1. 什么是恶意软件?
恶意软件是指那些破坏系统正常运行、同时具备正常功能和恶意行为的软件的统称。
恶意软件可以包括病毒软件和其他类型的恶意软件,它们会给用户带来实质危害。
恶意软件的表现形式可以包括强行安装、无法卸载、修改主页并锁定、自动弹出广告等。
恶意软件的总体目标是破坏设备的正常运行,例如显示广告、获得计算机的root访问权限等。
恶意软件还存在一些免杀技术,旨在绕过安全系统的检测和防御措施。类似病毒。
2. 恶意软件有哪些特征?
下载特征(能够从远程服务器下载其他恶意软件或更新自身)、
后门特征(在受感染的系统上开启一个隐藏的通道,使攻击者能够远程访问和控制系统)、
信息收集特征(收集用户的敏感信息并发送给攻击者)、
自身隐藏特征(通过修改文件属性、进程名或注册表项等方式隐藏自身)、
文件感染特征(能够感染其他文件并扩散传播)、
网络攻击特征(利用漏洞或弱点攻击网络上的其他系统或设备)。
3. 恶意软件的可分为哪几类?
按照传播方式分类
病毒:感染文件传播
蠕虫:通过网络发送攻击数据包
木马:捆绑、利用网页
按照功能分类
后门:具有感染设备全部操作权限的恶意代码
勒索:通过加密文件,敲诈用户缴纳赎金
挖矿:攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码
4. 恶意软件的免杀技术有哪些?
修改文件特征码
修改内存特征码
行为免查技术
5. 反病毒技术有哪些?
首包检测技术
启发式检测技术
文件信誉检测技术
6. 反病毒网关的工作原理是什么?
通过首包检测技术、启发式检测技术、文件信誉检测技术来检测带病毒的文件,然后采取阻断或警告的手段进行干预,从而保证内网用户和服务器接收文件的安全
7. 反病毒网关的工作过程是什么?
1、网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
3、判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配
后缀匹配
关键字匹配
精确匹配
4、病毒检测:设备对传输文件进行特征提取,并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功,则判定该文件为病毒文件,并送往反病毒处理模块进行处理;如果特征不匹配,则直接放行该文件
5、响应处理:设备检测出传输的文件为病毒文件后,通常有如下处理动作。
告警:允许病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。
阻断:禁止病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。
8. 反病毒网关的配置流程是什么?
1.新建安全策略
2.新建反病毒配置文件
3.全局配置