1、什么是恶意软件

恶意软件是任何软件故意设计造成损害到计算机、服务器、客户端或计算机网络（相比之下，软件导致无意的伤害由于一些缺陷通常被描述为一个软件错误）。各种各样的类型的恶意软件存在的，包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件。

2、恶意软件的特征

病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU 资源、自动弹出 / 关闭窗口、自动终止某些进程等各种不正常现象。
下载特征：
很多木马、后门程序间谍软件会自动连接到 Internet 某 Web 站点，下载其他的病毒文件或该病毒自身的更新版本/ 其他变种。
后门特征
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控；某些情况下，病毒还会自动连接到某IRC 站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。
信息收集特性
QQ 密码和聊天记录；
网络游戏帐号密码；
网上银行帐号密码；
用户网页浏览记录和上网习惯；
自身隐藏特性
多数病毒会将自身文件的属性设置为 “ 隐藏 ” 、 “ 系统 ” 和 “ 只读 ” ，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。
文件感染特性
病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使
系统正常文件感染病毒而成为病毒体；有的文件型病毒会感染系统中其他类型的文件。
网络攻击特性
木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络；
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散布虚假网关地
址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。

3、恶意软件的分类

按照转播方式分为：

（1）、病毒
病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。
原理
计算机病毒感染的一般过程为：当计算机运行染毒的宿主程序时，病毒夺取控制权；寻找感染的突破口；将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。
主要传播方式∶感染文件传播

（2）、蠕虫

蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。

（3）、木马

木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

按照功能分类：

（1）、后门

具有感染设备全部操作权限的恶意代码。
典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
典型家族∶ 灰鸽子、pCshare
（2）、勒索
通过加密文件，敲诈用户缴纳赎金。
加密特点∶ 主要采用非对称加密方式，对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密。
其他特点∶ 通过比特币或其它虚拟货币交易，利用钓鱼邮件和爆破rdp 口令进行传播。
典型家族∶Wannacry、 GandCrab 、 Globelmposter
（3）、挖矿
攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。特点∶ 不会对感染设备的数据和系统造成破坏。由于大量消耗设备资源，可能会对设备硬件造成损害。

4、恶意软件的免杀技术有哪些

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。
免杀技术又称为免杀毒（Anti Anti- Virus ）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶ 修改文件特征码，修改内存特征码，行为免查杀技术

5、反病毒技术有哪些？

单机反病毒

检测工具
单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。
病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。
杀毒软件
杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术：
特征码技术
杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病
毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒。
行为查杀技术
病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用
户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

6、反病毒网关的工作原理

首包检测技术
通过提取 PE （ Portable Execute;Windows 系统下可移植的执行体，包括 exe 、 dll 、 “sys 等文件类型）文件头部特征判断文件是否是病毒文件。提取PE 文件头部数据，这些数据通常带有某些特殊操作，并且采用hash 算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。
启发式检测技术
启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是
病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文
件不一致的行为达到一定的阀值，则认为该文件是病毒。
启发式依靠的是 " 自我学习的能力 " ，像程序员一样运用经验判断拥有某种反常行为的文件为病
毒文件。
启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境
的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认
情况下关闭该功能。
启动病毒启发式检测功能∶ heuristic-detect enable 。
文件信誉检测技术
文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特

征库里包含了大量的知名的病毒文件的 MD5值。
文件信誉检测依赖沙箱联动或文件信誉库。

7、反病毒网关的工作过程是什么？

1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
3. 判断是否命中白名单。命中白名单后， FW 将不对文件做病毒检测。
4. 针对域名和 URL ，白名单规则有以下 4 种匹配方式：前缀匹配、后缀匹配、关键字匹配、精确匹配。
5. 病毒检测
6. 当 NGFW 检测出传输文件为病毒文件时，需要进行如下处理：
判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。
病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。
如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：
如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作，则以应用的响应动作为准。
如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。

恶意软件与反病毒技术相关推荐

安全防御第四天知识总结--（恶意软件、反病毒技术）
目录 1.什么是恶意软件? (1)按照传播方式分类 (2)按照功能分类 2. 恶意软件的免杀技术有哪些? 3. 反病毒技术有哪些? (1)单机反病毒 (2)网关反病毒 4.反病毒工作原理 5. 反病毒 ...
IDS、恶意软件、反病毒网关、APT与密码学
目录 IDS 1.什么是IDS 2.IDS和防火墙的区别 3.IDS工作原理 4.IDS的主要检测方法有哪些详细说明? 5.IDS的部署方式有哪些? 6. IDS的签名是什么意思?签名过滤器有什么作用 ...
恶意软件、恶意软件反杀技术以及反病毒技术的详细介绍
1.恶意软件简单介绍恶意软件是指在计算机系统上执行恶意任务的病毒.蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制.腾讯移动安全实验室发布的数据显示,恶意软件由多种威胁组成,会不断弹出,所以需要采 ...
入侵检测——恶意软件、病毒、防病毒、反病毒技术
目录 1. 什么是恶意软件? 2. 恶意软件有哪些特征? 3. 恶意软件的可分为那几类? 3.1.1按照传播方式分类: 3.1.2按照功能分类: 4. 恶意软件的免杀技术有哪些? 5. 反病毒技术有哪 ...
对抗恶意软件，反病毒软件还有戏吗？
对抗恶意软件,反病毒软件还有戏吗? 作者:Michael Kassner 翻译:PurpleEndurer,2010-04-08第1版分类:安全标签:软件,漏洞,恶意软件,攻击,反病毒软件,安全产 ...
恶意软件及反病毒的一些知识
目录标题什么是恶意软件? 恶意软件的特征恶意软件可以分为几类? 按照传播方式分类按照功能分类恶意软件的免杀技术有哪些? 文件免杀内存免杀行为免杀反病毒技术有哪些? 单击反病毒网关反病毒 ...
网络防御 --- 恶意软件与反病毒详解
1.什么是恶意软件恶意软件是指故意设计造成损害到计算机.服务器.客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误).恶意软件存在各种各样的类型,包括计算机病毒. ...
AV(反病毒)技术的演进与规律思索观后感
AV(反病毒)技术的演进与规律思索观后感首先老师给我们讲述了病毒的表现形式:计算机病毒是人为的编制的一种寄生性的计算机程序.它的危害主要表现为占用系统资源和破坏数据,具有寄生性.传染性.隐蔽性.潜伏 ...
恶意软件与反病毒网关
目录什么是恶意软件? 恶意软件有哪些特征? 恶意软件的可分为那几类? 恶意软件的免杀技术有哪些? 反病毒技术有哪些? 反病毒网关的工作原理是什么? 反病毒网关的工作过程是什么? 反病毒网关的配置流程 ...

恶意软件与反病毒技术