防火墙第三天——恶意软件、反病毒技术。。。

1. 什么是恶意软件？

专业一点讲就是：

以多种途径感染合法用户计算机给予以加害的一种计算机程序。恶意软件能够以多种途径感染计算机和设备，并且会表现出多种形式，比如说病毒、蠕虫、木马等待

简单点理解就是：

一些不合法或者会破坏你的系统的运行或者修改或者盗取系统内文件的软件，就可以理解成为恶意软件

2.恶意软件有哪些特征？

恶意软件所具有的特征如下：

1）下载特征

很多木马、后们程序见得软件会自动连接到Inrternet某Web站点，然后下载其他的病毒文件或该病毒自身的更新版本/其他变种

2）后门特征

后们程序及很多木马、蠕虫和间谍软件会在首感染的系统中开启并且监听某个端口，允许远程恶意用户来对系统进行远程操作。
某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。

3）信息收集特征

QQ密码和聊天记录
网络游戏账号密码
网上银行账号密码
用户网页浏览记录和上网习惯

4）自身隐藏特征

多数病毒会讲资审文件的属性设置为”隐藏“、”系统“和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，来让病毒更加隐藏不易被发现。

5）文件感染特征

病毒会讲恶意代码插入到系统中正常的可执行文件当中，将系统的正常文件进行破坏，导致文件的无法正常运行，或者让系统正常文件感染病毒变成了病毒体，通过分享等方式扩散
有的文件型病毒会感染系统中其他类型的文件

6）网络攻击特征

木马和蠕虫病毒会修改计算机的网络设置，导致计算机无法访问到网络
木马和蠕虫还会像网络中其他计算机攻击、发送大量数据包来阻塞网络，甚至通过散布虚假网关地址的广播包来七篇网络中其他的计算机，导致网络瘫痪

3.恶意软件的可分为那几类？

按照传播方式分类

1）病毒

定义： 病毒是指编译者在计算机程序中插入了一个会破坏计算机功能或者破坏数据，影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码；被病毒攻击的宿主程序是病毒的栖息地，它是病毒传播的目的地，对于下一个感染的出发点
感染过程： 当计算机运行已经感染了的宿主程序的时候，病毒会夺取控制权，寻找是否有可以被感染的地方，然后将在将病毒程序放到缺口处，完成了感染；
主要传播方式：
1）通过移动存储设备进行病毒传播；比如说U盘、光碟、移动硬盘等。
2）通过网络传播；比如说网页、电子邮件、qq等
3）利用计算机系统和应用软件的弱点进行传播；
4）通过依附在文件上进行传播
特征

破坏性：病毒入侵计算机后，可能会将计算机中的数据信息删除或者破坏掉，严重的话会造成大面积的计算机瘫痪，对计算机用户造成很大的损失。
传染性：病毒可以通过U盘，软盘等移动设备进行传播，入侵到计算机上，在入侵之后，它会自我复制，实现病毒扩散，然后感染越来越多的计算机
寄生性：病毒是需要依附在文件或者其他宿主上才可以存活，并且发挥自己的破坏性来干扰计算机的正常功能。
可执行性：计算机病毒和其他正常程序是一样的，它是一个可以执行成功的程序，但不是完整的，它需要靠依附在其他可以执行的程序上面，才能得到一切程序都能得到的权力。

病毒的类型：

网络病毒：通过网络等上网方式进行传播感染的病毒
文件病毒：主要是针对计算机中的文件
引导型病毒：是一种主攻感染扇区和硬盘系统引导扇区的病毒

2）蠕虫

定义： 蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码，一个能够自我复制，然后在将复制过后的传播到另一台计算机上的程序
传播过程： 蠕虫会长时间的存在一个或者多个机器里面，并且具有复制的能力，如果它检测到某个网络中的某一台机器没有被占用，它就会吧自身的替身复制到这个计算机里面，并且每一个蠕虫都可以把自己的替身复制到重新定位于另一台机器中，并且能够识别它占用的哪台机器。
蠕虫的结构

目标定位：为了在网络上快速传播，蠕虫是具有发现没有被感染的计算机的能力。
感染传播：蠕虫的重要组成是会把自己传输到新系统并且进行远程控制系统的策略，
远程控制和更新接口：
蠕虫会利用通信模块进行远程控制，如果没有这个模块，蠕虫的创作者就不能通过给蠕虫复制信息来控制整个网络。
更新和差几案接口允许在被感染的计算机系统上更新蠕虫代码。
生命周期管理：部分蠕虫的创作者希望蠕虫在某个时间段内进行工作，就会事先设定一个时间让他工作。

3）木马

定义： 木马时攻击者通过欺骗的方式在用户不知道的情况下安装的。然后用来进行一个远程操控被中了木马的计算机。
**传播过程：**黑客利用木马配置工具生成一个木马的服务端，然后通过各种手段安装用户终端，在利用一些其他手段，让木马启动运行；然后远程操作窃取用户隐私然后发送给自己或者黑客；同时给黑客提供权限，可以操作计算机的更多方式。
特征
1）隐蔽性
木马可以长期存在，他会将自己伪装成为合法的应用程序，让用户难以分辨，这个也是木马的一个重要特征
2）欺骗性
木马病毒隐藏主要手段是欺骗，经常使用伪装的手段将自己合法化。
3）顽固性
木马病毒为了保障自己可以不断蔓延，往往像毒瘤一样驻留在被感染的计算机中，有多个备份文件存在，与i但主要文件被删除，便马上可以恢复。
4）危害性
只要被木马病毒感染，别有用心的黑客便可以执行任意操作，就像在本地使用计算机一样，对被控制的计算机的破坏可想而知。
传播过程

利用下载进行传播，在下载的过程中进入程序，当下载完毕打开文件就会将病毒植入到电脑当中
利用系统漏洞进行传播，当计算机存在漏洞的时候，就会成为木马的攻击的对象
利用邮件进行传播，很多陌生邮件里面就掺杂了病毒种子，一旦邮件被打开，邮件里面的病毒就被激活
利用远程连接进行传播
利用网页进行传播

按照功能分类

1）后门

定义： 后们是指绕过安全控制来获取对程序或系统访问权限的方法；后门的主要目的就是为了方便以后可以再次进入或者控制系统（在不被发现的情况下）
来源

攻击者利用欺骗的手段，通过电子邮件或者文件等方式，诱使主机的操作源打开或者运行藏有木马程序的邮件或者文件，这些木马程序就会在主机上面创建一个后门
攻击者攻陷一台主角及，获取到主机的控制权限，在主机上直接建立后门，方便以后的操作。
典型功能 文件管理，屏幕控制，键盘监控，视频监控，命令执行等
典型家族 灰鸽子、pCshare

2）勒索

定义：
勒索病毒是一种新型的电脑病毒，它主要是通过邮件、程序木马、网页挂马的形式来进行传播。这种病毒危害极大，一旦被感染，将给用户带来无法估量的损失。
这种病毒式利用各种加密算法对文件进行加密，被感染者一般是无法解密的，必须要拿到解密的私钥才有可能破解。
攻击对象

针对且也用户
针对所有用户
加密特点
主要采用非对称加密的方式
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
啊通过比特币或者其他虚拟货币进行传播
利用钓鱼邮件和baoprdp口令进行传播
典型家族 Wannacry、GandCrab、Globelmposter

3）挖矿

定义
攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的巨酸资源进行挖矿，来获取到数字货币收益的恶意代码
特点：

不会对感染设备的数据和系统造成破坏
因为消耗设备资源，所以可能会对设备硬件造成损害
危害
1)直接危害
主机会长时间执行高性能计算，浪费网络贷款，CPU和内存占用较高，不能及时处理用户的正常请求或任务
点亮消耗增加，加快了电脑CPU、内存等硬件老化速度。

2）潜在危害
-黑客通过挖矿程序窃取机密信息

黑客控制主机作为“肉机”攻击互联网上的其他单位，违反网络安全法
黑客利用已经控制的机器，作为继续对业务系统区域渗透的跳板，产生更严重的网络安全攻击事件。

4. 恶意软件的免杀技术有哪些？

免杀技术：

免杀技术又称为免杀病毒技术，是防止恶意代码免于被杀毒设备查杀的技术，主流免杀技术有

修改文件特征码
修改内存特征码
行为免查杀技术

文件免杀：

黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下，通过一定的更改，使得原本会被
查杀的文件免于被杀。要达到不再被杀的目的方法有很多种，其中最直接的方法就是让反病毒软件停止工作，或使病毒木马“变”为一个正常的文件。然而如何使一个病毒或木马变成一个正常文件，对于黑客们来说其实是一个比较棘手的问题，不过只要学会了一种免杀原理，其他的免杀方案也就触类旁通了。

内存免杀：

一般情况下内存是数据进入CPU之前的最后一个可控的物理存储设备。在这里，数据往往都已经被处理成可以直接被CPU执行的形式了，像我们前面讲的加壳免杀原理在这里也许就会失效了。
我们知道，CPU不可能是为某一款加壳软件而特别设计的，因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时，要先将原软件解密,并放到内存里，然后再通知CPU执行。
如果是这样，那么从理论上来讲任何被加密的可执行数据在被CPU执行前，肯定是会被解密的,否则CPU就无法执行。也正是利用这个特点，反病毒公司便在这里设了一个关卡.这就使得大部分运用原有文件免杀技巧处理过的病

行为免杀：

当文件查杀与内存查杀都相继失效后，反病毒厂商便提出了行为查杀的概念,从最早的“文件防火墙”发展到后来的“主动防御"，再到现在的部分”云查杀”，其实都应用了行为查杀技术。而对于行为查杀，黑客们会怎样破解呢?我们都知道一个应用程序之所以被称为病毒或者木马，就是因为它们执行后的行为与普通软件不一样。因此从2007年行为查杀相继被大多数反病毒公司运用成熟后，黑客免杀技术这个领域的门槛也就一下提高到了顶层。反病毒公司将这场博弈彻底提高到了软件领域最深入的一-层一系统底层, 这就使得黑客们需要掌握的各种高精尖知识爆炸式增长，这-举动将大批的黑客技术的初学者挡在了门外。

5. 反病毒技术有哪些？

反病毒：

反病毒是指一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，必免因为病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生.

反病毒的技术

单机反病毒

1）可以使用检测工具

单机反病毒可以通过使用杀毒软加的方式来进行防御，也可以通过专业的防病毒工具实现
病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能
常见的病毒检测工具有：
TCP View
Regmon
Filemon
Process Explorer
IceSword
Process Monitor
Wsyscheck
SREng
Wtool
Malware Defender
2）杀毒软件
杀毒软件主要通过一些引擎技术来实现病毒的查杀比如说主流的查杀技术：
特征码技术：杀毒软件存在病毒特征库，包含了各种病毒的特征码；特征码是一段特殊的程序，从病毒样本中抽取出来，与正常的程序不太一样，把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为扫描的信息为病毒
行为查杀技术：病毒在运行的时候会有各种行为特征，比如会在系统里面增加有特殊后缀的文件，监控用户的行为等，当检测到某被检测信息有这些特征行为的时候，会认为这个检测的信息是病毒

网关反病毒

内网用户可以访问外网，并且经常需要从外网下载文件
内网部署的服务器经常接受外网用户上传的文件。

6. 反病毒网关的工作原理是什么？

首包检测技术
通过提取PE系统下可以移植的执行体，包括exe，dll等文件类型、文件头部特征判断文件是否是病毒文件，提取PE文件头部数剧，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，能匹配的话就判定为是病毒
启发式检测技术
启发检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是
病毒文件。比如说文件加壳，当这些与正常文件不一致的行为达到一定的阈值，则认为该文件是病毒
启发检测的响应动作与对应协议的病毒检测的响应动作相同，启发式检测可以提升网络环境的安全性，消除安全隐患，但是这个功能会降低病毒检测的性能，并且存在误报风险，所以系统默认情况下这个功能是关闭状态。
文件信誉检测技术
文件信誉检测时计算全文MD5，通过MD5值与文件信誉特征库匹配进行加测，文件信誉特征库里面包含了大量的知名的病毒文件的MD5值，话温载文件信誉检测技术方面主要依赖于文件信誉静态上级更新以及与沙箱联动，然后自学到的动态缓存。

7. 反病毒网关的工作过程是什么？

1.网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对协议类型和文件传输的方向。
2.判断文件传输所使用的协议和文件传输的方向是否支持病毒检测
3.判断是否命中白名单，命中白名单单后，防火墙将不会对文件进行病毒检测
4.针对域名和URL，白名单规则有以下4种匹配方式：
前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是
“example”就命中白名单规则。
后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是
“example”就命中白名单规则。
关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含
“example”就命中白名单规则。
精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则
5.病毒检测

智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行
匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不
匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送
沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给FW，FW将此
恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应
动作进行处理。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特
征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库
后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上
的病毒特征库需要不断地从安全中心平台（sec.huawei.com）进行升级。
6.当NGFW检测出传输文件为病毒文件时，需要进行如下处理：
判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。
病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。
如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。
由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：
如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作，则以应用的响应动作为准。
如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。

8. 反病毒网关的配置流程是什么？

申请并激活license
加载特征库
配置AV Profile
配置安全策略
其他配置