对你快速了解恶意软件以及病毒和反病毒

1. 什么是恶意软件？

病毒即恶意软件

病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒 攻击的宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。

原理：计算机病毒感染的一般过程：当计算机运行的感染病毒的宿主程序时，病毒夺取控制权；寻找感染的突破口；将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身，大量繁殖。

2. 恶意软件有哪些特征？

下载特征、后门特征、信息收集特性、自身隐藏特性、文件感染特性、网络攻击特性

3. 恶意软件的可分为那几类？

按照传播方式分类：

        感染文件病毒

        

        主要传播方式：感染文件传播

感染目标：硬盘系统分配表扇区（主引导区）；硬盘引导扇区；软件引导扇区；可执行文件（exec）；命令文件（.com）；覆盖文件（.ovl）;COMMAND文件；IBMBIO文件；IBMDOS文件

蠕虫

传播方式：通过网络发送攻击数据包

蠕虫是一种有自我行动能力的恶意软件

蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能感染自身拷贝到另一台计算机上的程序。

与上述病毒区别：蠕虫是一个完整的程序；自动传播；自动繁殖

可利用：漏洞、邮件、聊天工具

木马

        木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。  

传播过程：

黑客利用木马配置工具生成一个木马的服务端：通过过程手段如Spam、Phish、Worm等安装到用户终端；利用社会工程学或者其他技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端

传播方式：捆绑、利用网页

挂马代码的功能是在网页打开的时候，同时打开另外一个网页，当然这个网页含有大量的木马，也可能仅仅是为了骗取流量

按照功能分类：

后门

        具有感染设备全部操作权限的恶意代码。

        典型功能：文件管理、屏幕监控、键盘监控、视频监控、命令执行等

        典型家族：灰鸽子、pCshare

勒索

通过加密文件，敲诈用户缴纳赎金

加密特点：

        主要采取非对称加密方式

        对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密

其他特点：

        通过比特币或其他虚拟货币交易

        利用钓鱼邮件和爆破rdp口令进行传播

典型家族：Wannacry、GandCrab、Globelmposter

挖矿

攻击者通过向被感染者设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码

特点：

不会对感染设备的数据和系统造成破坏

由于大量消耗设备资源，可能会对设备硬件造成损坏

4. 恶意软件的免杀技术有哪些？

免杀技术又称为免杀毒技术。是放置恶意代码免于被杀毒设备查杀的技术。免杀技术如下：

修改文件特征码

修改内存特征码

行为免查杀技术

5. 反病毒技术有哪些？

首包检测技术

        通过提取PE（Portable Execute;Windows系统下可移植的执行体，包括exe、dll、“sys等文件类型）文 件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采 用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

启发式检测技术

        启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是 病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文 件不一致的行为达到一定的阀值，则认为该文件是病毒。

        启发式依靠的是"自我学习的能力"，像程序员一样运用经验判断拥有某种反常行为的文件为病 毒文件。

        启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境 的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认 情况下关闭该功能

        启动病毒启发式检测功能∶heuristic-detect enable

文件信誉检测技术

        文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特 征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文 件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。

        文件信誉检测依赖沙箱联动或文件信誉库。

6. 反病毒网关的工作原理是什么？

                防病毒网关是一种网络设备，用以保护网络内（一般是局域网）进出数据的安全。主要体现在病毒杀除、关键字过滤（如色情、反动）、 垃圾邮件阻止的功能，同时部分设备也具有一定防火墙（划分Vlan）的功能。 

利用反病毒特性保证网络的安全的场合：

        内网可以访问外网，且需要经常从外网下载文件
        内网部署的服务器经常接受外网用户上传的文件

反病毒功能主要是检测文件

        图片不是可执行文件---静态文件
        可执行文件---动态文件

7. 反病毒网关的工作过程是什么？

1）反病毒网关的工作过程：

智能感知引擎对网络流量进行深层分析，识别流量对应的协议类型和文件传输的方向
判断文件传输使用的协议和文件传输的方向是否支持病毒检测
判断流量是否在可以信任的白名单中，在则不对文件做病毒检测
没有在白名单中则进行病毒检测，提取检测的文件特征，然后将特征与病毒特征库进行匹配，若匹配则为病毒文件，执行响应动作；若不匹配，则文件允许通过

2）NGFW可检测传输文件的协议：

FTP文件传输协议
HTTP超文本传输协议
POP3邮局协议（第三版本）
SMTP简单邮件传输协议
IMAP因特网信息访问协议
NFS网络文件系统
SMB文件共享服务器

3）NGFW支持的不同传输方向的文件：

上传：客户端向服务器发送文件
下载：服务器向客户端发送文件

4）白名单规则的匹配方式：

前缀匹配
后缀匹配
关键字匹配
精确匹配

5）当NGFW检测到病毒文件时的处理流程：

是否为病毒例外，若是则允许文件通过---病毒例外：病毒白名单，避免系统误报等原因造成文件传输失败，检测到某病毒为误报时，将对应病毒ID加入病毒例外，若有匹配则放行。
若不是则判断是否命中应用例外，若命中则执行响应动作---应用例外：为应用配置不同协议的响应动作，同一协议可承载多种应用。
若不是则执行配置文件中配置的协议和传输方式对应的响应动作
 

8. 反病毒网关的配置流程是什么？

申请并激活---加载特征库---配置（AV Profile）---配置安全策略---其他配置