1. 什么是恶意软件?
恶意软件是指具有恶意目的的软件程序或代码,主要用于对计算机系统、网络和终端设备造成损害、窃取敏感信息、获取非法利益或滥用用户权限。
2. 恶意软件有哪些特征?
下载特征
很多木马、后门程序间谍软件会自动连接到 Internet 某 Web 站点,下载其他的病毒文件或该病毒自身的更新版本/ 其他变种。
后门特征
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;
某些情况下,病毒还会自动连接到某 IRC 站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。
信息收集特性
QQ 密码和聊天记录;
网络游戏帐号密码;
网上银行帐号密码;
用户网页浏览记录和上网习惯;
自身隐藏特性
多数病毒会将自身文件的属性设置为 “ 隐藏 ” 、 “ 系统 ” 和 “ 只读 ” ,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染特性
病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体;有的文件型病毒会感染系统中其他类型的文件。
Wannacry 就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用 windows 的 “ 永恒之蓝 ” 漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染 wannacry 之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
网络攻击特性
木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。
爱虫病毒是一种利用 Windows outlook 邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主题设置为 “I LOVE YOU” ,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的。
3. 恶意软件的可分为那几类?
病毒:病毒是一种依附于其他程序或文件的恶意代码,通过感染这些程序或文件来传播和复制自己。一旦被感染的程序或文件被执行,病毒会开始破坏系统或进行其他恶意活动。
蠕虫:蠕虫是一种自主传播的恶意软件,它能够在网络中自我复制,并通过网络传播到其他主机。蠕虫通常利用网络漏洞或弱点来传播,而无需依附于其他程序。
木马:木马是一种伪装成合法软件的恶意程序。用户可能会误认为它是有用的应用,但实际上它在后台执行恶意操作,如窃取敏感信息、远程控制计算机等。
间谍软件:间谍软件是一类用于搜集用户个人信息的恶意程序。它可以监视用户的网络活动、收集敏感信息并将其发送给黑客或广告公司,从而侵犯用户的隐私。
广告软件:广告软件是一种显示广告的恶意程序。虽然广告本身不一定是恶意的,但广告软件通常以侵入性的方式展示广告,并可能导致系统性能下降。
逻辑炸弹:逻辑炸弹是一种在特定条件下触发恶意操作的代码。它通常隐藏在合法程序中,当满足特定条件时,如特定日期或事件,会触发炸弹执行恶意行为。
Rootkits:是一类隐藏在操作系统内核或其他核心组件中的恶意软件。它们的目标是获得对系统的完全控制,并对其进行持久性隐藏和操纵,往往很难被检测和删除。
反向连接木马:RATs是一种允许攻击者远程控制被感染计算机的恶意软件。攻击者可以通过RATs执行各种恶意活动,包括监视用户、窃取数据等。
4. 恶意软件的免杀技术有哪些?
恶意代码希望能顺利绕过杀毒软件与防火墙,在受害者的计算机中长期隐藏下去,并能在必要的时候向攻击者提供有用的信息。
免杀技术又称为免杀毒(Anti Anti Virus) 技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下:
修改文件特征码
修改内存特征码
行为免查杀技术
5. 反病毒技术有哪些?
单机反病毒
检测工具:病毒检测工具用于检测病毒、木马、蠕虫等恶意代码,有些检测工具同时提供修复的功能。
杀毒软件:杀毒软件主要通过一些引擎技术来实现病毒的查杀,比如以下主流技术: 特征码技术 行为查杀技术。
网关反病毒
FW 作为网关设备隔离内、外网,内网包括用户 PC 和服务器。内网用户可以从外网下载文件,外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全,需要在FW 上配置反病毒功能。
在 FW 上配置反病毒功能后,正常文件可以顺利进入内部网络,包含病毒的文件则会被检测出来,并被采取阻断或告警等手段进行干预。
6. 反病毒网关的工作原理是什么?
7. 反病毒网关的工作过程是什么?
(1) 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
(2)判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
(3)判断是否命中白名单。命中白名单后, FW 将不对文件做病毒检测。
(4)针对域名和 URL ,白名单规则有以下 4 种匹配方式:
前缀匹配: host-text 或 url-text 配置为 “example” 的形式,即只要域名或 URL 的前缀是“example” 就命中白名单规则。
后缀匹配: host-text 或 url-text 配置为 “example” 的形式,即只要域名或 URL 的后缀是 “example”就命中白名单规则。
关键字匹配: host-text 或 url-text 配置为 “example” 的形式,即只要域名或 URL 中包含
“example” 就命中白名单规则。
精确匹配:域名或 URL 必须与 host-text 或 url-text 完全一致,才能命中白名单规则。
(5) 病毒检测
(6) 当 NGFW 检测出传输文件为病毒文件时,需要进行如下处理:
8. 反病毒网关的配置流程是什么?
