1.什么是惡意軟件

?惡意軟件：在惡意破壞網(wǎng)絡(luò)或用戶的計(jì)算機(jī)、手機(jī)、平板電腦或其他設(shè)備的正常運(yùn)行或?qū)ζ湓斐蓳p害的代碼。

2. 惡意軟件有哪些特征？

• 下載特征：自動(dòng)連接到某web站點(diǎn)，下載病毒文件或更新自身版本
• 后門(mén)特征：
• 信息收集特征
• 自身隱藏特性
• 文件感染性
• 網(wǎng)絡(luò)攻擊性

3. 惡意軟件的可分為那幾類(lèi)？

惡意軟件種類(lèi)：

按照傳播方式分類(lèi)

1.病毒：病毒是一種基于硬件和操作系統(tǒng)的程序，具有感染和破壞能力?

計(jì)算機(jī)病毒感染過(guò)程：當(dāng)計(jì)算機(jī)運(yùn)行染毒的屬主程序時(shí)，病毒奪取控制權(quán)；尋找感染的突破口；將病毒程序嵌入感染目標(biāo)中。

病毒感染目標(biāo)包括：硬盤(pán)與軟盤(pán)的引導(dǎo)扇區(qū)，可執(zhí)行文件(.exe)、命令文件(.com)、覆蓋文件(.ovl)等文件

主要傳播方式：感染文件傳播

代表案例：熊貓燒香

2.蠕蟲(chóng)：蠕蟲(chóng)是主要通過(guò)網(wǎng)絡(luò)使惡意代碼在不同設(shè)備中進(jìn)行復(fù)制、傳播、運(yùn)行的惡意代碼。

?傳播過(guò)程：

?傳播方式：通過(guò)網(wǎng)絡(luò)發(fā)送攻擊數(shù)據(jù)包

代表案例：永恒之藍(lán)

3.木馬：木馬是攻擊者通過(guò)欺騙方法在用戶不知情的情況下安裝的。木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成

?傳播過(guò)程：

黑客利用木馬配置工具生成一個(gè)木馬的服務(wù)端；通過(guò)各種手段如Spam、Phish、Worm等安裝到用戶終端；利用社會(huì)工程學(xué)，或者其它技術(shù)手段使得木馬運(yùn)行；木馬竊取用戶隱私信息發(fā)給黑客；同時(shí)允許黑客控制用戶終端。

傳播方式：捆綁、利用網(wǎng)頁(yè)

按照功能分類(lèi)

后門(mén)

具有感染設(shè)備全部操作權(quán)限的惡意代碼。

• 典型功能：文件管理、屏幕監(jiān)控、鍵盤(pán)監(jiān)控、視頻監(jiān)控、命令執(zhí)行等
• 典型家族：灰鴿子、pCshare

勒索

通過(guò)加密文件，敲詐用戶繳納贖金

• 加密特點(diǎn)：
  • 主要采取非對(duì)稱(chēng)加密方式
  • 對(duì)文檔、郵件、數(shù)據(jù)庫(kù)、源代碼等多種文件類(lèi)型進(jìn)行加密
• 其他特點(diǎn)：
  • 通過(guò)比特幣或其它虛擬貨幣交易
  • 利用釣魚(yú)郵件和爆破rdp口令進(jìn)行傳播
• 典型家族：Wannacry、GandCrab、Globelmposter

挖礦

攻擊者通過(guò)向被感染設(shè)備植入挖礦工具，消耗被感染設(shè)備的計(jì)算資源進(jìn)行挖礦，以獲取數(shù)字貨幣收益的惡意代碼。特點(diǎn)：

• 不會(huì)對(duì)感染設(shè)備的數(shù)據(jù)和系統(tǒng)造成破壞
• 由于大量消耗設(shè)備資源，可能會(huì)對(duì)設(shè)備硬件造成損害

4. 惡意軟件的免殺技術(shù)有哪些？

免殺技術(shù)又稱(chēng)為免殺毒技術(shù)，是防止惡意代碼免于被殺毒設(shè)備查殺的技術(shù)。

主流免殺技術(shù)：

• 修改文件特征碼
• 修改內(nèi)存特征碼
• 行為免查殺技術(shù)

5. 反病毒技術(shù)有哪些？

• 檢測(cè)工具
• 殺毒軟件
• 網(wǎng)關(guān)反病毒

6. 反病毒網(wǎng)關(guān)的工作原理是什么？

• ?首包檢測(cè)技術(shù)

通過(guò)提取PE文件頭部特征判斷文件是否是病毒文件，提取PE文件頭部數(shù)據(jù)，這些數(shù)據(jù)通常帶有某些特殊操作，并采用hash算法生成文件頭部簽名，與反病毒首包規(guī)則簽名進(jìn)行比較，若能匹配，則判定為病毒。

• 啟發(fā)式檢測(cè)技術(shù)
• 文件信譽(yù)檢測(cè)技術(shù)

?7. 反病毒網(wǎng)關(guān)的工作過(guò)程是什么？

• 網(wǎng)絡(luò)流量進(jìn)入智能感知引擎后，智能感知引擎對(duì)流量進(jìn)行深層分析，識(shí)別出流量對(duì)應(yīng)的協(xié)議類(lèi)型和文件傳輸?shù)姆较颉?/li>
• 判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測(cè)
• 判斷是否命中白名單。命中白名單后，FW將不對(duì)文件做病毒檢測(cè)
• 針對(duì)域名和URL
• 病毒檢測(cè)
• 當(dāng)NGFW檢測(cè)出傳輸文件為病毒文件時(shí)：
  • 判斷該病毒文件是否命中病毒例外
  • 如果不是病毒例外，則判斷該病毒文件是否命中應(yīng)用例外
  • 如果都沒(méi)有，則按照配置文件中配置的協(xié)議和傳輸方向?qū)?yīng)的響應(yīng)動(dòng)作進(jìn)行處理

8. 反病毒網(wǎng)關(guān)的配置流程是什么？

• 申請(qǐng)并激活license
• 加載特征庫(kù)
• 配置 AV Profile
• 配置安全策略
• 其他配置

相關(guān)實(shí)驗(yàn)配置過(guò)程：

拓?fù)?/p>

?配置過(guò)程：

1.進(jìn)入防火墻后先配置策略

?2.配置反病毒策略阻斷HTTP與FTP

應(yīng)用例外里面可以配置例外應(yīng)用

?3.策略配置完成

?4.在對(duì)象里面查看反病毒文件

?5.對(duì)象里面的全局配置

?至此配置完成

總結(jié)

以上是生活随笔為你收集整理的防病毒网关的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。