目录
1. 什么是恶意软件?
恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。恶意软件不仅会影响受感染的电脑或设备,还可能会影响与受感染设备通信的其他设备。恶意软件能够以多种途径感染计算机和设备,并且表现出多种形式,有些形式包括病毒、蠕虫、木马、间谍软件等。所有用户均了解如何识别和防范各种形式的恶意软件很重要。
2. 恶意软件有哪些特征?
恶意软甲具备以下特征:
1.强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软 件的行为。
- 在安装过程中未提示用户;
- 在安装过程中未提供明确的选项供用户选择;
- 在安装过程中未给用户提供退出安装的功能;
- 在安装过程中提示用户不充分、不明确;(明确充分的提示信息包括但不限于软件作者、软件名称、软件版本、软件功能等).
2.难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。.
3. 恶意软件可分为那几类?
1.病毒
1.1、病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
1.2、计算机病毒感染的一般过程为: 当计算机运行感染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
1.3、病毒感染目标包括:硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件。
1.4、传染方式:感染文件传播
2.蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝 到另一台计算机上的程序。
3.木马
4.间谍软件
间谍软件是一种在用户不知情或未取得用户许可的情况下对用户的行为进行监视的恶意程序。攻击者可以使用间谍软件监视用户的行为、得到按键信息、获取敏感数据等。
5.勒索软件
勒索软件是近些年最常见的软件之一,它一般偷偷地被安装在用户的电脑上并执行密码病毒攻击。如果电脑被这种恶意软件感染,用户一般需要向攻击者支付一笔勒索费用来解锁电脑。
6.恐吓软件
恐吓软件是一种较新的恶意软件类型,其诱导用户购买或下载不必要的、且有潜在危险性的软件,比如假的反病毒安全软件,它对受害者具有经济和隐私等多方面的威胁。
7.Bots
Bots使得攻击者可以远程控制被感染的系统,其利用软件的漏洞或使用社会工程技术进行传播。一旦系统被其感染,攻击者可以安装蠕虫、间谍软件和木马,并将受害者的电脑变成僵尸网络。僵尸网络被经常用于发动分布式拒绝服务(DDoS)攻击,包括发送垃圾邮件、进行钓鱼欺诈等。Agobot和Sdbot是两种最臭名昭著的bots.
8.Rootkits
Rootkits是一种隐身的恶意软件,其隐藏指定的进程或程序并能获得访问计算机的特权。Rootkits在用户模式申请API调用或把操作系统的结构篡改为驱动装置或核心组件。
9.混合恶意软件
混合恶意软件将两种及以上的恶意软件形式组合为新的类型,以实现更强大的攻击性能。这些典型的恶意软件类型之间并不是完全界限分明的,也就是说一种特定的恶意软件样本可能同时属于多个恶意软件类型。
4. 恶意软件的免杀技术有哪些?
免杀技术又称为免杀毒(Anti Anti- Virus)技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶修改文件特征码 、修改内存特征码 、行为免查杀技术。
5. 反病毒技术有哪些?
单机反病毒
- TCP View
- Regmon
- Filemon
- Process Explorer
- IceSword
- Process Monitor
- Wsyscheck
- SREng
- Wtool
- Malware Defender
网关反病毒
- 内网用户可以访问外网,且经常需要从外网下载文件。
- 内网部署的服务器经常接收外网用户上传的文件。
6. 反病毒网关的工作原理是什么?
首包检测技术
启发式检测技术
文件信誉检测技术
7. 反病毒网关的工作过程是什么?
- 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类 型和文件传输的方向。
- 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下协议传输的文件进行病毒检测。
- FTP(File Transfer Protocol):文件传输协议
- HTTP(Hypertext Transfer Protocol):超文本传输协议
- POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
- SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
- IMAP(Internet Message Access Protocol):因特网信息访问协议
- NFS(Network File System):网络文件系统
- SMB(Server Message Block):文件共享服务器
- NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。
3.判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
- 白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规 则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个 反病毒配置文件都拥有自己的白名单。
4.针对域名和 URL ,白名单规则有以下 4 种匹配方式:
- 前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是
- “example”就命中白名单规则。后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是 “example”就命中白名单规则。
- 关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含 “example”就命中白名单规则。
- 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
5. 病毒检测:
- 智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行 匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不 匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应 动作进行处理。
- 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库 后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上 的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
6.当 NGFW 检测出传输文件为病毒文件时,需要进行如下处理:
- 判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
- 病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当 用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒 规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
- 如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外 的响应动作(放行、告警和阻断)进行处理。
- 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载 多种应用。
- 由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
- 如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
- 如果协议和应用都配置了响应动作,则以应用的响应动作为准。
- 如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。
8. 反病毒网关的配置流程是什么?
反病毒的基本配置思路
1. 什么是APT?
高级持续性威胁(Advanced Persistent Threat,APT),又叫高级长期威胁,是一种复杂的、持续的网络攻击,包含三个要素:高级、长期、威胁。高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度,需要花费大量时间和资源来研究确定系统内部的漏洞;长期是为了达到特定目的,过程中“放长线”,持续监控目标,对目标保有长期的访问权;威胁强调的是人为参与策划的攻击,攻击目标是高价值的组织,攻击一旦得手,往往会给攻击目标造成巨大的经济损失或政治影响,乃至于毁灭性打击。
2. APT 的攻击过程?
第一阶段:扫描探测
第二阶段:工具投送
第三阶段:漏洞利用
第四阶段:木马植入
第五阶段:远程控制
第六阶段:横向渗透
第七阶段:目标行动
3. 详细说明APT的防御技术
高级威胁通常利用定制恶意软件、0Day漏洞或高级逃逸技术,突破防火墙、IPS、AV等基于特征的传统防御检测设备,针对系统未及时修复的已知漏洞、未知漏洞进行攻击。华为APT防御与大数据安全解决方案https://e.huawei.com/cn/solutions/business-needs/security/apt采用大数据分析方法,采集全网信息,辅助多维风险评估,准确的识别和防御APT攻击,有效避免APT攻击造成用户核心信息资产损失。该解决方案相关产品包括FireHunter6000沙箱和HiSec Insight高级威胁分析系统。
- 沙箱技术是华为推出的新一代高性能APT威胁检测系统,可以精确识别未知恶意文件渗透和C&C(命令与控制,Command & Control,简称C&C)恶意外联。通过直接还原网络流量并提取文件或依靠下一代防火墙提取的文件,在虚拟的环境内进行分析,实现对未知恶意文件的检测。
- HiSec Insight高级威胁分析系统(原CIS)基于成熟自研商用大数据平台FusionInsight开发,结合智能检测算法可进行多维度海量数据关联分析,主动实时的发现各类安全威胁事件,还原出整个APT攻击链攻击行为。同时华为安全态势感知可采集和存储多类网络信息数据,帮助用户在发现威胁后调查取证以及处置问责。华为安全态势感知以发现威胁、阻断威胁、取证、溯源、响应、处置的思路设计,助力用户完成全流程威胁事件闭环。
4. 什么是对称加密?
对称加密:也称为对称密码,是指在加密和解密时使用同一密钥得加密方式。
缺点:把密钥发送到需要解密你的消息的人的手里是一个问题。在发送密钥的过程中,密钥有很大的风险会被黑客们拦截。现实中通常的做法是将对称加密的密钥进行非对称加密,然后传送给需要它的人。
5. 什么是非对称加密?
分为两部分: 公钥, 私钥 解密的原理: 公钥给需要加密的成员, 加密的成员加密以后. 只能通过持有私钥的成员进行解密. 举例: 你向银行请求公钥,银行将公钥发给你,你使用公钥对消息加密,那么只有私钥的持有人--银行才能对你的消息解密。与对称加密不同的是,银行不需要将私钥通过网络发送出去,因此安全性大大提高。
缺点: 速度慢
A生成对称密钥
A向B发起请求生成公钥
B将公钥发送给A
A使用B发送过来的公钥加密自己加密过后的对称密钥
A将加密后的结果发给B
B使用私钥解开A通过公钥发送过来对称密钥, 使用对称密钥解密A发送的数据.
A与B就实现了通过对称密钥来对沟通的内容进行加密与解密了
6. 私密性的密码学应用?
身份认证技术的应用
7. 非对称加密如何解决身份认证问题?
黑客针对上述的攻击:
8. 如何解决公钥身份认证问题?
数字证书
- 用户身份信息
- 用户公钥信息
- 身份验证机构的信息及签名数据
数字证书分类:
- 签名证书----身份验证,不可抵赖性。
- 加密证书----加密,完整性与机密性。
9. 简述SSL工作过程
SSL 是“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。它是在上世纪90年代中期,由网景公司设计的。到了1999年,SSL 应用广泛,已经成为互联网上的事实标准。IETF 就把SSL 标准化。标准化之后SSL被改为 TLS(Transport Layer Security传输层安全协议)。
SSL协议分为两层:
- SSL记录协议 (SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能。
- SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议提供的服务:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器
2)加密数据以防止数据中途被窃取
3)维护数据的完整性,确保数据在传输过程中不被改变。
SSL协议工作流程
1. 客户端浏览器发送“hello”信息,表示要和网站建立安全SSL连接
2. 网站服务器响应客户端请求,发给客户端两样东西:网站服务器自己的证书(内含网站的公钥)、一个随机值
3.客户端浏览器验证网站服务器证书是否可信
4.客户端利用网站服务器发的随机值生成会话密钥
5. 客户端浏览器和网站服务器开始协商加密算法和密钥长度
6. 协商成功后,客户端浏览器利用网站的公钥将生成的会话密钥加密,然后传送给网站服务器
7. 网站服务器收到客户端发送的利用网站服务器自己公钥加密的会话密钥,然后用自己的私钥解密出会话密钥,由此得到了安全的会话密钥
8. 网站服务器再随机生成一个信息,用解密后的会话密钥加密该随机信息后后发送给客户端浏览器(目的是让客户端认证服务器)
9. 浏览器收到随机信息后,用会话密钥能解密出信息(自然就认证了服务器),接着浏览器用自己的私钥对此信息做数字签名,连带客户端自己的证书(内含公钥),一起发送给网站服务器(目的是让服务器认证客户端)