1. 什么是恶意软件？

病毒即恶意软件

病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。

原理：计算机病毒感染的一般过程：当计算机运行的感染病毒的宿主程序时，病毒夺取控制权；寻找感染的突破口；将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身，大量繁殖。

2. 恶意软件有哪些特征？

下载特征、后门特征、信息收集特性、自身隐藏特性、文件感染特性、网络攻击特性

3. 恶意软件的可分为那几类？

按照传播方式分类：

感染文件病毒

主要传播方式：感染文件传播

感染目标：硬盘系统分配表扇区（主引导区）；硬盘引导扇区；软件引导扇区；可执行文件（exec）；命令文件（.com）；覆盖文件（.ovl）;COMMAND文件；IBMBIO文件；IBMDOS文件

蠕虫

传播方式：通过网络发送攻击数据包

蠕虫是一种有自我行动能力的恶意软件

蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能感染自身拷贝到另一台计算机上的程序。

与上述病毒区别：蠕虫是一个完整的程序；自动传播；自动繁殖

可利用：漏洞、邮件、聊天工具

木马

木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

传播过程：

黑客利用木马配置工具生成一个木马的服务端：通过过程手段如Spam、Phish、Worm等安装到用户终端；利用社会工程学或者其他技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端

传播方式：捆绑、利用网页

挂马代码的功能是在网页打开的时候，同时打开另外一个网页，当然这个网页含有大量的木马，也可能仅仅是为了骗取流量

按照功能分类：

后门

具有感染设备全部操作权限的恶意代码。

典型功能：文件管理、屏幕监控、键盘监控、视频监控、命令执行等

典型家族：灰鸽子、pCshare

勒索

通过加密文件，敲诈用户缴纳赎金

加密特点：

主要采取非对称加密方式

对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密

其他特点：

通过比特币或其他虚拟货币交易

利用钓鱼邮件和爆破rdp口令进行传播

典型家族：Wannacry、GandCrab、Globelmposter

挖矿

攻击者通过向被感染者设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码

特点：

不会对感染设备的数据和系统造成破坏

由于大量消耗设备资源，可能会对设备硬件造成损坏

4. 恶意软件的免杀技术有哪些？

免杀技术又称为免杀毒技术。是放置恶意代码免于被杀毒设备查杀的技术。免杀技术如下：

修改文件特征码

修改内存特征码

行为免查杀技术

5. 反病毒技术有哪些？

首包检测技术

通过提取PE（Portable Execute;Windows系统下可移植的执行体，包括exe、dll、“sys等文件类型）文件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

启发式检测技术

启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文件不一致的行为达到一定的阀值，则认为该文件是病毒。

启发式依靠的是"自我学习的能力"，像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。

启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认情况下关闭该功能

启动病毒启发式检测功能∶heuristic-detect enable

文件信誉检测技术

文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。

文件信誉检测依赖沙箱联动或文件信誉库。

6. 反病毒网关的工作原理是什么？

防病毒网关是一种网络设备，用以保护网络内（一般是局域网）进出数据的安全。主要体现在病毒杀除、关键字过滤（如色情、反动）、垃圾邮件阻止的功能，同时部分设备也具有一定防火墙（划分Vlan）的功能。

利用反病毒特性保证网络的安全的场合：

内网可以访问外网，且需要经常从外网下载文件
内网部署的服务器经常接受外网用户上传的文件

反病毒功能主要是检测文件

图片不是可执行文件---静态文件
可执行文件---动态文件

7. 反病毒网关的工作过程是什么？

1）反病毒网关的工作过程：

智能感知引擎对网络流量进行深层分析，识别流量对应的协议类型和文件传输的方向
判断文件传输使用的协议和文件传输的方向是否支持病毒检测
判断流量是否在可以信任的白名单中，在则不对文件做病毒检测
没有在白名单中则进行病毒检测，提取检测的文件特征，然后将特征与病毒特征库进行匹配，若匹配则为病毒文件，执行响应动作；若不匹配，则文件允许通过

2）NGFW可检测传输文件的协议：

FTP文件传输协议
HTTP超文本传输协议
POP3邮局协议（第三版本）
SMTP简单邮件传输协议
IMAP因特网信息访问协议
NFS网络文件系统
SMB文件共享服务器

3）NGFW支持的不同传输方向的文件：

上传：客户端向服务器发送文件
下载：服务器向客户端发送文件

4）白名单规则的匹配方式：

前缀匹配
后缀匹配
关键字匹配
精确匹配

5）当NGFW检测到病毒文件时的处理流程：

是否为病毒例外，若是则允许文件通过---病毒例外：病毒白名单，避免系统误报等原因造成文件传输失败，检测到某病毒为误报时，将对应病毒ID加入病毒例外，若有匹配则放行。
若不是则判断是否命中应用例外，若命中则执行响应动作---应用例外：为应用配置不同协议的响应动作，同一协议可承载多种应用。
若不是则执行配置文件中配置的协议和传输方式对应的响应动作

8. 反病毒网关的配置流程是什么？

申请并激活---加载特征库---配置（AV Profile）---配置安全策略---其他配置

对你快速了解恶意软件以及病毒和反病毒相关推荐

Android平台各类恶意软件及病毒概览
原文请见:http://mobile.51cto.com/ahot-364267.htm Android平台中各类恶意软件及病毒概览<?xml:namespace prefix = o ns = ...
使用宏基因组的方法快速鉴定新冠病毒SARS-CoV2
使用宏基因组的方法快速鉴定新冠病毒SARS-CoV2 一.如果不考虑成本,可以使用宏基因组测序的方法来快速鉴定新冠病毒SARS-CoV2,这种方法无需扩增.分析简单.准确度高.原理是直接将测序得到的序 ...
Android平台各类恶意软件及病毒分析
Android平台上的各类恶意软件和病毒分为7大类进行概述,以帮助用户在实际使用过程中进行识别和警惕,保证平台和个人信息.经济安全. 第1类:ROM内置恶意软件/病毒 (1)a.privacy .de ...
助你查找恶意软件、病毒和rootkit的三款扫描工具
连接到互联网的服务器整天都看到不断的攻击和扫描.虽然防火墙和定期的系统更新是确保系统安全的第一道防线,但你还是应该定期检查,确保没有攻击者闯入进来.本教程中介绍的几款工具就是为这种完整性检查而开发的, ...
认识恶意软件、病毒的传播方式、工作过程以及防御
1. 什么是恶意软件? 可以指代病毒.蠕虫.特洛伊木马.勒索软件.间谍软件.广告软件和其他类型的有害软件.恶意软件的主要区别在于它必须是故意为恶:任何无意间造成损害的软件均不视为恶意软件. 恶意软件的 ...
入侵检测——恶意软件、病毒、防病毒、反病毒技术
目录 1. 什么是恶意软件? 2. 恶意软件有哪些特征? 3. 恶意软件的可分为那几类? 3.1.1按照传播方式分类: 3.1.2按照功能分类: 4. 恶意软件的免杀技术有哪些? 5. 反病毒技术有哪 ...
android框架服务恶意软件,Android平台各类恶意软件及病毒概览
小编专门采访了世界500强雪松控股集团CIO/CDO李洋博士,针对数字化转型的成败关键和因素进行了深入剖析. 12月12日下午,在广东省第七届CIO大会上,聆听了雪松控股CIO李洋博士的分享,就有了 ...
教你一种U盘病毒的快速检测方法
U盘对大多数人来说已经不再陌生,它是我们进行文件传输的基本工具.我们可以利用U盘快捷地管理和传输文件,正因为它的轻便,使用U盘的人越来越多.大众化的趋势也滋生了病毒的猖狂,当U盘与电脑连接之后便可能会 ...
恶意文件大数据案例库_无文件恶意软件感染完整指南
有时,你可能会发现自己更想回到事物简单的年代,这个时代诞生了太多的技术,让我们的生活在更轻松的同时也变得更加复杂.其实不光是我们,网络安全专家也会经历这样的反思时刻,特别是当他们遇到无文件恶意软件感染 ...
近5年内有关病毒在复杂网络中传播与控制方面的20篇论文
有关病毒在复杂网络中传播与控制方面的20篇论文 Paper的DOI,发表期刊(会议)以及中英文摘要都已写出,大家可根据doi在scihub进行下载.仅仅只是为了记录一下. 1.Optimal ptim ...

对你快速了解恶意软件以及病毒和反病毒