1. 什么是恶意软件?
恶意软件 (Malicious Software) 是指一类旨在对他人计算机或网络安全造成危害的程序或代码。恶意软件可以表现为各种形式,例如病毒、木马、恶意广告软件、恶意下载器等,它们可以通过互联网和其他通信渠道进行传播,通常会被用于攻击、盗窃、破坏、诈骗等恶意目的。
2. 恶意软件有哪些特征?
恶意软件通常具有以下特征:
-
隐蔽性:恶意软件通常会尽可能地隐蔽自己的行为,以避免被检测到。例如,它们可以伪装成合法的文件、下载站、游戏等,或者通过欺骗性的标题和图像来吸引用户。
-
攻击性:恶意软件的主要目的是攻击和破坏计算机系统,它们可以窃取用户数据、删除文件、格式化硬盘、阻止用户访问系统等。
-
可移植性:恶意软件可以在不同的计算机和操作系统上运行,它们可以在不同的操作系统和计算机上下载和安装,从而扩大自己的影响范围。
-
复杂性:恶意软件的编写和使用通常需要一定的技术和知识,特别是对于初学者来说较为困难。恶意软件的编写者通常会使用复杂的技术来逃避杀毒软件和防火墙的检测。
-
反侦察性:恶意软件通常会尽可能地反侦察,以避免被检测到。例如,它们可以检测杀毒软件和防火墙的存在,并采取相应的措施来逃避检测。
-
文件感染特性:病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体;有的文件型病毒会感染系统中其他类型的文件。Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用 windows 的 “ 永恒之蓝” 漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染 wannacry 之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
-
网络攻击特性: 木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。爱虫病毒是一种利用 Windows outlook 邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主题设置为“I LOVE YOU” ,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的。
3. 恶意软件的可分为那几类?
3.1.按照传播方式
病毒:病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
传播方式∶通过网络发送攻击数据包
木马:木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程 序和木马程序(服务器程序)三部分组成。
原理:
3.2按照功能分类
4. 恶意软件的免杀技术有哪些?
4.1.文件免杀的原理:
黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下,通过一定的更改,使得原本会被查杀的文件免于被杀。
要达到不再被杀的目的方法有很多种,其中最直接的方法就是让反病毒软件停止工作,或使病毒木马“变”为一个正常的文件。
然而如何使一个病毒或木马变成一个正常文件,对于黑客们来说其实是一个比较棘手的问题,不过只要学会了一种免杀原理,其他的免杀方案也就触类旁通了。
4.2.改特征码免杀原理:
所谓的特征码,我们可以将其理解为反病毒软件的黑名单。黑客们显然无法将木马从反病毒软件的黑名单中删除,所以他们要让病毒改头换面!例如原来黑名单中有“灰鸽子”这么一款木马,黑客们将其改头换面后不叫灰鸽子了,比如叫“白鸽子”!当然,这只是一个例子,现实中仅仅依靠改名是骗不了反病毒软件的。
就目前的反病毒技术来讲,更改特征码从而达到免杀的效果事实上包含着两种思想。
一种思想是改特征码,这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功!”这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了,如果是无关痛痒的,直接将其删掉也未尝不可。
第二种是针对目前推出的校验和查杀技术提出的免杀思想,它的原理虽然仍是特征码,但是已经脱离纯 粹意义上特征码的概念,不过万变不离其宗。其实校验和也是根据病毒文件中与众不同的区块计算出来 的,如果一个文件某个特定区域的校验和符合病毒库中的特征,那么反病毒软件就会报警。所以如果想 阻止反病毒软件报警,只要对病毒的特定区域进行一定的更改,就会使这一区域的校验和改变,从而达 到欺骗反病毒软件的目的,如图所示。这就是在定位特征码时,有时候定位了两次却得出不同结果的原因所在
4.3.花指令免杀原理
4.4.加壳免杀原理
4.5.内存免杀原理
4.6.行为免杀原理
5. 反病毒技术有哪些?
5.1.单机反病毒
5.2.网关反病毒
在以下场合中,通常利用反病毒特征来保证网络安全:
内网用户可以访问外网,且经常需要从外网下载文件,内网部署的服务器经常接收外网用户上传的文件,FW作为网关设备隔离内、外网,内网包括用户PC和服务器。内网用户可以从外网下载文件,外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全,需要在FW上配置反病毒功能。
6. 反病毒网关的工作原理是什么?
6.1.首包检测技术
通过提取PE(Portable Execute;Windows系统下可移植的执行体,包括exe、dll、“sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
6.2.启发式检测技术
启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文件不一致的行为达到一定的阀值,则认为该文件是病毒。
启发式依靠的是"自我学习的能力",像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。
启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性,消除安全隐患,但该功能会降低病毒检测的性能,且存在误报风险,因此系统默认情况下关闭该功能。
启动病毒启发式检测功能∶heuristic-detect enable
6.3.文件信誉检测技术
文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。文件信誉检测依赖沙箱联动或文件信誉库。
7. 反病毒网关的工作过程是什么?
7.1.网络流量进入只能感知引擎后,首先只能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向
7.2.判断文件传输所使用的协议和文件传输的方向是否支持病毒检测
NGFW支持对使用以下协议传输的文件进行病毒检测:
- FTP ( File Transfer Protocol ):文件传输协议
- HTTP ( Hypertext Transfer Protocol ):超文本传输协议
- POP3 ( Post Office Protocol - Version 3 ):邮局协议的第 3 个版本
- SMTP ( Simple Mail Transfer Protocol ):简单邮件传输协议
- IMAP ( Internet Message Access Protocol ):因特网信息访问协议
- NFS ( Network File System ):网络文件系统
- SMB ( Server Message Block ):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测:
-
上传:指客户端向服务器发送文件。
-
下载:指服务器向客户端发送文件
7.3.判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
- 白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。
7.4.针对域名和URL,白名单规则有以下4种匹配方式:
- 前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
- 后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
- 关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
- 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
7.5.病毒检测:
- 智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应动作进行处理。
- 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
7.6.当NGFW检测出传输文件为病毒文件时,需要进行如下处理:
- 判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
- 病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
- 如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
- 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。
5.由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
1.如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
2.如果协议和应用都配置了响应动作,则以应用的响应动作为准。
6.如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
8. 反病毒网关的配置流程是什么?
8.1.登录防火墙管理界面:配置反病毒配置文件
8.2.新建安全策略