什么是计算机病毒，看这里

                                目录

1. 什么是恶意软件（病毒）/p>

2. 恶意软件的特征

3. 恶意软件的分类

        按照传播方式

        按功能分类分

 4. 恶意软件的免杀技术

5. 反病毒技术

6. 反病毒 关的工作过程

7. 反病毒 关的配置流程

 8.案例

1. 什么是恶意软件（病毒）/h3>

恶意软件，是以多种途径感染合法用户计算机及予以加害的一种计算机程序。恶意软件能够以多种途径感染计算机和设备，并且表现出多种形式。按照传播方式，将恶意软件大致分为三类，病毒、蠕虫、木马。

2. 恶意软件的特征

恶意软件通常具备以下某些特征：

下载特征

    很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。

后门特征

•     后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控;

•     某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。

信息收集特性

• QQ密码和聊天记录;

• 络游戏帐 密码;

• 上银行帐 密码;

• 用户 页浏览记录和上 习惯;

自身隐藏性

    多数病毒会将自身文件的属性设置为“隐藏’、“系统′和”只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。

文件感染性

•     病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体;

•     有的文件型病毒会感染系统中其他类型的文件。

•     Wannacry就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用windows的“永恒之蓝”漏洞进行 络传播。一部分是勒索病毒部分，当计算机感染wannacry之后，勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。

络攻击特性

• 木马和蠕虫病毒会修改计算机的 络设置，使该计算机无法访问 络;

• 木马和蠕虫还会向 络中其他计算机攻击、发送大量数据包以阻塞 络，甚至通过散布虚假 关地址的广播包来欺骗 络中其他计算机，从而使得整个 络瘫痪。

3. 恶意软件的分类

按照传播方式分为：

1.病毒-—基于硬件和操作系统的程序，具有感染，传播，破坏能力，被感染的机器叫做宿主。宿主既是病毒传播的目的地，又是下一次感染的出发地。

    病毒感染目标：硬盘系统分配表扇区、硬盘引导区、软盘引导区、可执行文件、命令文件、覆盖文件、COMMAND文件、IBMDOS文件。

原理

       病毒感染的一般过程：当计算机运行染毒的宿主程序时，病毒夺取控制权;寻找感染的突破口;将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。

主要传播方式：感染文件传播

2.蠕虫—-蠕虫是主要通过 络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。

原理

传播方式：通过 络发送攻击数据包

3.木马-—攻击者通过欺骗的方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

原理

传播过程

       黑客利用木马配置工具生成一个木马的服务端;通过各种手段如Spam、Phish、Worm等安装到用户终端;利用 会工程学,或者其它技术手段使得木马运行;木马窃取用户隐私信息发送给黑客;同时允许黑客控制用户终端。

传播方式：捆绑，利用 页

常见木马：挂马代码         挂马代码的功能是在 页打开的时候，同时打开另外一个 页，当然这个 页可能包含大量的木马，也可能仅仅是为了骗取流量。

按功能分类分为：

后门 具有感染设备全部操作权限的恶意代码。

• 典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
• 典型家族∶ 灰鸽子、pCshare

勒索         通过加密文件，敲诈用户缴纳赎金。

• 加密特点∶
  • 主要采用非对称加密方式
  • 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
• 其他特点∶
  • 通过比特币或其它虚拟货币交易
  • 利用钓鱼邮件和爆破rdp口令进行传播

典型家族∶Wannacry、 GandCrab 、 Globelmposter 挖矿         攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的 恶意代码。 特点∶

• 不会对感染设备的数据和系统造成破坏。
• 由于大量消耗设备资源，可能会对设备硬件造成损害。

 4. 恶意软件的免杀技术

        恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。         免杀技术又称为免杀毒（Anti Anti- Virus ）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶

• 修改文件特征码
• 修改内存特征码
• 行为免查杀技术

原理         免杀的最基本思想就是破坏特征，这个特征有可能是特征码，有可能是行为特征，只要破坏了病毒与木马所固有的特征，并保证其原有功能没有改变，一次免杀就能完成了。 特征码就是反病毒软件用于判断文件是否带病毒的一段独一无二的代码，这些特征码在不同的反病毒软件的病毒库中不尽相同。         特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。

5. 反病毒技术

单机反病毒 检测工具

• 单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。
• 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。
• 常见的病毒检测工具包括：
  • TCP View
  • Regmon
  • Filemon
  • Process
  • Explorer
  • IceSword
  • Process Monitor
  • Wsyscheck
  • SREng
  • Wtool
  •  Malware Defender

杀毒软件 杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术： 特征码技术 杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒。 行为查杀技术 病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用 户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。 常见的杀毒软件举例 ：瑞星，金山毒霸， 360 安全软件，卡巴斯基，赛门铁克， Mcafee 关反病毒 在以下场合中，通常利用反病毒特性来保证 络安全：

• 内 用户可以访问外 ，且经常需要从外 下载文件。
• 内 部署的服务器经常接收外 用户上传的文件。
• FW作为 关设备隔离内、外 ，内 包括用户PC和服务器。内 用户可以从外 下载文件，外 用户 可以上传文件到内 服务器。为了保证内 用户和服务器接收文件的安全，需要在FW上配置反病毒功 能。
• 在FW上配置反病毒功能后，正常文件可以顺利进入内部 络，包含病毒的文件则会被检测出来，并被采 取阻断或告警等手段进行干预。

6. 反病毒 关的工作过程

1. 络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类 型和文件传输的方向。 2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。 NGFW 支持对使用以下协议传输的文件进行病毒检测。

• FTP（File Transfer Protocol）：文件传输协议
• HTTP（Hypertext Transfer Protocol）：超文本传输协议
• POP3（Post Office Protocol – Version 3）：邮局协议的第3个版本
• SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议
• IMAP（Internet Message Access Protocol）：因特 信息访问协议
• NFS（Network File System）： 络文件系统
• SMB（Server Message Block）：文件共享服务器
• NGFW支持对不同传输方向上的文件进行病毒检测。

上传：指客户端向服务器发送文件。 下载：指服务器向客户端发送文件。 3. 判断是否命中白名单。命中白名单后， FW 将不对文件做病毒检测。 白名单由白名单规则组成，管理员可以为信任的域名、 URL 、 IP 地址或 IP 地址段配置白名单规 则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个 反病毒配置文件都拥有自己的白名单。 4. 针对域名和 URL ，白名单规则有以下 4 种匹配方式：

• 前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是“example”就命中白名单规则。
• 后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是“example”就命中白名单规则。
• 关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含“example”就命中白名单规则。
• 精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则。

5. 病毒检测：         智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行 匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不 匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给 FW ， FW 将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应 动作进行处理。         病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID 。当设备加载病毒特征库 后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上 的病毒特征库需要不断地从安全中心平台（ sec.huawei.com ）进行升级。 6. 当 NGFW 检测出传输文件为病毒文件时，需要进行如下处理：         判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。         病毒例外，即病毒白名单。为了避免由于系统误 等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误 时，可以将该对应的病毒ID 添加到病毒例外，使该病毒 规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。         如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。         应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。         由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

• 如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。
• 如果协议和应用都配置了响应动作，则以应用的响应动作为准。

        如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。

7. 反病毒 关的配置流程

 8.案例

1.新建防病毒配置文件

两个配置文件，一个满足内 用户需要通过Web服务器和POP3服务器下载文件和邮件，一个满足内 FTP服务器接收外 用户上传的文件。

2.在安全策略里使用 反病毒配置文件

3.大功告成

文章知识点与官方知识档案匹配，可进一步学习相关知识CS入门技能树Linux入门初识Linux24865 人正在系统学习中