1663161949335)(.\安全防御图片\蠕虫病毒)]

蠕虫病毒原理：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yBCGbWBH-1663161949335)(.\安全防御图片\蠕虫病毒原理)]

传播方式∶ 通过网络发送攻击数据包

最初的蠕虫病毒定义是因为在D0S环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。
永恒之蓝:2017年4月14日晚，黑客团体Shadow Brokers（影子经纪人）公布一大批网络攻击工具，其中包含"永恒之蓝"工具，"永恒之蓝"利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日，不法分子通过改造"永恒之蓝"制作了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

木马

木马也称木马病毒，是指通过特定的程序来控制另一台计算机。与一般的病毒不同，它不会自我繁殖，也专并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施属种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

原理：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yrRowSnt-1663161949335)(.\安全防御图片\木马入侵原理)]

传播方式∶捆绑、利用网页

传播过程：
黑客利用木马配置工具生成一个木马的服务端；通过各种手段如Spam、Phish、Worm等安装到用户终端；利用社会工程学,或者其它技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端。

挂马代码的功能是在网页打开的时候，同时打开另外一个网页，当然这个网页可能包含大量的木马，也可能仅仅是为了骗取流量。

病毒，蠕虫，木马的区别

1、本质不同

病毒（包含蠕虫）是自我复制、传播、破坏电脑文件，对电脑造成数据上不可逆转的损坏。而木马是伪装成正常应用骗取用户信任而入侵，潜伏在电脑中盗取用户资料与信息。

2、特征不同

病毒的特征：很强的感染性；一定隐蔽性；一定的潜伏性；特定的触发性；不可预见性；很大的破坏性。

蠕虫的特征：它的入侵对象是整个互联网上的电脑；不采用将自身复制在租住程序的方式传播；通过互联网传播，极强的传染性、破坏性。

木马的特征：主要包括隐蔽性、自动运行性、欺骗性、自动恢复、自动打开端口。

按照功能分类

后门

·具有感染设备全部操作权限的恶意代码。
典型功能∶ 文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
典型家族∶ 灰鸽子、pCshare

勒索

通过加密文件，敲诈用户缴纳赎金。
·加密特点∶
主要采用非对称加密方式
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
·其他特点∶
通过比特币或其它虚拟货币交易
利用钓鱼邮件和爆破rdp口令进行传播
·典型家族∶ Wannacry、GandCrab、Globelmposter

挖矿

攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的
恶意代码。

特点∶
不会对感染设备的数据和系统造成破坏。

由于大量消耗设备资源，可能会对设备硬件造成损害。

恶意代码的特征

病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。

下载特征

很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。

后门特征

后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控；

某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。

信息收集特性

QQ密码和聊天记录；

网络游戏帐号密码；

网上银行帐号密码；

用户网页浏览记录和上网习惯；

自身隐藏特性

多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。

文件感染特性

病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体；

有的文件型病毒会感染系统中其他类型的文件。

Wannacry就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染wannacry之后，勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。

网络攻击特性

木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络；木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。

爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主题设置为“I LOVE YOU”，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。

病毒威胁场景

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FXv6gqma-1663161949336)(.\安全防御图片\病毒威胁场景)]

病毒一般是以文件为载体进行传播的。

病毒传播途径

电子邮件

HTML正文可能被嵌入恶意脚本；

邮件附件携带病毒压缩文件；

利用社会工程学进行伪装，

增大病毒传播机会；快捷传播特性。

网络共享

病毒会搜索本地网络中存在的共享，包括默认共享，如ADMIN、IPC、IPC、IPC、E、D、D、D、C$；

通过空口令或弱口令猜测，获得完全访问权限；

病毒自带口令猜测列表；

将自身复制到网络共享文件夹中；

通常以游戏、CDKEY等相关名字命名。

P2P共享软件

将自身复制到P2P共享文件夹；

通常以游戏,CDKEY等相关名字命名；

通过P2P软件共享给网络用户；

利用社会工程学进行伪装，诱使用户下载。

系统漏洞

由于操作系统固有的一些设计缺陷，导致被恶意用户通过畸形的方式利用后，可执行任意代

码。

病毒往往利用系统漏洞进入系统，达到传播的目的。

一些大家熟知的漏洞：

微软IIS漏洞

快捷方式文件解析漏洞

RPC远程执行漏洞

打印机后台程序服务漏洞

广告软件/灰色软件

灰色软件是指不被认为是病毒木马，但对用户的计算机会造成负面影响的软件。比如说广告软件，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定而被安装。

其他

网页感染；

与正常软件捆绑；

用户直接运行病毒程序；

由其他恶意程序释放。

恶意代码的免杀技术

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。

免杀技术又称为免杀毒（Anti Anti- Virus）技术，是防止恶意代码免于被杀毒设备查杀的技术。

主流免杀技术如下∶

修改文件特征码

修改内存特征码

行为免查杀技术

原理

免杀的最基本思想就是破坏特征，这个特征有可能是特征码，有可能是行为特征，只要破坏了病毒与木马所固有的特征，并保证其原有功能没有改变，一次免杀就能完成了。

特征码就是反病毒软件用于判断文件是否带病毒的一段独一无二的代码，这些特征码在不同的反病毒软件的病毒库中不尽相同。

特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。

文件免杀原理

黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下，通过一定的更改，使得原本会被查杀的文件免于被杀。

要达到不再被杀的目的方法有很多种，其中最直接的方法就是让反病毒软件停止工作，或使病毒木马“变”为一个正常的文件。

然而如何使一个病毒或木马变成一个正常文件，对于黑客们来说其实是一个比较棘手的问题，不过只要学会了一种免杀原理，其他的免杀方案也就触类旁通了。

改特征码免杀原理

所谓的特征码，我们可以将其理解为反病毒软件的黑名单。黑客们显然无法将木马从反病毒软件的黑名单中删除，所以他们要让病毒改头换面！例如原来黑名单中有“灰鸽子”这么一款木马，黑客们将其改头换面后不叫灰鸽子了，比如叫“白鸽子”！当然，这只是一个例子，现实中仅仅依靠改名是骗不了反病毒软件的。

就目前的反病毒技术来讲，更改特征码从而达到免杀的效果事实上包含着两种思想。

一种思想是改特征码，这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功！”这么一句话，表明它就是木马，只要将相应地址内的那句话改成别的就可以了，如果是无关痛痒的，直接将其删掉也未尝不可。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Sr3edQw6-1663161949336)(.\安全防御图片\改特征码免杀原理1)]

第二种是针对目前推出的校验和查杀技术提出的免杀思想，它的原理虽然仍是特征码，但是已经脱离纯粹意义上特征码的概念，不过万变不离其宗。其实校验和也是根据病毒文件中与众不同的区块计算出来的，如果一个文件某个特定区域的校验和符合病毒库中的特征，那么反病毒软件就会报警。所以如果想阻止反病毒软件报警，只要对病毒的特定区域进行一定的更改，就会使这一区域的校验和改变，从而达到欺骗反病毒软件的目的，如图所示。这就是在定位特征码时，有时候定位了两次却得出不同结果的原因所在。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h5oSSFAL-1663161949336)(.\安全防御图片\改特征码免杀原理2)]

花指令免杀原理

花指令其实就是一段毫无意义的指令，也可以称之为垃圾指令。花指令是否存在对程序的执行结果没有影响，所以它存在的唯一目的就是阻止反汇编程序，或对反汇编设置障碍。然而这种障碍对于反病毒软件来说同样也是致命的，如果黑客们的花指令添加得足够高明，就可以使木马很轻松地逃脱查杀！但是，为什么它会影响反病毒软件的判断呢？通过前面的学习大家都已经知道，大多数反病毒软件是靠特征码来判断文件是否有毒的，而为了提高精度，现在的特征码都是在一定偏移量限制之内的，否则会对反病毒软件的效率产生严重的影响！而在黑客们为一个程序添加一段花指令之后，程序的部分偏移会受到影响，如果反病毒软件不能识别这段花指令，那么它检测特征码的偏移量会整体位移一段位置，自然也就无法正常检测木马了。当然，这也仅仅是针对第一代扫描技术的方法，不过即便是反病毒软件采用虚拟机分析、校验和扫描或启发式分析，花指令同样会起到一定的作用，针对每种检测方法的不同，花指令所起到的作用亦不相同。它最根本的思想就是扰乱程序运行顺序，并为破解者（反病毒人员）设下陷阱。而如果花指令可以成功保护软件真正代码不被轻易反汇编，那么对于反病毒软件来说，它所检测的自然也就不是木马文件中真正的内容了。

加壳免杀原理

说起软件加壳，简单地说，软件加壳其实也可以称为软件加密（或软件压缩），只是加密（或压缩）的方式与目的不一样罢了。一般的加密是为了防止陌生人随意访问我们的数据。但是加壳就不一样了，它的目的是减少被加壳应用程序的体积，或避免让程序遭到不法分子的破坏与利用，例如最常见的共享软件，如果不对软件加以保护，那么这个软件就会很轻易地被破解，也就没有人去向软件的作者购买注册码了。既然加壳后的软件还能正常运行，那么这些壳究竟将软件的哪些部分加密了呢？其实，我们可以从“加壳”这个词语本身着手，为什么不叫加密、防盗或其他的名称，而偏偏称其为加壳呢？我们可以将未加壳的软件想象成美味的食物，太多的人想要得到它，想借此大饱口福！于是食物的主人就将其保存了起来，放到一个只有他能打开的硬壳里，这样就可以避免其他人打它的主意。而当自己的客人到来时，他可以很轻松地打开这个硬壳，供客人品尝……上面所说壳就是我们加的保护，它并不会破坏里面的程序，当我们运行这个加壳的程序时，系统首先会运行程序的“壳”，然后由壳将加密的程序逐步还原到内存中，最后运行程序。这样一来，在我们看来，似乎加壳之后的程序并没有什么变化，然而它却达到了加密的目的，这就是壳的作用。现在，我们再回头看看反病毒软件，如果说加壳之后的文件我们都无法将其还原，那么反病毒软件自然也就“看”不懂了。加密后的文件结构已经产生了天翻地覆的变化，原有的特征码早已不知去处，反病毒软件自然也就会认为它是一个正常的文件了。

由以上3种方法可知，基于文件的免杀基本上就是破坏原有程序的特征，无论是直接修改特征码还是加上一段花指令，抑或是将其加壳，其最后的目的只有一个，那就是打乱或加密可执行文件内部的数据。

内存免杀原理

自从文件免杀的方法在黑客圈子内部流传开后，反病毒公司将这场博弈升级到了另一个层次—内存中。

内存在计算机安全领域中向来就是兵家必争之地，从信息截取、软件破解，到内核Hook、修改内核，再到缓冲区溢出等，其主要战场都在内存中，由此可见内存是一个多么复杂而又变幻莫测的地方。之所以说内存复杂，是因为一般情况下内存是数据进入CPU之前的最后一个可控的物理存储设备。在这里，数据往往都已经被处理成可以直接被CPU执行的形式了，像我们前面讲的加壳免杀原理在这里也许

就会失效了。

我们知道，CPU不可能是为某一款加壳软件而特别设计的，因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时，要先将原软件解密，并放到内存里，然后再通知CPU执行。

如果是这样，那么从理论上来讲任何被加密的可执行数据在被CPU执行前，肯定是会被解密的，否则CPU就无法执行。也正是利用这个特点，反病毒公司便在这里设了一个关卡，这就使得大部分运用原有文件免杀技巧处理过的病毒木马纷纷被杀。

其实，与上面这个原因相比较，反病毒公司选择扫描内存更多是从战略角度出发的。因为将要被执行的程序肯定比未执行程序的威胁更大。即便是再厉害的病毒木马，只要能保证它不被执行，它在用户的计算机中最多也就算是一个垃圾文件，就不会对用户及网络构成任何威胁。但是黑客们又是如何对抗内存查杀的呢？其实套路与文件查杀一样，因为杀毒软件的内存扫描原理与硬盘上的文件扫描原理都是一样的，都是通过特征码比对的，只不过为了制造迷惑性，大多数反病毒公司的内存扫描与文件扫描采用的不是同一套特征码，这就导致了一个病毒木马同时拥有两套特征码，必须要将它们全部破坏掉才能躲过反病毒软件的查杀。因此，除了加壳外，黑客们对抗反病毒软件的基本思路没变。而对于加壳，只要加一个会混淆程序原有代码的“猛”壳，其实还是能躲过杀毒软件的查杀的。

行为免杀原理

当文件查杀与内存查杀都相继失效后，反病毒厂商便提出了行为查杀的概念，从最早的“文件防火墙”发展到后来的“主动防御”，再到现在的部分“云查杀”，其实都应用了行为查杀技术。而对于行为查杀，黑客们会怎样破解呢？我们都知道一个应用程序之所以被称为病毒或者木马，就是因为它们执行后的行为与普通软件不一样。因此从2007年行为查杀相继被大多数反病毒公司运用成熟后，黑客免杀技术这个领域的门槛也就一下提高到了顶层。

反病毒公司将这场博弈彻底提高到了软件领域最深入的一层—系统底层，这就使得黑客们需要掌握的各种高精尖知识爆炸式增长，这一举动将大批的黑客技术的初学者挡在了门外。

然而由于初期的行为查杀刚刚兴起，很多反病毒产品的主动防御模块把关不严，应用的技术也并不先进，从而导致了一大批内核级病毒木马的出现。而随着技术的逐渐升温，攻防双方的技术最后变得势均力敌，反病毒公司得益于计算机领域先入为主的定律，使得黑客们从这时开始陷入被动。因此黑客免杀技术发展到现在，已经出现了向渗透入侵等领域靠拢的趋势，黑客们将能躲过主动防御的方法称为0Day，并且越来越多的木马选择使用本地缓冲区溢出等攻击手法来突破主动防御。但是反病毒爱好者们也不能因此麻痹大意，黑客领域中的任何技术从来都是靠思路与技术这两条腿走路的，免杀技术也不例外。黑客技术的初学者仍然想出了非常多的方法，有效地突破了现在的主动防御与云查杀。

反病毒技术

单机反病毒

检测工具

单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。

病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。

常见的病毒检测工具包括：

TCP View

Regmon

Filemon

Process Explorer

IceSword

Process Monitor

Wsyscheck

SREng

Wtool

Malware Defender

Process Explorer是一款增强型任务管理器。可以查看进程的完整路径，识别进程，查看进程的完整信

息，关闭进程等。

杀毒软件

杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术：

特征码技术

杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病

毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒。

行为查杀技术

病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用

户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

常见的杀毒软件举例：瑞星金山毒霸360安全软件卡巴斯基赛门铁克Mcafee

网关反病毒

在以下场合中，通常利用反病毒特性来保证网络安全：

内网用户可以访问外网，且经常需要从外网下载文件。

内网部署的服务器经常接收外网用户上传的文件。

FW作为网关设备隔离内、外网，内网包括用户PC和服务器。内网用户可以从外网下载文件，外网用户

可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW上配置反病毒功

能。

在FW上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采

取阻断或告警等手段进行干预。

一、结合以下问题对当天内容进行总结

什么是恶意软件？
恶意软件有哪些特征？
恶意软件的可分为那几类？
恶意软件的免杀技术有哪些？
反病毒技术有哪些？
反病毒网关的工作原理是什么？
反病毒网关的工作过程是什么？
反病毒网关的配置流程是什么？