安全防御-----防病毒
1. 什么是惡意軟件?
? ? ? ? 惡意軟件是通過多種途徑感染合法用戶計算機,并且給予加害計算機的一種計算機程序。
? ? ? ? 惡意軟件能夠以多種途徑感染計算機和設備,并且表現出多種形式。
? ? ? ? 大致可以分為三類:病毒、蠕蟲、木馬。
2. 惡意軟件有哪些特征?
? ? ? ? ? ? ? ?①下載特征????????
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 很多的木馬、后門程序間諜軟件會自動i按揭到Internet某web站點,下載? ? ? ? ? ? ? ? ? ? ? ? ? ? ?下載其他病毒文件等。
? ? ? ? ? ? ? ?②后門特征:
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?A.后門程序和很多木馬、蠕蟲和間諜軟件會在受感染的系統中開啟并且? ? ? ? ? ? ? ? ? ? ? ? ? ? ?偵聽某個端口,允許遠程對用戶的系統進行操控。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?B.在一定情況下,病毒會自動連接到某IRC站點某頻道中,使得該頻道? ? ? ? ? ? ? ? ? ? ? ? ? ? ?中特定的惡意用戶遠程訪問受感染的計算機。
???????????????③信息收集性
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 例如:qq聊天記錄,
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?網絡游戲賬號密碼
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?移動支付賬號密碼
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 用戶網頁瀏覽記錄
? ? ? ? ? ? ? ?④自身隱藏性
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?大多數的病毒都會將自身文件的屬性設置為“隱藏”、系統中的權限為“只? ? ? ? ? ? ? ? ? ? ? ? ? ? 讀”權限,更有甚者還會修改注冊表,以致于修改用戶對系統的文件夾的訪問? ? ? ? ? ? ? ? ? ? ? ? ? 權限,顯示權限等。一切都是為了隱藏潛伏下來。
? ? ? ? ? ? ? ?⑤文件感染性
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? A.病毒會將自身的惡意代碼插入到系統中正常的可執行文件中? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?(.exe),使得系統中的正常的執行程序被破壞,導致無法正常運行,從而? ? ? ? ? ? ? ? ? ? ? ? ? ? 成為感染源,成為病原體。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? B.有的文件型病毒會感染系統中其他類型的文件。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? C.?Wannacry就是一種典型的文件型病毒,它分為兩部分,一部分是蠕? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?蟲部分,利用windows的“永恒之藍"漏洞進行網絡傳播。一部分是勒索病毒? ? ? ? ? ? ? ? ? ? ? ? ? ? ?部分,當計算機感染wannacry之后,勒索病毒部分就會自動安裝并且加密? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 計算機中包括音頻、圖像、文檔等各種類型的文件。與此同時彈出勒索框? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 進行勒索。
?
? ? ? ? ? ? ? ?⑥網絡攻擊性?
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? A.木馬和蠕蟲病毒會修改計算機的網絡設置,使得計算機對于外網無法? ? ? ? ? ? ? ? ? ? ? ? ? ? 進行訪問。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? B.木馬和蠕蟲還會向網絡中其他的計算機發起攻擊,發送大量無用的數? ? ? ? ? ? ? ? ? ? ? ? ? 據包,堵塞網絡,設置通過發布大量的虛假網關地址的廣播包,用來欺詐網? ? ? ? ? ? ? ? ? ? ? ? ? ? 絡中其他的計算機,從而使得部分網絡的停滯,甚至癱瘓。
????????
3. 惡意軟件的可分為那幾類?
? ? ? ? 按照傳播方式可以分為:
? ? ? ? ? ? ? ? ? ? ? ? A.病毒----這是基于硬件和操作系統的程序,具有感染、傳播、破壞的能力,? ? ? ? ? ? ? ? ? ?被感染的機器被稱為宿主(和寄生蟲一個樣子),宿主既是病毒傳播的目的地,? ? ? ? ? ? ? ? ? ? ?又是下一次感染的開始的地方。? ?病毒感染的目標:首先是硬盤分配表扇區,再? ? ? ? ? ? ? ? ? ? 就是可執行文件,命令文件等。
? ? ? ? ? ? ? ? ? ? ? ? 病毒的傳播的原理(過程):
? ? ? ? ? ? ? ? ? 當計算機運行感染病毒的程序時,病毒奪取控制權;尋找感染的突破口;找到突? ? ? ? ? ? ? ? ? ?破口,并且將病毒程序嵌入到感染目標中。計算機病毒的感染過程和生物病毒感? ? ? ? ? ? ? ? ? ? ?染過程十分相似,寄生在宿主程序中,進入計算機并且通過操作系統和宿主程序? ? ? ? ? ? ? ? ? ? ?的運行,復制自身、大量繁殖。
? ? ? ? ? ? ? ? ? ? ? ? ? 主要傳播方式:感染文件傳播。
? ? ? ? ? ? ? ? ? ? ? ?B.蠕蟲----蠕蟲病毒主要是通過網絡使惡意代碼在不同設備中進行復制、傳播和運行惡意代碼。它是一個能傳染自身復制到另一臺計算機上的程序。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? ? ? ?原理:
????????????????
? ? ? ? ? ? ? ? ?傳播方式:通過網絡發送攻擊數據包
? ? ? ? ? ? ? ? ? ? ? ?
????????????????????????C.木馬----木馬是攻擊者通過欺騙方法在用戶不知情的情況下安裝的。木馬系統軟件一般由木馬配置程序、控制程序和木馬程序(服務器程序)三部分組成。
? ? ? ? ? ? ? ? ? ? ? ? ?傳播過程:
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?黑客利用木馬配置工具生成一個木馬的服務端;通過各種手段sapm、? ? ? ? ? ? ? ? ? ? ? ? ? ? phish、worm 等安裝到用戶終端;利用社會工程學、或者或者其他技術手段? ? ? ? ? ? ? ? ? ? ? ? ? ?使得木馬運行;木馬竊取用戶隱私信息發送給黑客;同時允許黑客控制用戶? ? ? ? ? ? ? ? ? ? ? ? ? ?終端。
? ? ? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ? ? ? ? ? 傳播方式:捆綁、利用網頁。
? ? ? ? ? ? ? ? ? ? ? ? 常見木馬:掛馬代碼
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 掛馬代碼的功能是在網頁打開的時候,同時打開另外一個網頁,當然這個網頁可能包含大量的木馬,也可能僅僅是騙取流量。
? ? ? ? ? ? ? ? ? ? ? ? ? ??????????
? ? ? ? 按照功能分類:
? ? ? ? ? ? ?后門
? ? ? ? ? ? ? ? ?具有感染設備全部操作權限的惡意代碼。
- 典型功能∶文件管理、屏幕監控、鍵盤監控、視頻監控、命令執行等。
- 典型家族∶ 灰鴿子、pCshare
????????????????
勒索
????????通過加密文件,敲詐用戶繳納贖金。
- 加密特點∶
- 主要采用非對稱加密方式
- 對文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件類型進行加密
- 其他特點∶
- 通過比特幣或其它虛擬貨幣交易
- 利用釣魚郵件和爆破rdp口令進行傳播
? ? ? ? 典型家族:Wannacry 、GandCrab、Globelmposter
挖礦
????????攻擊者通過向被感染設備植入挖礦工具,消耗被感染設備的計算資源進行挖礦,以獲取數字貨幣收益的 惡意代碼。
特點∶
- 不會對感染設備的數據和系統造成破壞。
- 由于大量消耗設備資源,可能會對設備硬件造成損害。
4. 惡意軟件的免殺技術有哪些?
? ? ? ? 惡意代碼希望能夠繞過殺毒軟件和防火墻,在受害者的計算機長期隱藏下去,并能在必要的時候向攻擊者提供有用的信息。
? ? ? ? 免殺技術又稱為免殺毒(AAV)技術,是防止惡意代碼免于被殺毒設備查殺的技術。
? ? ? ?
? ? ? ? 主流免殺技術:
? ? ? ? 修改文件特征碼
? ? ? ? 修改內存特征碼
? ? ? ? 行為免查殺技術
原理
? ? ? ? 免殺的最基本思想就是破壞特征,這個特征有可能是特征碼,有可能是行為特征,只要破壞了病毒與木馬所固有的特征,并保證其原有功能沒有改變,一次免殺就能完成了。
特征碼就是反病毒軟件用于判斷文件是否帶病毒的一段獨一無二的代碼,這些特征碼在不同的反病毒軟件的病毒庫中不盡相同。
? ? ? ? 特征碼就是一種只在病毒或木馬文件內才有的獨一無二的特征,它或是一段字符,或是在特定位置調用的一個函數。總之,如果某個文件具有這個特征碼,那反病毒軟件就會認為它是病毒。反過來,如果將這些特征碼從病毒、木馬的文件中抹去或破壞掉,那么反病毒軟件就認為這是一個正常文件了。
?
5. 反病毒技術有哪些?
?單機反病毒
? ????????檢測工具
????????????????單機反病毒可以通過安裝殺毒軟件實現,也可以通過專業的防病毒工具實現。
????????????????病毒檢測工具用于檢測病毒、木馬、蠕蟲等惡意代碼,有些檢測工具同時提供修復的功能。
????????????????常見的病毒檢測工具包括: TCP View
????????????????????????Regmon
????????????????????????Filemon
????????????????????????Process Explorer
????????????????????????IceSword
????????????????????????Process Monitor
????????????????????????Wsyscheck
????????????????????????SREng
????????????????????????Wtool
????????????????????????Malware Defender
? ? ? ??
? ? ? ? ? ? ? ? 殺毒軟件:
? ? ? ? ? ? ? ? ? ? ? ? 殺毒軟件主要是通過一些引擎技術來實現病毒的查殺。
? ? ? ? ? ? ? ? ? ? ? ? 例如:
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 特征碼技術:
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 殺毒軟件存在一個病毒特征庫,包含了各種病毒的特征碼,特征碼是一段特殊的程序,從病毒樣本中抽取而來的,與正常的程序不太一樣。把掃描的信息與特征庫進行對比,如果匹配到了特征庫,則認為該被掃描的信息為病毒。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 行為查殺技術:
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 病毒在運行的時候會又各種行為特征,比如會在系統里增加又特殊后綴的文件,監控用戶行為等,當檢測到某被檢測信息有這些特征行為時,則認為該被檢測信息為病毒。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?常見的殺毒軟件:360、瑞星、金山毒霸等。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 網關反病毒:
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 在以下場合中,通常利用反病毒特性來保證網絡安全:
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 內網用戶可以訪問外網,且經常需要從外網下載文件。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 內網部署的服務器需要由外網的客戶進行訪問。
????????????????????????????????????????????????????????FW作為網關設備隔離內、外網,內網包括用戶PC和服務器。內網用戶可以從外網下載文件,外網用戶 可以上傳文件到內網服務器。為了保證內網用戶和服務器接收文件的安全,需要在FW上配置反病毒功 能。
????????????????????????????????????????????????????????在FW上配置反病毒功能后,正常文件可以順利進入內部網絡,包含病毒的文件則會被檢測出來,并被采 取阻斷或告警等手段進行干預。
? ? ? ? ? ? ? ?
? ?
????????????????????????????????????
6. 反病毒網關的工作原理是什么?
? ???首包檢測技術
? ? ? 啟發式檢測技術
? ? ? ? ? ? ? ? 啟發式檢測時指對傳輸文件進行反病毒檢測時,發現該文件的程序存在潛在風險,極有可能是病毒文件。比如文件加殼(加密來改變自身特征碼數據來躲避查殺),當這些與正常文件不一致的行為達到一定的閥值,則認為該文件為病毒。
? ? ? ? ? ? ? ? 啟發式依靠的是“自我學習的能力”,就像程序員一樣運用經驗判斷擁有某種反常的行為判定為病毒文件。
? ? ? ? ? ? ? ? ?啟發式檢測的響應動作與對應協議的病毒檢測的響應動作相同。啟發式檢測可以提升網絡的安全性,消除安全隱患。但是該功能會降低病毒檢測的性能,會存在誤判誤報的風險,因此系統默認情況下,關閉該功能。
? ? ? ? ? ? ? ? 啟動病毒啟發式檢測功能:heuristic-detect enable
? ? ? ? ? ? ? ??
? ? ? ? 文件信譽檢測技術:
? ? ? ? ? ? ? ? 文件信譽檢測是計算全文MD5,通過MD5值與文件信譽特征庫匹配來進行檢測。文件信譽特征庫包含了大量的知名病毒文件的MD5值。華為在文件信譽檢測技術方面主要依賴于文件信譽庫靜態升級更新以及與沙箱聯動自學習到動態緩存。
文件信譽檢測依賴沙箱練到那個或文件信譽庫。
7. 反病毒網關的工作過程是什么?
? ? ? ? ①網絡流量進入智能感知引擎后,首先智能感知引擎對流量進行深層分析,識別出流量對應的協議類型和文件傳輸方向。
? ? ? ? ②判斷文件傳輸所使用的協議和文件傳輸的方向是否支持病毒檢測。
? ? ? ? ? ? ? ? ? ? ? ? NGFW支持對使用以下協議傳輸的文件進行病毒檢測。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? FTP? ? HTTP? ? ?POP3? ? ? SMTP? ? ? IMAP (因特網信息訪問協議)? ? ? NFS(網絡文件系統)? ? ? SMB? (文件共享服務器)
? ? ? ? ? ? ? ? ? ? ? ? NGFW支持對不同傳輸方向上的文件進行病毒檢測。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 上傳:指的是客戶端向服務器發送文件。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 下載:指的是服務器向客戶端發送文件。
? ? ? ??③判斷是否命中白名單。命中白名單后、FW將不對文件做病毒檢測。
? ? ? ? ? ? ? ? ? ? ? ? 白名單由白名單規則組成(是管理員可以信任的域名、URL、IP地址段配置白名單規則)以此來提高反病毒的檢測效率。白名單規則的生效范圍僅限于所在反病毒配置文件,每個反病毒配置文件都擁有自己的白名單。
? ? ? ? ④針對域名和URL,白名單規則有以下4種方式:
? ? ? ? ? ? ? ? 前綴匹配、后綴匹配、關鍵字匹配、精確匹配
? ? ? ? ?
????????⑤病毒檢測:
? ? ? ? ? ? ? ? 智能感知引擎通過對符合病毒檢測的文件進行特征提取,提取后的特征與庫里做匹配。匹配則認為該文件為病毒文件,按照相關響應動作進行處理。如果不是,就允許通過。
? ? ? ? ? ? ? ? 當開啟聯動檢測功能時,對于未命中病毒特征庫的文件還可以送到沙箱進行檢測,如果檢測到而已文件,則將惡意文件的文件特征發送給FW,FW將此惡意文件的特征保存到聯動檢測緩存。下次再檢測到該惡意文件時,則按照配置文件種的響應動作進行處理。
????????病毒特征庫是由華為公司通過分析各種常見病毒特征而形成的。該特征庫對各種常見的病毒特 征進行了定義,同時為每種病毒特征都分配了一個唯一的病毒ID 。當設備加載病毒特征庫后,即可識別出特征庫里已經定義過的病毒。同時,為了能夠及時識別出最新的病毒,設備上的病毒特征庫需要不斷地從安全中心平臺( sec.huawei.com )進行升級。
? ? ? ?
???????? ⑥當NGFW檢測出傳輸文件為病毒文件時,需要進行如下處理:
? ? ? ? ? ? ? ? 判斷該病毒文件是否命中病毒例外,如果是病毒例外,則允許該文件通過。
? ? ? ? ? ? ? ? 病毒例外就是病毒白名單。為了避免由于系統誤報等原因造成文件傳輸失敗等情況發生,當用戶認為一檢測到的某個病毒為誤報時,可以將該對應的病毒ID添加到病毒例外,使得該病毒規則失效。所以再次命中病毒例外時,即可放行。
? ? ? ? ? ? ? ? 如果不是病毒例外,則判斷該病毒文件是否命中應用例外。如果是應用例外,則按照應用例外的響應動作進行處理。
? ? ? ? ? ? ? ? 由于應用和協議之間存在關系,在配置響應動作是也有如下規定:
? ? ? ? ? ? ? ? ? ? ? ? 如果只配置協議的響應動作,則協議上承載所有應用都繼承協議的響應動作。
? ? ? ? ? ? ? ? ? ? ? ? 如果協議和應用都配置了響應動作,則以應用的響應動作為準。? ? ? ?
? ? ? ? ? ? ? ?
???????????????? 如果病毒文件既沒有命中病毒例外,也沒命中應用例外,則按照配置文件種配置的協議和傳輸方向對應的響應動作進行處理。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
8. 反病毒網關的配置流程是什么?
防火墻上配置:
?再次寫一個安全策略:
這兒就完成了
總結
以上是生活随笔為你收集整理的安全防御-----防病毒的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 十天学会单片机和c语言编程,十天学会单片
- 下一篇: 松下FP-XH系列PLC 断电保持寄存器