1. 软市首页
  2. 软件开发

反病毒 关

软件开发

1. 什么是恶意软件/h1>

恶意软件:是以多种途径感染合法用户计算机及予以加害的一种计算机程序。恶意软件能够以多种途径感染计算机和设备,并且表现出多种形式,有些形式包括病毒、蠕虫、木马、间谍软件等。

2. 恶意软件有哪些特征/h1>

病毒在感染系统后,会对系统做各种修改和破坏。有时病毒会使受感染的系统自动弹出 页,占用高CPU资源,自动弹出或关闭窗口,自动终止某些进程等不正常现象

下载特征

很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。

后门特征

  • 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;

  • 某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。

信息收集特征

  • QQ密码和聊天记录

  • 络游戏帐 密码

  • 上银行帐 密码

  • 用户 页浏览记录和上 习惯

自身隐藏特征

多数病毒会将自身文件的属性设置为”隐藏”、”系统”和”只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。

文件感染特性

  • 病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体;

  • 有的文件型病毒会感染系统中其他类型的文件

PS:Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒之蓝”漏洞进行 络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。

络攻击特征

  • 木马和蠕虫病毒会修改计算机的 络设置,使该计算机无法访问 络;

  • 木马和蠕虫还会向 络中其他计算机攻击、发送大量数据包以阻塞 络,甚至通过散布虚假 关地址的广播包来欺骗 络中其他计算机,从而使得整个 络瘫痪。

PS:爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主题设置为”I LOVE YOU”,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个 络,不仅会导致邮件服务器崩溃,也会让 络受影响变慢。从而达到攻击 络的目的。

3. 恶意软件的可分为那几类/h1>

按照传播方式分类

1)病毒

  • 定义:基于硬件和操作系统之间的程序,具有感染和破坏能力
  • 主要传播方式:感染文件传播
  • 感染目标:硬盘系统分配表扇区、硬盘引导扇区、软盘引导扇区、可执行文件、命令文件、覆盖文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件
  • 感染过程:计算机运行含有病毒的程序–>病毒夺取控制权–>寻找感染突破口–>将病毒嵌入感染目标中(病毒会大量复制自身繁殖)

PS:里程碑式的病毒—“熊猫烧香”是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。由于被其感染的文件图标会被替换成”熊猫烧香”图案,所以该病毒被称为”熊猫烧香”病毒。

2)蠕虫

  • 定义:通过 络恶意代码在不同设备中进行复制、传播和运行,一个能传染自身并拷贝、传播到另一个计算机的程序
  • 传播方式:通过 络发送数据包

PS:永恒之蓝—2017年4月14日晚,黑客团体Shadow Brokers (影子经纪人)公布一大批 络攻击工具,其中包含”永恒之蓝”工具,”永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造”永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内 、大型企业内 和政府机构专 中招,被勒索支付高额赎金才能解密恢复文件。

3)木马

  • 定义:木马是攻击者通过欺骗的方法在用户不知情的情况下安装的,木马系统软件一般由木马配置程序、控制程序和木马乘车(服务器程序)三部分组成。
  • 传播方式:捆绑、利用 页等
  • 传播过程:黑客利用木马配置工具生成一个木马的服务端;通过各种手段如Spam、Phish、Worm等安装到用户终端;利用 会工程学,或者其它技术手段使得木马运行;木马窃取用户隐私信息发送给黑客;同时允许黑客控制用户终端

 按照功能分类

1)后门

  • 定义:具有感染设备全部操作权限的恶意代码
  • 功能:文件管理、屏幕监控、键盘监控、视频监控、命令执行

  • 家族:灰鸽子、pcshare

2)勒索

  • 定义:通过加密文件,敲诈用户缴纳赎金。
  • 加密特定:(1)采用非对称加密   (2)对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
  • 其他特定:(1)通过比特币或其它虚拟货币交易  (2)利用钓鱼邮件和爆破rdp口令进行传播

3)挖矿

  • 定义:攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码。
  • 特点:(1)不会对感染设备的数据和系统造成破坏   (2)由于大量消耗设备资源,可能会对设备硬件造成损害。

4. 恶意软件的免杀技术有哪些/h1>

免杀技术又称为免杀毒(Anti Anti- virus)技术,是防止恶意代码免于被杀毒设备查杀的技术。

主流免杀技术如下:

  • 修改文件特征码
  • 修改内存特征码
  • 行为免查杀技术

免杀的最基本思想就是破坏特征,这个特征有可能是特征码,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。

特征码:是反病毒软件用于判断文件是否带病毒的一段独一无二的代码,它或是一段字符,或是在特定位置调用的一个函数,这些特征码在不同的反病毒软件的病毒库中不尽相同。

免杀技术:

  • 文件免杀原理:在保证原文件功能正常的前提下,通过一定的更改,使得原本会被查杀的文件免于被杀。(直接的方法就是让反病毒软件停止工作,或使病毒木马”变”为一个正常的文件。)
  • 改特征码免杀原理:我们显然无法将木马从反病毒软件的黑名单中删除,所以可以让病毒换一种表达方式但是不改变本质进行免杀。(最直接的修改就是改特征码)
  • 花指令免杀原理:其实就是一段毫无意义的指令,也可以称之为垃圾指令。存在的唯一目的就是阻止反汇编程序,或对反汇编设置障碍。

PS:为一个程序添加一段花指令之后,程序的部分偏移会受到影响,如果反病毒软件不能识别这段花指令,那么它检测特征码的偏移量会整体位移一段位置,自然也就无法正常检测木马了。

  • 加壳免杀原理:软件加壳其实也可以称为软件加密(或软件压缩),只是加密(或压缩)的方式与目的不—样罢了。目的是减少被加壳应用程序的体积,或避免让程序遭到不法分子的破坏与利用。

PS:壳就是我们加的保护,它并不会破坏里面的程序,当我们运行这个加壳的程序时,系统首先会运行程序的”壳”,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加密后的文件结构已经产生了天翻地覆的变化,原有的特征码早已不知去处,反病毒软件自然也就会认为它是一个正常的文件了。

  • 内存免杀原理:大多数反病毒公司的内存扫描与文件扫描采用的不是同一套特征码,这就导致了一个病毒木马同时拥有两套特征码,必须要将它们全部破坏掉才能躲过反病毒软件的查杀。这时可以尝试加一个会混淆程序原有代码的”猛”壳,其实还是能躲过杀毒软件的查杀的。
  • 行为免杀:黑客免杀技术发展到现在,已经出现了向渗透入侵等领域靠拢的趋势,黑客们将能躲过主动防御的方法称为0Day,并且越来越多的木马选择使用本地缓冲区溢出等攻击手法来突破主动防御。

5. 反病毒技术有哪些/h1>

首包检测技术

  • 提取PE文件头部特征判断文件是否是病毒文件
  • PE头部文件的数据通常带有某些特殊操作,并采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。

启发式检测技术

  • 启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是病毒文件。
  • 启发式依靠的是”自我学习的能力”,像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。
  • 启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升 络环境的安全性,消除安全隐患,但该功能会降低病毒检测的性能,且存在误 风险,因此系统默认情况下关闭该功能。
  • 启动病毒启发式检测功能:heuristic-detect enable 。

文件信誉检测技术

  • 文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。
  • 文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。

6. 反病毒 关的工作原理是什么/h1>

防病毒 关是一种 络设备,用以保护 络内(一般是局域 )进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、 垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。 

利用反病毒特性保证 络的安全的场合:

  • 内 可以访问外 ,且需要经常从外 下载文件
  • 内 部署的服务器经常接受外 用户上传的文件

反病毒功能主要是检测文件

  • 图片不是可执行文件—静态文件
  • 可执行文件—动态文件

7. 反病毒 关的工作过程是什么/h1>

1)反病毒 关的工作过程:

  1. 智能感知引擎对 络流量进行深层分析,识别流量对应的协议类型和文件传输的方向
  2. 判断文件传输使用的协议和文件传输的方向是否支持病毒检测
  3. 判断流量是否在可以信任的白名单中,在则不对文件做病毒检测
  4. 没有在白名单中则进行病毒检测,提取检测的文件特征,然后将特征与病毒特征库进行匹配,若匹配则为病毒文件,执行响应动作;若不匹配,则文件允许通过

2)NGFW可检测传输文件的协议:

  • FTP文件传输协议
  • HTTP超文本传输协议
  • POP3邮局协议(第三版本)
  • SMTP简单邮件传输协议
  • IMAP因特 信息访问协议
  • NFS 络文件系统
  • SMB文件共享服务器

3)NGFW支持的不同传输方向的文件:

  • 上传:客户端向服务器发送文件
  • 下载:服务器向客户端发送文件

4)白名单规则的匹配方式:

  • 前缀匹配
  • 后缀匹配
  • 关键字匹配
  • 精确匹配

5)当NGFW检测到病毒文件时的处理流程:

  • 是否为病毒例外,若是则允许文件通过—病毒例外:病毒白名单,避免系统误 等原因造成文件传输失败,检测到某病毒为误 时,将对应病毒ID加入病毒例外,若有匹配则放行。
  • 若不是则判断是否命中应用例外,若命中则执行响应动作—应用例外:为应用配置不同协议的响应动作,同一协议可承载多种应用。
  • 若不是则执行配置文件中配置的协议和传输方式对应的响应动作

8. 反病毒 关的配置流程是什么/h1>
  • 申请并激活license
  • 加载特征库
  • 配置AV Profile
  • 配置安全策略
  • 其他配置

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2022年8月12日
下一篇 2022年8月12日

相关推荐

首页
软件超市
企服市场
会员中心