第五次作业

一，什么是恶意软件？ 

恶意软件是一种可以对你的计算机系统造成损害的软件。恶意的软件可以接管你的电脑，访问你的私人信息，或损害你的文件和数据。

二，恶意软件有哪些特征？ 

• 强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。

• 难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。

• 浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。

• 广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。

• 恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。

• 恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。

• 恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。

• 其他侵害：用户软件安装、使用和卸载知情权、选择权的恶意行为。

三，恶意软件的可分为那几类？

• 病毒是最常见的恶意软件类型，其特点时能复制和传播自己到其他系统 ，病毒可以通过电子邮电，点对点电子邮电共享和其他方式传播。
• 木马病毒 是通过网络传播的恶意软件。它们模仿合法程序（如浏览器），通过显示虚假的安全警告或弹出式窗口，欺骗用户运行它们。
• 间谍软件间谍软件是指秘密收集用户在其计算机上的活动和行为的信息，并将这些数据送回给其开发者的软件。间谍软件可以包括广告软件和恐吓软件，前者在访问网页时显示广告，后者则显示类似于杀毒软件中的假警报，试图诱使用户购买更多的安全软件。
• 赎金软件是一种加密你的文件，然后要求付费解锁的恶意软件。这种威胁通过电子邮件附件和受感染的网站传播。网络犯罪分子越来越多地利用勒索软件向毫无戒心的受害者勒索钱财。勒索软件也可以作为一种管理服务运作，通常被称为 勒索软件即服务(RaaS)。
• 广告软件是一种广告软件，将广告插入您或任何其他访问您电脑的人所浏览的网页中。这些广告可能是在您不同意或不知情的情况下提供的，而且往往在您不知情的情况下被收集。广告软件还可能跟踪您的在线浏览行为（如网站访问或搜索的关键词），然后在您不知情或不同意的情况下与第三方共享。
• 恐吓软件也被称为假杀毒软件或假安全软件。它的目的是欺骗你，让你以为你的电脑已经感染了恶意软件，而实际上并没有。恐吓软件通常假装来自合法的安全组织，如AVG或诺顿，尽管这些公司不在互联网上分发此类程序，也不提供支持。

四，恶意软件的免杀技术有哪些？ 

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向 攻击者提供有用的信息。 免杀技术又称为免杀毒（Anti Anti- Virus）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免 杀技术如下∶

修改文件特征码

修改内存特征码

行为免查杀技术

五，反病毒技术有哪些？

1.单机反病毒

单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。 常见的病毒检测工具包括：

TCP View

Regmon

Filemon

Process Explorer

IceSword

Process Monitor

Wsyscheck

SREng

Wtool

Malware Defender

杀毒软件

杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术：

特征码技术

杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病 毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果 匹配到了特征库，则认为该被扫描信息为病毒。

行为查杀技术

病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用 户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

常见的杀毒软件举例：瑞星金山毒霸360安全软件卡巴斯基赛门铁克Macfee

2.网关反病毒

内网用户可以访问外网，且经常需要从外网下载文件。

内网部署的服务器经常接收外网用户上传的文件。 FW作为网关设备隔离内、外网，内网包括用户PC和服务器。内网用户可以从外网下载文件，外网用户 可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW上配置反病毒功 能。

在FW上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采 取阻断或告警等手段进行干预。

六，反病毒网关的工作原理是什么？ 

首包检测技术

通过提取PE（Portable Execute;Windows系统下可移植的执行体，包括exe、dll、“sys等文件类型）文 件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采 用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

启发式检测技术

启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是 病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文 件不一致的行为达到一定的阀值，则认为该文件是病毒。

启发式依靠的是"自我学习的能力"，像程序员一样运用经验判断拥有某种反常行为的文件为病 毒文件。 启发式检测的响应动作与对应协议的病毒检测的响应动作相同。

启发式检测可以提升网络环境 的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认 情况下关闭该功能。

启动病毒启发式检测功能∶heuristic-detect enable 。

文件信誉检测技术

文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。

文件信誉特 征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文 件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。

文件信誉检测依赖沙箱联动或文件信誉库。

七，反病毒网关的工作过程是什么？ 

1、网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3、判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

针对域名和URL，白名单规则有以下4种匹配方式:

前缀匹配
后缀匹配
关键字匹配
精确匹配
4、病毒检测：设备对传输文件进行特征提取，并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功，则判定该文件为病毒文件，并送往反病毒处理模块进行处理；如果特征不匹配，则直接放行该文件

5、响应处理：设备检测出传输的文件为病毒文件后，通常有如下2种处理动作。

告警：允许病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。
八，反病毒网关的配置流程是什么？

1.新建策略

二， 新建反病毒配置文件

 3.全局配置