1. 什么是恶意软件?

可以指代病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件和其他类型的有害软件。恶意软件的主要区别在于它必须是故意为恶;任何无意间造成损害的软件均不视为恶意软件。

恶意软件的总体目标是破坏设备的正常运行。种破坏目的范围这很广,例如未经许可在设备上显示广告,或者获得计算机 root 访问权限。恶意软件可能试图向用户进行自我掩饰,从而暗自收集信息,或者可能锁定系统和截留数据以进行勒索。在 DDoS 攻击中,Mirai 等恶意软件会感染易受攻击的设备,在攻击者的控制下将其转变为机器人。遭到篡改后,这些设备便可作为僵尸网络的一部分来用于进行 DDoS 攻击。

恶意软件感染的风险因素有:

  • 安全漏洞 - 操作系统、Web 浏览器和浏览器插件等软件可能会包含漏洞,从而被攻击者利用。
  • 用户错误 - 用户从未知软件打开软件或从不受信任的硬件启动计算机会造成严重的风险。
  • OS 共享 - 网络上的每台计算机使用单一操作系统也会增加恶意软件感染的风险;如果所有计算机都运行同一操作系统,则一种蠕虫便有可能将它们全部感染。

如何阻止恶意软件?

没有人可以对恶意软件攻击无动于衷;新的攻击不断滋生,即使最安全的系统也会受到威胁。但是,有很多方法可以最大程度地降低易受恶意软件攻击的风险,其中包括:

  • 防病毒和防恶意软件 - 若要在威胁蔓延之前检测威胁,定期对计算机或网络运行扫描至关重要。
  • 网站安全扫描 - 拥有网站的人员应注意,恶意软件可以将网站的软件作为目标,以查看私密文件、劫持站点,甚至可能通过强制下载恶意软件来危害站点的访问者。定期对网站进行安全扫描可以帮助捕获这些威胁。
  • Web 应用程序防火墙(WAF) - 网站管理员的另一个好资源是 WAF,它可以在网络的边缘阻止恶意软件,防止其到达站点的源站服务器。
  • 气隙隔离 - 气隙隔离被认为是万不得已的方法,它意味着禁用任何使通讯成为可能的硬件,从而切断计算机或网络与所有外部网络和互联网通信的连接。但这不是万无一失的防御措施,也受到“掉落驱动器”攻击(将优盘丢入公司的停车场,希望好奇的员工找到并将它插到联网的计算机上,从而使隔离的网络感染上恶意软件)等策略的破坏。

2. 恶意软件有哪些特征?

  • 间谍软件 - 顾名思义,间谍软件用于窥探用户的行为。间谍软件可用于监视用户的 Web 浏览活动,向用户显示不想要的广告,以及修改联盟营销推广流。一些间谍软件使用所谓的“键盘记录器”来记录用户的击键,从而使攻击者能够访问包括用户名和密码在内的敏感信息。
  • 病毒 - 病毒是一种可以嵌入到操作系统或软件中的恶意程序;受害者需要运行操作系统或打开受感染的文件才能受到影响。
  • 蠕虫 - 与病毒不同,蠕虫会自我复制并通过网络传播,因此用户无需运行任何软件就能成为受害者,只要连接到受感染的网络便已足够。
  • 特洛伊木马 - 这一类恶意软件隐藏在其他有用的软件中,诱使用户安装它们。流行软件的盗版副本常常会感染特洛伊木马。
  • Rootkit - 这些软件包旨在修改操作系统,以便对用户隐藏他们不想要的安装。一个著名的例子是 2005 年的 Sony Rootkit 丑闻,Sony 售出的 2200 万张音乐 CD 感染了 Rootkit,可以秘密安装旨在破坏购买者计算机上 CD 复制功能的软件。这个 Rootkit 为其他攻击者打开了大门,让他们能够通过其他恶意软件使受感染的计算机成为攻击目标。
  • 勒索软件 - 这种软件可以对文件乃至计算机或网络上的整个操作系统进行加密,并让它们保持加密状态,直到向攻击者支付了赎金为止。随着比特币和其他加密货币的兴起,勒索软件攻击泛滥成灾,因为攻击者可以匿名接受货币并且最大程度地降低被逮捕的风险。

3. 恶意软件的可分为那几类?

恶意代码的特征
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。
下载特征
很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。
后门特征

  • 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;
  • 某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。

信息收集特性

  • QQ密码和聊天记录;
  • 网络游戏帐号密码;
  • 网上银行帐号密码;
  • 用户网页浏览记录和上网习惯;

自身隐藏特性
多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染特性

  • 病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体;
  • 有的文件型病毒会感染系统中其他类型的文件。
  • Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。

网络攻击特性

  • 木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
  • 木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。

4. 恶意软件的免杀技术有哪些?

恶意代码的免杀技术值得是:恶意代码希望能顺利绕过杀毒软件与防火墙,在受害者的计算机中长期隐藏下去,并能在必要的时候向攻击者提供有用的信息。

免杀技术又称为免杀毒(Anti Anti- Virus)技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶

  • 修改文件特征码
  • 修改内存特征码
  • 行为免查杀技术

原理
免杀的最基本思想就是破坏特征,这个特征有可能是特征码,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。
特征码就是反病毒软件用于判断文件是否带病毒的一段独一无二的代码,这些特征码在不同的反病毒软件的病毒库中不尽相同。
特征码就是一种只在病毒或木马文件内才有的独一无二的特征,它或是一段字符,或是在特定位置调用的一个函数。总之,如果某个文件具有这个特征码,那反病毒软件就会认为它是病毒。反过来,如果将这些特征码从病毒、木马的文件中抹去或破坏掉,那么反病毒软件就认为这是一个正常文件了。

兔杀技术

  • 有文件兔杀
  • 改特征码兔杀
  • 花指令兔杀
  • 加壳兔杀
  • 内存兔杀
  • 行为兔杀

5. 反病毒技术有哪些?

单机反病毒和网关反病毒

6. 反病毒网关的工作原理是什么?

反病毒工作原理:
1、首包检测技术

  • 通过提取PE(Portable Execute;Windows系统下可移植的执行体,包括exe、dll、“sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。

2、启发式检测技术

  • 启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极 有可能是病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文件不一致的行为达到一定的阀值,则认为该文件是病毒。
  • 启发式依靠的是"自我学习的能力",像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。
  • 启发式检测的响应动作与对应协议的病毒检测的响应动作相同。 启发式检测可以提升网络环境的安全性,消除安全隐患,但该功能会降低病毒检测的 性能,且存在误报风险,因此系统默认情况下关闭该功能。启动病毒启发式检测功能∶heuristic-detect enable 。

文件信誉检测技术

  • 文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。
  • 文件信誉检测依赖沙箱联动或文件信誉库

7. 反病毒网关的工作过程是什么?

1.网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下协议传输的文件进行病毒检测。
FTP(File Transfer Protocol):文件传输协议
HTTP(Hypertext Transfer Protocol):超文本传输协议
POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
IMAP(Internet Message Access Protocol):因特网信息访问协议
NFS(Network File System):网络文件系统
SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。
3. 判断是否命中白名单。

  1. 命中白名单后,FW将不对文件做病毒检测。白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。

4. 针对域名和URL,白名单规则有以下4种匹配方式:

  1. 前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
  2. 后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
  3. 关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
  4. 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。

5. 病毒检测:

  1. 智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应动作进行处理。
  2. 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库
  3. 后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。

6. 当NGFW检测出传输文件为病毒文件时,需要进行如下处理:

  1. 判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
  2. 病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
  3. 如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
  4. 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。
  5. 由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
  • 如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
  • 如果协议和应用都配置了响应动作,则以应用的响应动作为准。如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。

8. 反病毒网关的配置流程是什么?

认识恶意软件、病毒的传播方式、工作过程以及防御相关推荐

  1. 计算机病毒主动传播途径,蠕虫病毒的传播方式是什么

    从传播方式上来说,病毒和木马需要破坏者进行主动的传播:感染型病毒可以搜索并感染同一台电脑上能够访问到的其它文件.与它们不同的是,蠕虫的主要行为是努力通过各种途径将自身或变种传播到其它电脑终端上,因此可 ...

  2. VBS病毒的传播方式

    VBS脚本病毒之所以传播范围广,主要依赖质于它的网络传播功能,一 般来说,VBS脚本病毒采用以下几种方式进行传播. 1.通过E-mail附件传播 这是一种用的非常普遍的传播方式,病毒可以通过各种方法得 ...

  3. 1、请简述DNS的作用,并说明当你输入网址“www.nxtc.edu.cn“按下回车后,DNS是怎么工作的?(关键步骤可以给出相应图示) 2、详细描述域名劫持攻击的过程及防御方式。

    一.请简述DNS的作用,并说明当你输入网址"www.nxtc.edu.cn"按下回车后,DNS是怎么工作的?(关键步骤可以给出相应图示) DNS的作用: 把网址解析转化成ip地址, ...

  4. 框架源码系列四:手写Spring-配置(为什么要提供配置的方法、选择什么样的配置方式、配置方式的工作过程是怎样的、分步骤一个一个的去分析和设计)...

    一.为什么要提供配置的方法 经过前面的手写Spring IOC.手写Spring DI.手写Spring AOP,我们知道要创建一个bean对象,需要用户先定义好bean,然后注册到bean工厂才能创 ...

  5. selenium简介,原理,优点,工作过程,定位方式

    1.selenium简介 selenium是一个用于web应用程序自动化测试工具,可以直接运行在浏览器,就行用户真正的在浏览器操作一样,支持的浏览器包括:IE,Firefox,Chrome,Safar ...

  6. MPLS——LDP协议(工作过程、标签发布和管理方式)

    目录 建立LSP的两种方式 静态LSP 动态LSP LDP协议 LDP动态建立LSP涉及的基本概念 LDP工作过程--三个阶段.四种消息类型.五种状态 LDP建立LSP LDP标签发布和管理 PHP ...

  7. Phobos病毒家族最新变种.faust后缀勒索病毒活跃传播

    目录 前言:简介 一.什么是.faust勒索病毒? 二..faust勒索病毒是如何传播感染的? 三.中了.faust后缀勒索病毒文件怎么恢复? 四.加密数据恢复案例 五.以下是预防faust勒索病毒安 ...

  8. 创新指南|如何以STEPPS模型6招打造病毒式传播产品

    从爆款产品到网络流行语,这种流行绝对不是依赖于运气,更不是神话.让人们喜欢读某些文章,让人们尝试某项新服务,甚至是投票竞选,这些事情的背后都有STEPPS模型的驱动,遵循或者仅仅应用STEPPS中的某 ...

  9. 服务器中了勒索病毒,malox勒索病毒的加密方式及如何应对勒索病毒攻击

    随着计算机技术的发展,计算机成为现代人工作和生活中必不可少的电子产品.但随着很多企业和个人用户的信息化建设不断升级,也经常会出现许多恶意软件.其中包括malox勒索病毒,malox勒索病毒是mallo ...

最新文章

  1. MYSQL max_user_connections back_log max_connections参数和Max_used_connections
  2. 又一款基于BCH开发出来的社交软件BlockPress
  3. Ubuntu20.04 远程桌面共享vnc
  4. Settings【学习笔记05】
  5. shell读取文件并且遍历输出
  6. WPF 位置转化和动画
  7. python序列操作_序列操作
  8. Django基础—— 4.项目目录结构
  9. txt替换回车键符号怎么打_电脑小于等于符号≤怎么打
  10. linux内核态删除文件函数,初探Linux内核态——通过proc文件系统作快速问题定位...
  11. JSP程序设计习题4-3.6
  12. 佳能Canon imageCLASS MF742Cdw 一体机驱动
  13. 8、乐趣国学—“不迁怒,不贰过”
  14. mysql按月查询统计(统计近12个月的项目个数)
  15. 微信公众号图灵机器人开发php,使用图灵api创建微信聊天机器人
  16. CSS——浮动的清除
  17. unity3d画出漂亮的玫瑰图案函数。
  18. 【LeetCode 二分查找专项】最长递增子序列(300)(to be polished...)
  19. 山西应用科技学院计算机应用在哪个校区,山西应用科技学院有几个校区,哪个校区最好及各校区介绍...
  20. Object detection at 200 Frames Per Second - 每秒 200 帧的目标检测

热门文章

  1. el-table去掉滚动条和斑马纹颜色修改
  2. 【转】FFmpeg 基本用法
  3. 热门图表软件推荐,哪款更功能更强大?
  4. Git如何checkout远程tag
  5. 浅析电影票务系统必须适应互联网时代的发展
  6. Java核心---网络编程
  7. 计算机网络的发展历程
  8. 使用AVPlayer获取HTTP live stream audio文件的duration
  9. 腾讯|阿里|百度|字节跳动人才体系的职位层级、薪酬、晋升标准
  10. 苹果的小型开发者计划现在允许账号间转让app