恶意软件特征

1. 什么是恶意软件？

恶意软件是对破坏系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间，同时 具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。 恶意软件是对破坏系统正常运行的软件的统称，一般来说有如下表现形式： ·强行安装，无法卸载 ·安装以后修改主页且锁定 ·安装以后随时自动弹出广告 ·自我复制代码，类似病毒一样

2. 恶意软件有哪些特征？ 

下载特征

后门特征

信息收集特性

自身隐藏特性

文件感染特性

网络攻击特性

 3. 恶意软件的可分为那几类？

按照传播方式分类

病毒：感染文件传播
蠕虫：通过网络发送攻击数据包
木马：捆绑、利用网页
按照功能分类

后门：具有感染设备全部操作权限的恶意代码
勒索：通过加密文件，敲诈用户缴纳赎金
挖矿：攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码

4. 恶意软件的免杀技术有哪些？

修改文件特征码

修改内存特征码

行为免查技术

5. 反病毒技术有哪些？

首包检测技术

启发式检测技术

文件信誉检测技术

6. 反病毒网关的工作原理是什么？ 

通过首包检测技术、启发式检测技术、文件信誉检测技术来检测带病毒的文件，然后采取阻断或警告的手段进行干预，从而保证内网用户和服务器接收文件的安全

 7. 反病毒网关的工作过程是什么？

1、网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3、判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

针对域名和URL，白名单规则有以下4种匹配方式:

前缀匹配
后缀匹配
关键字匹配
精确匹配
4、病毒检测：设备对传输文件进行特征提取，并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功，则判定该文件为病毒文件，并送往反病毒处理模块进行处理；如果特征不匹配，则直接放行该文件

5、响应处理：设备检测出传输的文件为病毒文件后，通常有如下2种处理动作。

告警：允许病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。
阻断：禁止病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。

 8. 反病毒网关的配置流程是什么？

1、新建策略

2、新建反病毒配置文件 

 

 3、全局配置