防病毒网关知识点整理

1. 什么是恶意软件？

恶意软件其实是指在未经过用户允许的情况下对系统、数据或个人隐私造成损害。恶意软件通常通过被感染的文件、下载的软件、恶意链接或可操纵系统弱点的其他手段传播。一旦感染了目标系统，恶意软件可以执行各种恶意活动，如窃取个人信息、破坏数据、拒绝服务攻击、远程控制系统、发起网络攻击等。

2. 恶意软件有哪些特征？

自我复制、潜伏行为、远程控制、数据盗窃、弹窗广告、弱点利用、异常网络活动等等

3. 恶意软件的可分为那几类？

按照传播方式主要分为以下三类

病毒：病毒是一种恶意软件，它可以通过感染其他文件或程序来传播。病毒通常附着在宿主文件上，当宿主文件被执行时，病毒也会被激活。

蠕虫：蠕虫是自我复制的恶意软件，它能够通过网络或存储设备传播到其他系统。与病毒不同，蠕虫无需附着在宿主文件上。

木马:木马是一种伪装成正常软件的恶意软件。当用户下载并执行木马时，它会在系统中进行恶意活动，如远程控制、窃取信息等。

按照功能可以分为以下三类

后门：具有感染设备全部操作权限的恶意代码。

勒索：通过加密文件，敲诈用户缴纳赎金。

挖矿：攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。

4. 恶意软件的免杀技术有哪些？

文件免杀

改特征码免杀：特征码其实可以理解为反病毒软件的黑名单，既然无法自己将黑名单移除，只能通过修改病毒，让它能够改头换面，不再被黑名单识别。
花指令免杀：花指令其实就是一段毫无意义的代码，其存在对于运行结果没有任何影响，所以它存在的唯一目的就是阻止反汇编程序，或对反汇编设置障碍。
加壳免杀：其实相当于给病毒套一层壳，给其加密，从而避免被查杀

内存免杀

因为杀毒软件的内存扫描原理与硬盘上的文件扫描原理都是一样的，都是通过特征码比对的，只不过为了制造迷惑性，大多数反病毒公司的内存扫描与文件扫描采用的不是同一套特征码，这就导致了一个病毒木马同时拥有两套特征码，必须要将它们全部破坏掉才能躲过反病毒软件的查杀。 因此，除了加壳外，黑客们对抗反病毒软件的基本思路没变。而对于加壳，只要加一个会混淆程序原有 代码的 “ 猛 ” 壳，其实还是能躲过杀毒软件的查杀的。

行为免杀

是指恶意软件通过改变其行为模式或采取特定的策略，以尽量避免被安全防护系统和杀毒软件检测到或引起怀疑

5. 反病毒技术有哪些？

单机反病毒

检测工具

单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。

病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。

常见的病毒检测工具有：

TCP View

Regmon

Filemon

Process Explorer

IceSword

Process Monitor

Wsyscheck

SREng

Wtool

Malware Defender

杀毒软件

杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术：

 

特征码技术： 杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病 毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果 匹配到了特征库，则认为该被扫描信息为病毒。

行为查杀技术：病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

网关防病毒

在以下场合中，通常利用反病毒特性来保证网络安全：

（1）内网用户可以访问外网，且经常需要从外网下载文件。

（2）内网部署的服务器经常接收外网用户上传的文件。

FW 作为网关设备隔离内、外网，内网包括用户 PC 和服务器。内网用户可以从外网下载文件，外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW 上配置反病毒功能。

在 FW 上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采取阻断或告警等手段进行干预。

6. 反病毒网关的工作原理是什么？

（1）首保检测技术

通过提取 PE （ Portable Execute;Windows 系统下可移植的执行体，包括 exe 、 dll 、 “sys 等文件类型）文件头部特征判断文件是否是病毒文件。提取PE 文件头部数据，这些数据通常带有某些特殊操作，并且采用hash 算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

（2）启发式检测技术

    1）启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文

件不一致的行为达到一定的阀值，则认为该文件是病毒。

   2）启发式依靠的是 " 自我学习的能力 " ，像程序员一样运用经验判断拥有某种反常行为的文件为病

毒文件。

   3）启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认

情况下关闭该功能。

（3）文件信誉检测技术

  文件信誉检测是计算全文 MD5 ，通过 MD5 值与文件信誉特征库匹配来进行检测。文件信誉特

征库里包含了大量的知名的病毒文件的 MD5 值。华为在文件信誉检测技术方面主要依赖于文

件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。

7. 反病毒网关的工作过程是什么？

工作过程：

1.网络流量进入入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2.判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

NGFW 支持对使用以下协议传输的文件进行病毒检测。

                FTP（File Transfer Protocol ）：文件传输协议

                HTTP（Hypertext Transfer Protocol ）：超文本传输协议

                POP3（Post Office Protocol - Version 3 ）：邮局协议的第 3 个版本

                SMTP（Simple Mail Transfer Protocol ）：简单邮件传输协议

                IMAP（Internet Message Access Protocol ）：因特网信息访问协议

                NFS（Network File System ）：网络文件系统

                SMB（Server Message Block ）：文件共享服务器

NGFW支持对不同传输方向上的文件进行病毒检测。

                上传：指客户端向服务器发送文件。

                下载：指服务器向客户端发送文件。

3.判断是否命中白名单，命中后则不再对文件进行病毒检测

        白名单由白名单规则组成，管理员可以为信任的域名、URL 、 IP 地址或 IP 地址段配置白名单规

则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。