安全防御作业五

1. 什么是恶意软件？

恶意软件是指恶意软件犯罪者派遣以感染单个计算机或整个组织的网络

2. 恶意软件有哪些特征？

①强制安装

指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。

②难以卸载

指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。

③浏览器劫持

指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。

④广告弹出

指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。

⑤恶意收集用户信息

指未明确提示用户或未经用户许可，恶意收集用户信息的行为。

⑥恶意卸载

指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。

⑦恶意捆绑

指在软件中捆绑已被认定为恶意软件的行为。

⑧其他侵害

用户软件安装、使用和卸载知情权、选择权的恶意行为。

3. 恶意软件的可分为哪几类？

病毒、木马、僵尸网络、根工具包、间谍软件、广告软件、勒索软件

4. 恶意软件的免杀技术有哪些？

①修改文件特征码

修改特征码免杀：是通过修改恶意代码的特征码，使其不被杀毒软件所识别。

花指令免杀：指恶意软件被设计加入大量的无实际作用的指令，从而使其代码变的冗长、复杂，以达到免杀的目的。

加壳免杀：是指将恶意软件通过加密、压缩等方式进行加壳处理，以此来绕过杀毒软件的检测和查杀。

②修改内存特征码

是指恶意软件在运行时，动态地修改自身的特征码和行为特征

③行为免杀技术

通过控制恶意程序的行为，使其不触发杀毒软件的检测器

5. 反病毒技术有哪些？

①单机反病毒

是指通过杀毒软件进行病毒的防御工作，杀毒软件的主流技术有特征码技术和行为查杀技术

②网关反病毒

通常利用防火墙的反病毒特性来保证网络安全。

6. 反病毒网关的工作原理是什么？

①首包检测技术

通过提取PE文件头部特征判断文件是否是病毒文件，使用hash算法生成头部的签名，与反病毒首包规则签名进行比较。

②启发式检测技术

对传输文件进行反病毒检测，若发现文件存在风险，或根据以往经验判断有反常行为的文件进行删除。

③文件信誉检测技术

计算全文的MD5值，并通过MD5值与文件信誉特征库（该库中存在大量的知名病毒的MD5值）进行匹配来进行检测。

7. 反病毒网关的工作过程是什么？