1.什么是恶意软件
恶意软件:在恶意破坏网络或用户的计算机、手机、平板电脑或其他设备的正常运行或对其造成损害的代码。
2. 恶意软件有哪些特征?
- 下载特征:自动连接到某web站点,下载病毒文件或更新自身版本
- 后门特征:
- 信息收集特征
- 自身隐藏特性
- 文件感染性
- 网络攻击性
3. 恶意软件的可分为那几类?
恶意软件种类:
按照传播方式分类
1.病毒:病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力
计算机病毒感染过程:当计算机运行染毒的属主程序时,病毒夺取控制权;寻找感染的突破口;将病毒程序嵌入感染目标中。
病毒感染目标包括:硬盘与软盘的引导扇区,可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)等文件
主要传播方式:感染文件传播
代表案例:熊猫烧香
2.蠕虫:蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播、运行的恶意代码。
传播过程:
传播方式:通过网络发送攻击数据包
代表案例:永恒之蓝
3.木马:木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成
传播过程:
黑客利用木马配置工具生成一个木马的服务端;通过各种手段如Spam、Phish、Worm等安装到用户终端;利用社会工程学,或者其它技术手段使得木马运行;木马窃取用户隐私信息发给黑客;同时允许黑客控制用户终端。
传播方式:捆绑、利用网页
按照功能分类
后门
具有感染设备全部操作权限的恶意代码。
- 典型功能:文件管理、屏幕监控、键盘监控、视频监控、命令执行等
- 典型家族:灰鸽子、pCshare
勒索
通过加密文件,敲诈用户缴纳赎金
- 加密特点:
- 主要采取非对称加密方式
- 对文档、邮件、数据库、源代码等多种文件类型进行加密
- 其他特点:
- 通过比特币或其它虚拟货币交易
- 利用钓鱼邮件和爆破rdp口令进行传播
- 典型家族:Wannacry、GandCrab、Globelmposter
挖矿
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码。特点:
- 不会对感染设备的数据和系统造成破坏
- 由于大量消耗设备资源,可能会对设备硬件造成损害
4. 恶意软件的免杀技术有哪些?
免杀技术又称为免杀毒技术,是防止恶意代码免于被杀毒设备查杀的技术。
主流免杀技术:
- 修改文件特征码
- 修改内存特征码
- 行为免查杀技术
5. 反病毒技术有哪些?
- 检测工具
- 杀毒软件
- 网关反病毒
6. 反病毒网关的工作原理是什么?
- 首包检测技术
通过提取PE文件头部特征判断文件是否是病毒文件,提取PE文件头部数据,这些数据通常带有某些特殊操作,并采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
- 启发式检测技术
- 文件信誉检测技术
7. 反病毒网关的工作过程是什么?
- 网络流量进入智能感知引擎后,智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
- 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测
- 判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测
- 针对域名和URL
- 病毒检测
- 当NGFW检测出传输文件为病毒文件时:
- 判断该病毒文件是否命中病毒例外
- 如果不是病毒例外,则判断该病毒文件是否命中应用例外
- 如果都没有,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理
8. 反病毒网关的配置流程是什么?
- 申请并激活license
- 加载特征库
- 配置 AV Profile
- 配置安全策略
- 其他配置
相关实验配置过程:
拓扑
配置过程:
1.进入防火墙后先配置策略
2.配置反病毒策略阻断HTTP与FTP
应用例外里面可以配置例外应用
3.策略配置完成
4.在对象里面查看反病毒文件
5.对象里面的全局配置
至此配置完成
6540
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
