安全防御------防病毒网关

目录

一、什么是恶意软件？

二、恶意软件有哪些特征？

三、恶意软件可以分为哪几类？

1.按照传播方式分类

2. 按照功能分类

四、恶意软件的免杀技术有哪些？

1.文件免杀原理

2.改特征码免杀原理

3.花指令免杀原理

4.加壳免杀原理

5.内存免杀原理

6.行为免杀原理

五、反病毒技术有哪些？

六、反病毒网关的工作原理是什么？

七、反病毒网关的工作过程是什么？​

 八、反病毒网关的配置流程是什么？​

---

一、什么是恶意软件？

恶意软件是任何软件故意设计造成损害到计算机、服务器、客户端或计算机网络（相比之下，软件导致无意的伤害由于一些缺陷通常被描述为一个软件错误）。各种各样的类型的恶意软件存在的，包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件。

二、恶意软件有哪些特征？

病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU 资源、自动弹出 / 关闭窗口、自动终止某些进程等各种不正常现象。

1.下载特征

很多木马、后门程序间谍软件会自动连接到 Internet 某 Web 站点，下载其他的病毒文件或该病毒自身的更新版本/ 其他变种。

2.后门特征

• 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口，允许远程恶意用户来对该系统进行远程操控；

• 某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。

3.信息收集特性

• QQ密码和聊天记录；

• 网络游戏帐号密码；

• 网上银行帐号密码；

• 用户网页浏览记录和上网习惯；

4.自身隐藏特性

多数病毒会将自身文件的属性设置为 “ 隐藏 ” 、 “ 系统 ” 和 “ 只读 ” ，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。

5.文件感染特性

• 病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体；

• 有的文件型病毒会感染系统中其他类型的文件。

• Wannacry 就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用 windows 的 “ 永恒之蓝” 漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染 wannacry 之后，勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。

6.网络攻击特性

• 木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络；
• 木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。
• 爱虫病毒是一种利用 Windows outlook 邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主题设置为“I LOVE YOU” ，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。

三、恶意软件可以分为哪几类？

1.按照传播方式分类

病毒

病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。

病毒感染目标包括：硬盘系统分配表扇区 ( 主引导区 ) 、硬盘引导扇区、软盘引导扇区、可执行文件

（ .exe ）、命令文件（ .com ）、覆盖文件（ .ovl ）、 COMMAND 文件、 IBMBIO 文件、 IBMDOS 文件。

原理:

计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权； 寻找感染的突破口； 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。

主要传播方式∶感染文件传播

例：

" 熊猫烧香 " 是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统中exe， com ， pif ， src ， html ， asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho的文件。由于被其感染的文件图标会被替换成 " 熊猫烧香 " 图案，所以该病毒被称为 " 熊猫烧香"病毒。

蠕虫

蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。

原理：

传播方式∶通过网络发送攻击数据包

最初的蠕虫病毒定义是因为在 D0S 环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。

永恒之蓝 :2017 年 4 月 14 日晚，黑客团体 Shadow Brokers （影子经纪人）公布一大批网络攻击工具，其中包含" 永恒之蓝 " 工具， " 永恒之蓝 " 利用 Windows 系统的 SMB 漏洞可以获取系统最高权限。 5 月 12 日，不法分子通过改造" 永恒之蓝 " 制作了 wannacry 勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

木马

木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

原理：

传播过程：

黑客利用木马配置工具生成一个木马的服务端；通过各种手段如 Spam 、 Phish 、 Worm 等安装到用户终端；利用社会工程学, 或者其它技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端。

传播方式∶捆绑、利用网页

2. 按照功能分类

后门

具有感染设备全部操作权限的恶意代码。

典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。

典型家族∶ 灰鸽子、pCshare

勒索

通过加密文件，敲诈用户缴纳赎金。

加密特点∶ 主要采用非对称加密方式对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密。

其他特点∶ 通过比特币或其它虚拟货币交易 ；利用钓鱼邮件和爆破rdp 口令进行传播。

典型家族∶Wannacry、 GandCrab 、 Globelmposter

挖矿

攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。

特点∶ 不会对感染设备的数据和系统造成破坏。

由于大量消耗设备资源，可能会对设备硬件造成损害。

四、恶意软件的免杀技术有哪些？

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。

免杀技术又称为免杀毒（ Anti Anti- Virus ）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶

修改文件特征码；

修改内存特征码；

行为免查杀技术。

原理

免杀的最基本思想就是破坏特征，这个特征有可能是特征码，有可能是行为特征，只要破坏了病毒与木马所固有的特征，并保证其原有功能没有改变，一次免杀就能完成了。

特征码 就是反病毒软件用于判断文件是否带病毒的一段独一无二的代码，这些特征码在不同的反病毒软件的病毒库中不尽相同。

特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。

1.文件免杀原理

黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下，通过一定的更改，使得原本会被查杀的文件免于被杀。

要达到不再被杀的目的方法有很多种，其中最直接的方法就是让反病毒软件停止工作，或使病毒木马“变 ” 为一个正常的文件。

然而如何使一个病毒或木马变成一个正常文件，对于黑客们来说其实是一个比较棘手的问题，不过只要学会了一种免杀原理，其他的免杀方案也就触类旁通了。

2.改特征码免杀原理

所谓的特征码，我们可以将其理解为反病毒软件的黑名单。黑客们显然无法将木马从反病毒软件的黑名单中删除，所以他们要让病毒改头换面！例如原来黑名单中有“ 灰鸽子 ” 这么一款木马，黑客们将其改头换面后不叫灰鸽子了，比如叫“ 白鸽子 ” ！当然，这只是一个例子，现实中仅仅依靠改名是骗不了反病毒软件的。

就目前的反病毒技术来讲，更改特征码从而达到免杀的效果事实上包含着两种思想。

一种思想是 改特征码 ，这也是免杀的最初方法。例如一个文件在某一个地址内有 “ 灰鸽子上线成功！ ” 这么一句话，表明它就是木马，只要将相应地址内的那句话改成别的就可以了，如果是无关痛痒的，直接将其删掉也未尝不可。

第二种是针对目前推出的校验和查杀技术提出的免杀思想，它的原理虽然仍是特征码，但是已经脱离纯粹意义上特征码的概念，不过万变不离其宗。其实 校验和 也是根据病毒文件中与众不同的区块计算出来的，如果一个文件某个特定区域的校验和符合病毒库中的特征，那么反病毒软件就会报警。所以如果想阻止反病毒软件报警，只要对病毒的特定区域进行一定的更改，就会使这一区域的校验和改变，从而达到欺骗反病毒软件的目的，如图所示。这就是在定位特征码时，有时候定位了两次却得出不同结果的原因所在。

3.花指令免杀原理

花指令其实就是一段毫无意义的指令，也可以称之为垃圾指令。花指令是否存在对程序的执行结果没有影响，所以它存在的唯一目的就是阻止反汇编程序，或对反汇编设置障碍。

但是，为什么它会影响反病毒软件的判断呢？通过前面的学习大家都已经知道，大多数反病毒软件是靠 特征码来判断文件是否有毒的，而为了提高精度，现在的特征码都是在一定偏移量限制之内的，否则会对反病毒软件的效率产生严重的影响！而在黑客们为一个程序添加一段花指令之后，程序的部分偏移会受到影响，如果反病毒软件不能识别这段花指令，那么它 检测特征码的偏移量会整体位移一段位置，自然也就无法正常检测木马了。

4.加壳免杀原理

说起软件加壳，简单地说，软件加壳其实也可以称为软件加密（或软件压缩），只是加密（或压缩）的方式与目的不一样罢了。

上面所说壳就是我们加的保护，它并不会破坏里面的程序，当我们运行这个加壳的程序时，系统首先会运行程序的“ 壳 ” ，然后由壳将加密的程序逐步还原到内存中，最后运行程序。这样一来，在我们看来， 似乎加壳之后的程序并没有什么变化，然而它却达到了加密的目的，这就是壳的作用。

现在，我们再回头看看反病毒软件，如果说加壳之后的文件我们都无法将其还原，那么反病毒软件自然也就“ 看 ” 不懂了。加密后的文件结构已经产生了天翻地覆的变化，原有的特征码早已不知去处，反病毒软件自然也就会认为它是一个正常的文件了。

由以上 3 种方法可知， 基于文件的免杀基本上就是破坏原有程序的特征， 无论是直接修改特征码还是加上一段花指令，抑或是将其加壳，其最后的目的只有一个，那就是打乱或加密可执行文件内部的数据。

5.内存免杀原理

其实套路与文件查杀一样，因为杀毒软件的内存扫描原理与硬盘上的文件扫描原理都是一样的，都是通过特征码比对的，只不过为了制造迷惑性，大多数反病毒公司的内存扫描与文件扫描采用的不是同一套特征码，这就导致了一个病毒木马同时拥有两套特征码，必须要将它们全部破坏掉才能躲过反病毒软件的查杀。 因此，除了加壳外，黑客们对抗反病毒软件的基本思路没变。而对于加壳，只要加一个会混淆程序原有代码的“ 猛 ” 壳，其实还是能躲过杀毒软件的查杀的。

6.行为免杀原理

当文件查杀与内存查杀都相继失效后，反病毒厂商便提出了行为查杀的概念，从最早的 “ 文件防火墙 ” 发展到后来的“ 主动防御 ” ，再到现在的部分 “ 云查杀 ” ，其实都应用了行为查杀技术。

我们都知道一个应用程序之所以被称为病毒或者木马，就是因为它们执行后的行为与普通软件不一样。

因此黑客免杀技术发展到现在，已经出现了向渗透入侵等领域靠拢的趋势，黑客们将能躲过主动防御的方法称为0Day ，并且越来越多的木马选择使用 本地缓冲区溢出 等攻击手法来突破主动防御。

五、反病毒技术有哪些？

反病毒技术是指用于检测、防御和清除计算机病毒的技术手段和方法。

以下是一些常见的反病毒技术：

1.病毒扫描：病毒扫描是最常见的反病毒技术之一。它通过对计算机系统、文件和网络流量进行扫描，检测和识别已知的病毒特征模式，以识别和隔离潜在的病毒。
2.行为监测：行为监测是一种动态的反病毒技术，它监视计算机系统的行为和活动，以检测异常或可疑的行为。例如，它可以监测程序的文件访问、网络通信和注册表修改等，以检测潜在的恶意活动。
3.堆栈保护：堆栈保护技术旨在防止缓冲区溢出漏洞被利用。它通过监控和限制程序对内存堆栈的访问，防止恶意代码覆盖关键数据或执行恶意操作。
4.虚拟化技术：虚拟化技术可以将计算机系统划分为多个独立的虚拟环境，每个环境都可以运行独立的操作系统和应用程序。这种隔离可以防止病毒在不同的虚拟环境之间传播，并限制其对主机系统的影响。
5.补丁管理：及时应用操作系统和应用程序的安全补丁是防止病毒传播的重要措施。补丁可以修复已知的安全漏洞，并增强系统的安全性。
6.异常检测：异常检测技术用于监测和识别异常活动或行为模式，以便及早发现病毒攻击。它可以基于机器学习算法或行为分析来检测未知的恶意活动。
7.隔离与沙盒：隔离和沙盒技术可以将可疑文件、应用程序或进程限制在受限的环境中运行，以防止其对系统造成伤害。隔离环境通常是虚拟化的，使得恶意活动无法影响到真正的系统环境。

需要注意的是，病毒和恶意软件的不断演化意味着反病毒技术也需要不断更新和改进。同时，采取多层次的防御策略，并结合安全意识培训和合理的网络安全实践，可以提高计算机系统的抵抗能力并降低受到病毒攻击的风险。

六、反病毒网关的工作原理是什么？

反病毒网关是一种广泛应用于网络安全中的设备，它的主要工作是检测、过滤和阻止通过网络传输的恶意软件和病毒。反病毒网关通常位于网络边界，监控进出网络的数据流量，并使用多种技术来保护网络免受病毒和恶意软件的威胁。
下面是反病毒网关的一般工作原理：

1.流量监测和分析：反病毒网关实时监测进出网络的数据流量。它可以分析网络流量的源和目标、传输协议、文件类型等信息，以便对潜在的威胁进行检测和处理。
2.病毒扫描：反病毒网关使用病毒扫描引擎对传入和传出的文件和数据进行扫描。扫描引擎会比对已知的病毒特征库，以识别已知的病毒和恶意软件。
3.异常行为检测：反病毒网关还可以使用行为分析技术来检测和识别恶意活动。它监视网络流量中的行为模式，比如文件操作、网络通信等，以便发现不符合正常行为的异常活动。
4.网络过滤和阻断：一旦发现病毒或恶意软件，反病毒网关会采取相应的阻断措施，例如阻止恶意文件传输、阻断恶意代码执行等。它可以在多个层面进行过滤，包括网络层、应用层和文件层。
5.更新和管理：反病毒网关需要定期更新病毒特征库和扫描引擎，以保持对新出现的威胁的识别能力。这包括安全厂商提供的病毒定义更新和软件补丁。

总体而言，反病毒网关通过结合多种技术手段，如病毒扫描、行为分析和流量过滤，对网络传输的数据进行实时监测和分析，以识别和防御潜在的病毒和恶意软件。它在保护企业网络和用户安全方面起着重要的作用。

七、反病毒网关的工作过程是什么？

1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

NGFW支持对使用以下协议传输的文件进行病毒检测：

FTP （ File Transfer Protocol ）：文件传输协议

HTTP （ Hypertext Transfer Protocol ）：超文本传输协议

POP3 （ Post Office Protocol - Version 3 ）：邮局协议的第 3 个版本

SMTP （ Simple Mail Transfer Protocol ）：简单邮件传输协议

IMAP （ Internet Message Access Protocol ）：因特网信息访问协议

NFS （ Network File System ）：网络文件系统

SMB （ Server Message Block ）：文件共享服务器

NGFW 支持对不同传输方向上的文件进行病毒检测。

上传：指客户端向服务器发送文件。

下载：指服务器向客户端发送文件。

3. 判断是否命中白名单。命中白名单后， FW 将不对文件做病毒检测。

白名单由白名单规则组成，管理员可以为信任的域名、 URL 、 IP 地址或 IP 地址段配置白名单规

则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个

反病毒配置文件都拥有自己的白名单。

4. 针对域名和 URL ，白名单规则有以下 4 种匹配方式：

前缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的前缀是

“example” 就命中白名单规则。

后缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的后缀是

“example” 就命中白名单规则。

关键字匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 中包含

“example” 就命中白名单规则。

精确匹配：域名或 URL 必须与 host-text 或 url-text 完全一致，才能命中白名单规则。

5. 病毒检测：

智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行

匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不

匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送

沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给 FW ， FW 将此

恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应

动作进行处理。

病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特

征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒 ID 。当设备加载病毒特征库

后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上

的病毒特征库需要不断地从安全中心平台（ sec.huawei.com ）进行升级。

6. 当 NGFW 检测出传输文件为病毒文件时，需要进行如下处理：

①判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。

②病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当

用户认为已检测到的某个病毒为误报时，可以将该对应的病毒 ID 添加到病毒例外，使该病毒

规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。

③如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外

的响应动作（放行、告警和阻断）进行处理。

④应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载

多种应用。

⑤由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。

如果协议和应用都配置了响应动作，则以应用的响应动作为准。

⑥如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方

向对应的响应动作进行处理。

 八、反病毒网关的配置流程是什么？

反病毒网关的配置流程可能因设备和厂商而异，但一般而言，以下是一个典型的反病毒网关配置流程的示例：

1.确定需求和目标：首先，明确你的需求和目标。了解你的网络规模、流量特征、安全需求以及预算限制等信息，以便选择适合的反病毒网关设备和配置方案。
2.设计网络架构：根据你的网络拓扑和部署要求，设计反病毒网关的网络架构。确定反病毒网关的位置，通常位于网络与互联网之间的边界位置，以监控流入和流出的数据流量。
3.选择反病毒网关设备：根据你的需求，选择适合的反病毒网关设备。考虑设备的性能、吞吐量、功能、可扩展性、管理接口等因素，并与供应商进行沟通，以获取适当的设备建议和报价。
4.网络连接和配置：连接反病毒网关设备到网络拓扑中的合适位置。确保网络连接可靠，并为反病毒网关分配一个合适的IP地址。
5.初始设置：通过管理接口登录反病毒网关设备，并进行初始设置。这可能涉及设置管理员凭据、网络接口、系统日期和时间、系统日志等基本配置。
6.安全策略配置：定义安全策略以保护网络免受病毒和恶意软件的威胁。配置病毒扫描选项，如扫描类型（实时扫描、定期扫描等）、扫描范围（传入、传出、特定协议等）、病毒特征库更新频率等。
7.流量监测和过滤配置：配置反病毒网关以实时监测和分析进出网络的数据流量。根据需要设置行为分析规则，并定义恶意活动的阻断和警报策略。
8.更新和维护：确保定期更新反病毒网关的病毒特征库和软件补丁。设置自动更新或手动更新选项，并定期审查设备的性能和日志，以确保其正常运行。
9.监测和优化：设置适当的监控措施，以监测反病毒网关的性能和安全事件。根据需要进行调整和优化，以提高网关的效能和保护能力。