????????????????????????????????目錄

1. 什么是惡意軟件（病毒）？

2. 惡意軟件的特征

3. 惡意軟件的分類

????????按照傳播方式

????????按功能分類分

?4. 惡意軟件的免殺技術(shù)

5. 反病毒技術(shù)

6. 反病毒網(wǎng)關(guān)的工作過程

7. 反病毒網(wǎng)關(guān)的配置流程

?8.案例

---

1. 什么是惡意軟件（病毒）？

惡意軟件，是以多種途徑感染合法用戶計(jì)算機(jī)及予以加害的一種計(jì)算機(jī)程序。惡意軟件能夠以多種途徑感染計(jì)算機(jī)和設(shè)備，并且表現(xiàn)出多種形式。按照傳播方式，將惡意軟件大致分為三類，病毒、蠕蟲、木馬。

2. 惡意軟件的特征

惡意軟件通常具備以下某些特征：

下載特征

?? ?很多木馬、后門程序間諜軟件會(huì)自動(dòng)連接到Internet某Web站點(diǎn)，下載其他的病毒文件或該病毒自身的更新版本/其他變種。

后門特征

• ?? ?后門程序及很多木馬、蠕蟲和間諜軟件會(huì)在受感染的系統(tǒng)中開啟并偵聽某個(gè)端口，允許遠(yuǎn)程惡意用戶來(lái)對(duì)該系統(tǒng)進(jìn)行遠(yuǎn)程操控;

• ?? ?某些情況下，病毒還會(huì)自動(dòng)連接到某IRC站點(diǎn)某頻道中，使得該頻道中特定的惡意用戶遠(yuǎn)程訪問受感染的計(jì)算機(jī)。

信息收集特性

• QQ密碼和聊天記錄;

• 網(wǎng)絡(luò)游戲帳號(hào)密碼;

• 網(wǎng)上銀行帳號(hào)密碼;

• 用戶網(wǎng)頁(yè)瀏覽記錄和上網(wǎng)習(xí)慣;

自身隱藏性

?? ?多數(shù)病毒會(huì)將自身文件的屬性設(shè)置為“隱藏'、“系統(tǒng)′和"只讀”，更有一些病毒會(huì)通過修改注冊(cè)表，從而修改用戶對(duì)系統(tǒng)的文件夾訪問權(quán)限、顯示權(quán)限等，以使病毒更加隱蔽不易被發(fā)現(xiàn)。

文件感染性

• ?? ?病毒會(huì)將惡意代碼插入到系統(tǒng)中正常的可執(zhí)行文件中，使得系統(tǒng)正常文件被破壞而無(wú)法運(yùn)行，或使系統(tǒng)正常文件感染病毒而成為病毒體;

• ?? ?有的文件型病毒會(huì)感染系統(tǒng)中其他類型的文件。

• ?? ?Wannacry就是一種典型的文件型病毒，它分為兩部分，一部分是蠕蟲部分，利用windows的“永恒之藍(lán)"漏洞進(jìn)行網(wǎng)絡(luò)傳播。一部分是勒索病毒部分，當(dāng)計(jì)算機(jī)感染wannacry之后，勒索病毒部分就會(huì)自動(dòng)安裝并且加密計(jì)算機(jī)中包括音頻、圖像、文檔等各種類型的文件。與此同時(shí)彈出勒索框進(jìn)行勒索。

網(wǎng)絡(luò)攻擊特性

• 木馬和蠕蟲病毒會(huì)修改計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置，使該計(jì)算機(jī)無(wú)法訪問網(wǎng)絡(luò);

• 木馬和蠕蟲還會(huì)向網(wǎng)絡(luò)中其他計(jì)算機(jī)攻擊、發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò)，甚至通過散布虛假網(wǎng)關(guān)地址的廣播包來(lái)欺騙網(wǎng)絡(luò)中其他計(jì)算機(jī)，從而使得整個(gè)網(wǎng)絡(luò)癱瘓。

3. 惡意軟件的分類

按照傳播方式分為：

1.病毒----基于硬件和操作系統(tǒng)的程序，具有感染，傳播，破壞能力，被感染的機(jī)器叫做宿主。宿主既是病毒傳播的目的地，又是下一次感染的出發(fā)地。

?? ?病毒感染目標(biāo)：硬盤系統(tǒng)分配表扇區(qū)、硬盤引導(dǎo)區(qū)、軟盤引導(dǎo)區(qū)、可執(zhí)行文件、命令文件、覆蓋文件、COMMAND文件、IBMDOS文件。

原理

?? ?? ?病毒感染的一般過程：當(dāng)計(jì)算機(jī)運(yùn)行染毒的宿主程序時(shí)，病毒奪取控制權(quán);尋找感染的突破口;將病毒程序嵌入感染目標(biāo)中。計(jì)算機(jī)病毒的感染過程與生物學(xué)病毒的感染過程非常相似，它寄生在宿主程序中，進(jìn)入計(jì)算機(jī)并借助操作系統(tǒng)和宿主程序的運(yùn)行，復(fù)制自身、大量繁殖。

主要傳播方式：感染文件傳播

?? ??? ??? ??? ??? ??? ???

2.蠕蟲----蠕蟲是主要通過網(wǎng)絡(luò)使惡意代碼在不同設(shè)備中進(jìn)行復(fù)制、傳播和運(yùn)行的惡意代碼。一個(gè)能傳染自身拷貝到另一臺(tái)計(jì)算機(jī)上的程序。

原理

傳播方式：通過網(wǎng)絡(luò)發(fā)送攻擊數(shù)據(jù)包

3.木馬----攻擊者通過欺騙的方法在用戶不知情的情況下安裝的。木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序（服務(wù)器程序）三部分組成。

原理

傳播過程

? ? ? ?黑客利用木馬配置工具生成一個(gè)木馬的服務(wù)端;通過各種手段如Spam、Phish、Worm等安裝到用戶終端;利用社會(huì)工程學(xué),或者其它技術(shù)手段使得木馬運(yùn)行;木馬竊取用戶隱私信息發(fā)送給黑客;同時(shí)允許黑客控制用戶終端。

傳播方式：捆綁，利用網(wǎng)頁(yè)

常見木馬：掛馬代碼 ????????掛馬代碼的功能是在網(wǎng)頁(yè)打開的時(shí)候，同時(shí)打開另外一個(gè)網(wǎng)頁(yè)，當(dāng)然這個(gè)網(wǎng)頁(yè)可能包含大量的木馬，也可能僅僅是為了騙取流量。

按功能分類分為：

后門 具有感染設(shè)備全部操作權(quán)限的惡意代碼。

• 典型功能∶文件管理、屏幕監(jiān)控、鍵盤監(jiān)控、視頻監(jiān)控、命令執(zhí)行等。
• 典型家族∶ 灰鴿子、pCshare

勒索 ????????通過加密文件，敲詐用戶繳納贖金。

• 加密特點(diǎn)∶
  • 主要采用非對(duì)稱加密方式
  • 對(duì)文檔、郵件、數(shù)據(jù)庫(kù)、源代碼、圖片、壓縮文件等多種文件類型進(jìn)行加密
• 其他特點(diǎn)∶
  • 通過比特幣或其它虛擬貨幣交易
  • 利用釣魚郵件和爆破rdp口令進(jìn)行傳播

典型家族∶Wannacry、GandCrab、Globelmposter 挖礦 ????????攻擊者通過向被感染設(shè)備植入挖礦工具，消耗被感染設(shè)備的計(jì)算資源進(jìn)行挖礦，以獲取數(shù)字貨幣收益的 惡意代碼。 特點(diǎn)∶

• 不會(huì)對(duì)感染設(shè)備的數(shù)據(jù)和系統(tǒng)造成破壞。
• 由于大量消耗設(shè)備資源，可能會(huì)對(duì)設(shè)備硬件造成損害。

?4. 惡意軟件的免殺技術(shù)

????????惡意代碼希望能順利繞過殺毒軟件與防火墻，在受害者的計(jì)算機(jī)中長(zhǎng)期隱藏下去，并能在必要的時(shí)候向攻擊者提供有用的信息。 ????????免殺技術(shù)又稱為免殺毒（Anti Anti- Virus）技術(shù)，是防止惡意代碼免于被殺毒設(shè)備查殺的技術(shù)。主流免殺技術(shù)如下∶

• 修改文件特征碼
• 修改內(nèi)存特征碼
• 行為免查殺技術(shù)

原理 ????????免殺的最基本思想就是破壞特征，這個(gè)特征有可能是特征碼，有可能是行為特征，只要破壞了病毒與木馬所固有的特征，并保證其原有功能沒有改變，一次免殺就能完成了。 特征碼就是反病毒軟件用于判斷文件是否帶病毒的一段獨(dú)一無(wú)二的代碼，這些特征碼在不同的反病毒軟件的病毒庫(kù)中不盡相同。 ????????特征碼就是一種只在病毒或木馬文件內(nèi)才有的獨(dú)一無(wú)二的特征，它或是一段字符，或是在特定位置調(diào)用的一個(gè)函數(shù)。總之，如果某個(gè)文件具有這個(gè)特征碼，那反病毒軟件就會(huì)認(rèn)為它是病毒。反過來(lái)，如果將這些特征碼從病毒、木馬的文件中抹去或破壞掉，那么反病毒軟件就認(rèn)為這是一個(gè)正常文件了。

5. 反病毒技術(shù)

單機(jī)反病毒 檢測(cè)工具

• 單機(jī)反病毒可以通過安裝殺毒軟件實(shí)現(xiàn)，也可以通過專業(yè)的防病毒工具實(shí)現(xiàn)。
• 病毒檢測(cè)工具用于檢測(cè)病毒、木馬、蠕蟲等惡意代碼，有些檢測(cè)工具同時(shí)提供修復(fù)的功能。
• 常見的病毒檢測(cè)工具包括：
  • TCP View
  • Regmon
  • Filemon
  • Process
  • Explorer
  • IceSword
  • Process Monitor
  • Wsyscheck
  • SREng
  • Wtool
  • ?Malware Defender

殺毒軟件 殺毒軟件主要通過一些引擎技術(shù)來(lái)實(shí)現(xiàn)病毒的查殺，比如以下主流技術(shù)： 特征碼技術(shù) 殺毒軟件存在病毒特征庫(kù)，包含了各種病毒的特征碼，特征碼是一段特殊的程序，從病毒樣本中抽取而來(lái)，與正常的程序不太一樣。把被掃描的信息與特征庫(kù)進(jìn)行對(duì)比，如果匹配到了特征庫(kù)，則認(rèn)為該被掃描信息為病毒。 行為查殺技術(shù) 病毒在運(yùn)行的時(shí)候會(huì)有各種行為特征，比如會(huì)在系統(tǒng)里增加有特殊后綴的文件，監(jiān)控用 戶行為等，當(dāng)檢測(cè)到某被檢測(cè)信息有這些特征行為時(shí)，則認(rèn)為該被檢測(cè)信息為病毒。 常見的殺毒軟件舉例：瑞星，金山毒霸，360安全軟件，卡巴斯基，賽門鐵克，Mcafee 網(wǎng)關(guān)反病毒 在以下場(chǎng)合中，通常利用反病毒特性來(lái)保證網(wǎng)絡(luò)安全：

• 內(nèi)網(wǎng)用戶可以訪問外網(wǎng)，且經(jīng)常需要從外網(wǎng)下載文件。
• 內(nèi)網(wǎng)部署的服務(wù)器經(jīng)常接收外網(wǎng)用戶上傳的文件。
• FW作為網(wǎng)關(guān)設(shè)備隔離內(nèi)、外網(wǎng)，內(nèi)網(wǎng)包括用戶PC和服務(wù)器。內(nèi)網(wǎng)用戶可以從外網(wǎng)下載文件，外網(wǎng)用戶 可以上傳文件到內(nèi)網(wǎng)服務(wù)器。為了保證內(nèi)網(wǎng)用戶和服務(wù)器接收文件的安全，需要在FW上配置反病毒功 能。
• 在FW上配置反病毒功能后，正常文件可以順利進(jìn)入內(nèi)部網(wǎng)絡(luò)，包含病毒的文件則會(huì)被檢測(cè)出來(lái)，并被采 取阻斷或告警等手段進(jìn)行干預(yù)。

反病毒工作原理 首包檢測(cè)技術(shù) ???????? ????????通過提取PE（Portable Execute;Windows系統(tǒng)下可移植的執(zhí)行體，包括exe、dll、“sys等文件類型）文 件頭部特征判斷文件是否是病毒文件。提取PE文件頭部數(shù)據(jù)，這些數(shù)據(jù)通常帶有某些特殊操作，并且采用hash算法生成文件頭部簽名，與反病毒首包規(guī)則簽名進(jìn)行比較，若能匹配，則判定為病毒。 啟發(fā)式檢測(cè)技術(shù) ????????啟發(fā)式檢測(cè)是指對(duì)傳輸文件進(jìn)行反病毒檢測(cè)時(shí)，發(fā)現(xiàn)該文件的程序存在潛在風(fēng)險(xiǎn)，極有可能是 病毒文件。比如說(shuō)文件加殼（比如加密來(lái)改變自身特征碼數(shù)據(jù)來(lái)躲避查殺），當(dāng)這些與正常文 件不一致的行為達(dá)到一定的閥值，則認(rèn)為該文件是病毒。 ????????啟發(fā)式依靠的是"自我學(xué)習(xí)的能力"，像程序員一樣運(yùn)用經(jīng)驗(yàn)判斷擁有某種反常行為的文件為病 毒文件。 ????????啟發(fā)式檢測(cè)的響應(yīng)動(dòng)作與對(duì)應(yīng)協(xié)議的病毒檢測(cè)的響應(yīng)動(dòng)作相同。啟發(fā)式檢測(cè)可以提升網(wǎng)絡(luò)環(huán)境 的安全性，消除安全隱患，但該功能會(huì)降低病毒檢測(cè)的性能，且存在誤報(bào)風(fēng)險(xiǎn)，因此系統(tǒng)默認(rèn) 情況下關(guān)閉該功能。 ????????啟動(dòng)病毒啟發(fā)式檢測(cè)功能∶heuristic-detect enable 。 文件信譽(yù)檢測(cè)技術(shù) ????????文件信譽(yù)檢測(cè)是計(jì)算全文MD5，通過MD5值與文件信譽(yù)特征庫(kù)匹配來(lái)進(jìn)行檢測(cè)。文件信譽(yù)特 征庫(kù)里包含了大量的知名的病毒文件的MD5值。華為在文件信譽(yù)檢測(cè)技術(shù)方面主要依賴于文 件信譽(yù)庫(kù)靜態(tài)升級(jí)更新以及與沙箱聯(lián)動(dòng)自學(xué)習(xí)到的動(dòng)態(tài)緩存。 文件信譽(yù)檢測(cè)依賴沙箱聯(lián)動(dòng)或文件信譽(yù)庫(kù)。

6. 反病毒網(wǎng)關(guān)的工作過程

1. 網(wǎng)絡(luò)流量進(jìn)入智能感知引擎后，首先智能感知引擎對(duì)流量進(jìn)行深層分析，識(shí)別出流量對(duì)應(yīng)的協(xié)議類 型和文件傳輸?shù)姆较颉? 2. 判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測(cè)。 NGFW支持對(duì)使用以下協(xié)議傳輸?shù)奈募M(jìn)行病毒檢測(cè)。

• FTP（File Transfer Protocol）：文件傳輸協(xié)議
• HTTP（Hypertext Transfer Protocol）：超文本傳輸協(xié)議
• POP3（Post Office Protocol - Version 3）：郵局協(xié)議的第3個(gè)版本
• SMTP（Simple Mail Transfer Protocol）：簡(jiǎn)單郵件傳輸協(xié)議
• IMAP（Internet Message Access Protocol）：因特網(wǎng)信息訪問協(xié)議
• NFS（Network File System）：網(wǎng)絡(luò)文件系統(tǒng)
• SMB（Server Message Block）：文件共享服務(wù)器
• NGFW支持對(duì)不同傳輸方向上的文件進(jìn)行病毒檢測(cè)。

上傳：指客戶端向服務(wù)器發(fā)送文件。 下載：指服務(wù)器向客戶端發(fā)送文件。 3. 判斷是否命中白名單。命中白名單后，FW將不對(duì)文件做病毒檢測(cè)。 白名單由白名單規(guī)則組成，管理員可以為信任的域名、URL、IP地址或IP地址段配置白名單規(guī) 則，以此提高反病毒的檢測(cè)效率。白名單規(guī)則的生效范圍僅限于所在的反病毒配置文件，每個(gè) 反病毒配置文件都擁有自己的白名單。 4. 針對(duì)域名和URL，白名單規(guī)則有以下4種匹配方式：

• 前綴匹配：host-text或url-text配置為“example”的形式，即只要域名或URL的前綴是“example”就命中白名單規(guī)則。
• 后綴匹配：host-text或url-text配置為“example”的形式，即只要域名或URL的后綴是“example”就命中白名單規(guī)則。
• 關(guān)鍵字匹配：host-text或url-text配置為“example”的形式，即只要域名或URL中包含“example”就命中白名單規(guī)則。
• 精確匹配：域名或URL必須與host-text或url-text完全一致，才能命中白名單規(guī)則。

5. 病毒檢測(cè)： ????????智能感知引擎對(duì)符合病毒檢測(cè)的文件進(jìn)行特征提取，提取后的特征與病毒特征庫(kù)中的特征進(jìn)行 匹配。如果匹配，則認(rèn)為該文件為病毒文件，并按照配置文件中的響應(yīng)動(dòng)作進(jìn)行處理。如果不 匹配，則允許該文件通過。當(dāng)開啟聯(lián)動(dòng)檢測(cè)功能時(shí)，對(duì)于未命中病毒特征庫(kù)的文件還可以上送 沙箱進(jìn)行深度檢測(cè)。如果沙箱檢測(cè)到惡意文件，則將惡意文件的文件特征發(fā)送給FW，FW將此 惡意文件的特征保存到聯(lián)動(dòng)檢測(cè)緩存。下次再檢測(cè)到該惡意文件時(shí)，則按照配置文件中的響應(yīng) 動(dòng)作進(jìn)行處理。 ????????病毒特征庫(kù)是由華為公司通過分析各種常見病毒特征而形成的。該特征庫(kù)對(duì)各種常見的病毒特 征進(jìn)行了定義，同時(shí)為每種病毒特征都分配了一個(gè)唯一的病毒ID。當(dāng)設(shè)備加載病毒特征庫(kù) 后，即可識(shí)別出特征庫(kù)里已經(jīng)定義過的病毒。同時(shí)，為了能夠及時(shí)識(shí)別出最新的病毒，設(shè)備上 的病毒特征庫(kù)需要不斷地從安全中心平臺(tái)（sec.huawei.com）進(jìn)行升級(jí)。 6. 當(dāng)NGFW檢測(cè)出傳輸文件為病毒文件時(shí)，需要進(jìn)行如下處理： ????????判斷該病毒文件是否命中病毒例外。如果是病毒例外，則允許該文件通過。 ????????病毒例外，即病毒白名單。為了避免由于系統(tǒng)誤報(bào)等原因造成文件傳輸失敗等情況的發(fā)生，當(dāng)用戶認(rèn)為已檢測(cè)到的某個(gè)病毒為誤報(bào)時(shí)，可以將該對(duì)應(yīng)的病毒ID添加到病毒例外，使該病毒 規(guī)則失效。如果檢測(cè)結(jié)果命中了病毒例外，則對(duì)該文件的響應(yīng)動(dòng)作即為放行。 ????????如果不是病毒例外，則判斷該病毒文件是否命中應(yīng)用例外。如果是應(yīng)用例外，則按照應(yīng)用例外的響應(yīng)動(dòng)作（放行、告警和阻斷）進(jìn)行處理。 ????????應(yīng)用例外可以為應(yīng)用配置不同于協(xié)議的響應(yīng)動(dòng)作。應(yīng)用承載于協(xié)議之上，同一協(xié)議上可以承載多種應(yīng)用。 ????????由于應(yīng)用和協(xié)議之間存在著這樣的關(guān)系，在配置響應(yīng)動(dòng)作時(shí)也有如下規(guī)定：

• 如果只配置協(xié)議的響應(yīng)動(dòng)作，則協(xié)議上承載的所有應(yīng)用都繼承協(xié)議的響應(yīng)動(dòng)作。
• 如果協(xié)議和應(yīng)用都配置了響應(yīng)動(dòng)作，則以應(yīng)用的響應(yīng)動(dòng)作為準(zhǔn)。

????????如果病毒文件既沒命中病毒例外，也沒命中應(yīng)用例外，則按照配置文件中配置的協(xié)議和傳輸方 向?qū)?yīng)的響應(yīng)動(dòng)作進(jìn)行處理。

7. 反病毒網(wǎng)關(guān)的配置流程

??? ?

?8.案例

????????某公司在網(wǎng)絡(luò)邊界處部署了EW作為安全網(wǎng)關(guān)。內(nèi)網(wǎng)用戶需要通過Web服務(wù)器和POP3服務(wù)器下載文件和郵件，內(nèi)網(wǎng)FTP服務(wù)器需要接收外網(wǎng)用戶上傳的文件。公司利用EW提供的反病毒功能阻止病毒文件在這些過程中進(jìn)入受保護(hù)網(wǎng)絡(luò)，保障內(nèi)網(wǎng)用戶和服務(wù)器的安全。
????????其中，由于公司使用Ctdisk網(wǎng)盤作為工作郵箱，為了保證工作郵件的正常收發(fā)，需要放行Ctdisk網(wǎng)盤的所有郵件。另外，內(nèi)網(wǎng)用戶在通過Web服務(wù)器下載某重要軟件時(shí)失敗，排查發(fā)現(xiàn)該軟件因被EW判定為病毒而被阻斷（病毒ID為16424404)，考慮到該軟件的重要性和對(duì)該軟件來(lái)源的信任，管理員決定臨時(shí)放行該類病毒文件，以使用戶可以成功下載該軟件。

1.新建防病毒配置文件

兩個(gè)配置文件，一個(gè)滿足內(nèi)網(wǎng)用戶需要通過Web服務(wù)器和POP3服務(wù)器下載文件和郵件，一個(gè)滿足內(nèi)網(wǎng)FTP服務(wù)器接收外網(wǎng)用戶上傳的文件。

?

2.在安全策略里使用 反病毒配置文件

3.大功告成

總結(jié)

以上是生活随笔為你收集整理的什么是计算机病毒，看这里的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。