目录
1.什么是恶意软件?
恶意软件是指一种有意设计用来对计算机系统、网络或用户造成损害、盗取信息或违反隐私的程序。其中,软甲是指使用多种技术手段来隐藏自身并防止被发现和删除的恶意软件。例如,软甲可能会修改操作系统的核心组件、在系统启动时自动运行、定期更换文件名以避免被杀毒软件检测等等。
2.恶意软件有哪些特征?
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。
下载特征
很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。
后门特征
-
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;
-
某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。
信息收集特性
-
QQ密码和聊天记录;
-
网络游戏帐号密码;
-
网上银行帐号密码;
-
用户网页浏览记录和上网习惯;
自身隐藏特性
多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染特性
-
病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体;
-
有的文件型病毒会感染系统中其他类型的文件。
-
Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
网络攻击特性
-
木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
-
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。
-
爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主题设置为“I LOVE YOU”,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的。
3.恶意软件可以分为哪几类?
3.1 按传播方式分类
病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。病毒感染目标包括:硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件。
原理
计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
主要传播方式∶感染文件传播
"熊猫烧香" 是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。由于被其感染的文件图标会被替换成 "熊猫烧香"图案,所以该病毒被称为"熊猫烧香"病毒。
蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。
原理
传播方式∶通过网络发送攻击数据包
最初的蠕虫病毒定义是因为在D0S环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
永恒之蓝:2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含"永恒之蓝"工具,"永恒之蓝"利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造"永恒之蓝"制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
木马
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
原理:
传播过程:
黑客利用木马配置工具生成一个木马的服务端;通过各种手段如Spam、Phish、Worm等安装到用户终端;利用社会工程学,或者其它技术手段使得木马运行;木马窃取用户隐私信息发送给黑客;同时允许黑客控制用户终端。
传播方式∶捆绑、利用网页
挂马代码的功能是在网页打开的时候,同时打开另外一个网页,当然这个网页可能包含大量的木马,也可能仅仅是为了骗取流量。
3.2按功能分类
后门
具有感染设备全部操作权限的恶意代码。
-
典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
-
典型家族∶ 灰鸽子、pCshare
勒索
通过加密文件,敲诈用户缴纳赎金。
-
加密特点∶
-
主要采用非对称加密方式
-
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
-
-
其他特点∶
-
通过比特币或其它虚拟货币交易
-
利用钓鱼邮件和爆破rdp口令进行传播
-
典型家族∶Wannacry、GandCrab、Globelmposter
挖矿
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的
恶意代码。特点∶
-
不会对感染设备的数据和系统造成破坏。
-
由于大量消耗设备资源,可能会对设备硬件造成损害。
4.恶意软件的免杀技术有哪些?
恶意软件的免杀技术是指采用各种技术手段来规避杀毒软件和安全防护措施的检测和清除。以下是一些常见的恶意软件免杀技术:
-
加密:将恶意代码加密,以使其不易被杀毒软件检测到。
-
压缩:将恶意代码压缩成多个文件,以隐藏其真正的目的和功能。
-
碎片化:将恶意代码分散在多个文件中,并在运行时再将它们组装起来,从而避免被杀毒软件检测。
-
多次变异:对恶意代码进行多次变异,以生成不同版本的代码,从而规避杀毒软件的检测。
-
模块化:将恶意代码拆分成多个模块,并动态加载这些模块,以使其在运行时更难被检测。
-
虚拟化:通过虚拟机技术将恶意代码运行在虚拟环境中,以避免被杀毒软件检测。
-
反射:使用反射技术将恶意代码注入到合法程序中,以规避杀毒软件的检测。
-
核心级攻击:攻击操作系统的核心组件,以在系统启动时运行恶意代码,并避免被杀毒软件检测和清除。
-
社交工程:通过诱骗用户(如伪装成正常文件或电子邮件附件)或利用人类弱点来规避杀毒软件和安全防护措施的检测和清除。
总之,为了避免受到恶意软件的攻击,用户应该使用杀毒软件和防火墙保护自己的计算机,并保持系统和应用程序的更新。同时,要注意不要下载或安装可疑的软件,不要打开可疑的电子邮件附件或链接,以及提高安全意识和识别社交工程攻击。
5.反病毒技术有哪些?
反病毒技术是指用于检测、清除和防止恶意软件的技术,主要包括以下几种:
-
病毒特征库:建立病毒特征库,对病毒进行分析和分类,以便及时发现和清除已知的病毒。
-
启发式分析:通过模拟病毒行为或运用机器学习算法来识别未知的病毒代码。
-
模拟器和沙盒:使用虚拟化技术在隔离的环境中执行可疑文件或程序,以便检测和分析其行为和活动。
-
行为监控:监视系统内进程和应用程序的行为和活动,及时检测并报告异常或可疑的活动。
-
威胁情报共享:建立针对威胁情报的信息共享平台,以汇集全球范围内的威胁信息和安全攻略,从而提高反病毒能力。
-
多层防护:采用多层次的防护措施,例如网络入侵检测、防火墙、加密通讯等,以减少受到恶意软件攻击的风险。
-
安全认证:采用安全认证技术,例如数字签名、SSL证书等,以确认软件来源和完整性,减少恶意代码的感染和执行。
总之,反病毒技术应该综合应用多种技术手段,并及时更新和升级以适应不断变化的威胁环境。用户应该保持系统和应用程序的更新,使用杀毒软件和防火墙保护自己的计算机,并提高安全意识和识别社交工程攻击。
6.反病毒网关的工作原理是什么?
反病毒网关是一种位于企业内部网络和外部互联网之间的安全设备,主要用于检测、清除和防止恶意软件在邮件、文件传输、Web等通信渠道中的传播。其主要工作原理包括以下几个步骤:
-
流量监测:反病毒网关会对进出企业网络的数据流量进行实时监测和分析,以便及时发现可疑或恶意的数据流。
-
病毒检测:当反病毒网关检测到可疑或恶意的数据流时,会使用病毒特征库、启发式分析或行为监控技术来检测和分析其中是否包含病毒或其他恶意代码。
-
病毒清除:如果检测到病毒或其他恶意代码,反病毒网关会立即采取相应的清除措施,并将相关警报或日志发送给安全管理员或其他指定的收件人。
-
防护策略:反病毒网关还可以通过设置安全策略、过滤规则等手段来预防和阻止恶意软件的传播,例如禁止特定类型的附件、URL地址、特定IP地址等。
-
管理监控:反病毒网关通常还具备管理监控的功能,包括性能监测、事件记录、安全报告等,以便管理员及时了解安全状态和风险情况。
总之,反病毒网关是一种可以帮助企业有效防范恶意软件攻击,保护重要数据和应用程序的安全设备。在使用反病毒网关时,需要及时更新病毒特征库、设置合理的安全策略、加强管理监控等方面的措施,确保其能够始终保持高效、可靠的工作状态。
7.反病毒网关的工作过程是什么?
反病毒网关是一种位于企业内部网络和外部互联网之间的安全设备,用于检测、清除和防止恶意软件在邮件、文件传输、Web等通信渠道中的传播。其基本工作过程如下:
-
流量监测:反病毒网关会对进出企业网络的数据流量进行实时监测和分析,以便及时发现可疑或恶意的数据流。
-
流量过滤:网关会根据预设的安全策略和过滤规则,对检测到的可疑或恶意数据流进行过滤和屏蔽,并将符合条件的数据流量拦截或隔离。
-
病毒检测:如果经过过滤后的数据流量仍然包含病毒或其他恶意代码,反病毒网关会使用病毒特征库、启发式分析或行为监控技术来检测和分析其中是否包含病毒或其他恶意代码。
-
病毒清除:如果检测到病毒或其他恶意代码,反病毒网关会立即采取相应的清除措施,并将相关警报或日志发送给安全管理员或其他指定的收件人。
-
防护策略:反病毒网关还可以通过设置安全策略、过滤规则等手段来预防和阻止恶意软件的传播,例如禁止特定类型的附件、URL地址、特定IP地址等。
-
管理监控:反病毒网关通常还具备管理监控的功能,包括性能监测、事件记录、安全报告等,以便管理员及时了解安全状态和风险情况,并及时采取必要的措施。
总之,反病毒网关是一种可以帮助企业有效防范恶意软件攻击,保护重要数据和应用程序的安全设备。在使用反病毒网关时,需要及时更新病毒特征库、设置合理的安全策略、加强管理监控等方面的措施,确保其能够始终保持高效、可靠的工作状态。
8.反病毒网关的配置流程是什么?
反病毒网关的配置流程可以概括为以下几个步骤:
-
确定需要保护的网络范围和设备,包括入口点、服务器、终端用户设备等。
-
选择适合自己需求的反病毒网关产品,并进行购买和安装。
-
配置反病毒网关的基本设置,如网络拓扑结构、管理IP地址、系统密码等。
-
配置反病毒软件的更新方式及更新频率,确保反病毒软件能够及时更新病毒库和病毒识别算法。
-
配置反病毒网关的防护策略,包括协议过滤、文件过滤、URL过滤等。
-
配置反病毒网关的告警和日志记录功能,以便及时发现并响应安全事件。
-
对反病毒网关进行测试和优化,以确保其能够有效地保护网络安全。
6706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
