1. 什么是惡意軟件？

惡意軟件：是以多種途徑感染合法用戶計算機及予以加害的一種計算機程序。惡意軟件能夠以多種途徑感染計算機和設備，并且表現出多種形式，有些形式包括病毒、蠕蟲、木馬、間諜軟件等。

2. 惡意軟件有哪些特征？

病毒在感染系統后，會對系統做各種修改和破壞。有時病毒會使受感染的系統自動彈出網頁，占用高CPU資源，自動彈出或關閉窗口，自動終止某些進程等不正常現象

下載特征

很多木馬、后門程序間諜軟件會自動連接到Internet某Web站點，下載其他的病毒文件或該病毒自身的更新版本/其他變種。

后門特征

• 后門程序及很多木馬、蠕蟲和間諜軟件會在受感染的系統中開啟并偵聽某個端口，允許遠程惡意用戶來對該系統進行遠程操控;

• 某些情況下，病毒還會自動連接到某IRC站點某頻道中，使得該頻道中特定的惡意用戶遠程訪問受感染的計算機。

信息收集特征

• QQ密碼和聊天記錄

• 網絡游戲帳號密碼

• 網上銀行帳號密碼

• 用戶網頁瀏覽記錄和上網習慣

自身隱藏特征

多數病毒會將自身文件的屬性設置為"隱藏"、"系統"和"只讀"，更有一些病毒會通過修改注冊表，從而修改用戶對系統的文件夾訪問權限、顯示權限等，以使病毒更加隱蔽不易被發現。

文件感染特性

• 病毒會將惡意代碼插入到系統中正常的可執行文件中，使得系統正常文件被破壞而無法運行，或使系統正常文件感染病毒而成為病毒體;

• 有的文件型病毒會感染系統中其他類型的文件

PS：Wannacry就是一種典型的文件型病毒，它分為兩部分，一部分是蠕蟲部分，利用windows的“永恒之藍"漏洞進行網絡傳播。一部分是勒索病毒部分，當計算機感染wannacry之后，勒索病毒部分就會自動安裝并且加密計算機中包括音頻、圖像、文檔等各種類型的文件。與此同時彈出勒索框進行勒索。

網絡攻擊特征

• 木馬和蠕蟲病毒會修改計算機的網絡設置，使該計算機無法訪問網絡;

• 木馬和蠕蟲還會向網絡中其他計算機攻擊、發送大量數據包以阻塞網絡，甚至通過散布虛假網關地址的廣播包來欺騙網絡中其他計算機，從而使得整個網絡癱瘓。

PS：愛蟲病毒是一種利用Windows outlook郵件系統傳播的蠕蟲病毒，將自己偽裝成一封情書，郵件主題設置為"I LOVE YOU"，誘使受害者打開，由此得名。當愛蟲病毒運行后迅速找到郵箱通信簿里的50個聯系人再進行發送傳播。傳播速度非常之快，致使大量電子郵件充斥了整個網絡，不僅會導致郵件服務器崩潰，也會讓網絡受影響變慢。從而達到攻擊網絡的目的。

3. 惡意軟件的可分為那幾類？

按照傳播方式分類

1）病毒

• 定義：基于硬件和操作系統之間的程序，具有感染和破壞能力
• 主要傳播方式：感染文件傳播
• 感染目標：硬盤系統分配表扇區、硬盤引導扇區、軟盤引導扇區、可執行文件、命令文件、覆蓋文件（.ovl）、COMMAND文件、IBMBIO文件、IBMDOS文件
• 感染過程：計算機運行含有病毒的程序-->病毒奪取控制權-->尋找感染突破口-->將病毒嵌入感染目標中（病毒會大量復制自身繁殖）

PS：里程碑式的病毒---"熊貓燒香"是一款擁有自動傳播、自動感染硬盤能力和強大的破壞能力的病毒，它不但能感染系統中exe,com,pif，src，html,asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件。由于被其感染的文件圖標會被替換成"熊貓燒香"圖案，所以該病毒被稱為"熊貓燒香"病毒。

2）蠕蟲

• 定義：通過網絡惡意代碼在不同設備中進行復制、傳播和運行，一個能傳染自身并拷貝、傳播到另一個計算機的程序
• 傳播方式：通過網絡發送數據包
• 原理

PS：永恒之藍---2017年4月14日晚，黑客團體Shadow Brokers (影子經紀人)公布一大批網絡攻擊工具，其中包含"永恒之藍"工具，"永恒之藍"利用Windows系統的SMB漏洞可以獲取系統最高權限。5月12日，不法分子通過改造"永恒之藍"制作了wannacry勒索病毒，英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件。

3）木馬

• 定義：木馬是攻擊者通過欺騙的方法在用戶不知情的情況下安裝的，木馬系統軟件一般由木馬配置程序、控制程序和木馬乘車（服務器程序）三部分組成。
• 傳播方式：捆綁、利用網頁等
• 傳播過程：黑客利用木馬配置工具生成一個木馬的服務端;通過各種手段如Spam、Phish、Worm等安裝到用戶終端;利用社會工程學,或者其它技術手段使得木馬運行;木馬竊取用戶隱私信息發送給黑客;同時允許黑客控制用戶終端
• 原理：

?按照功能分類

1）后門

• 定義：具有感染設備全部操作權限的惡意代碼
• 功能：文件管理、屏幕監控、鍵盤監控、視頻監控、命令執行

• 家族：灰鴿子、pcshare

2）勒索

• 定義：通過加密文件，敲詐用戶繳納贖金。
• 加密特定：（1）采用非對稱加密? ?（2）對文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件類型進行加密
• 其他特定：（1）通過比特幣或其它虛擬貨幣交易? （2）利用釣魚郵件和爆破rdp口令進行傳播

3）挖礦

• 定義：攻擊者通過向被感染設備植入挖礦工具，消耗被感染設備的計算資源進行挖礦，以獲取數字貨幣收益的惡意代碼。
• 特點：（1）不會對感染設備的數據和系統造成破壞? ?（2）由于大量消耗設備資源，可能會對設備硬件造成損害。

4. 惡意軟件的免殺技術有哪些？

免殺技術又稱為免殺毒(Anti Anti- virus)技術，是防止惡意代碼免于被殺毒設備查殺的技術。

主流免殺技術如下：

• 修改文件特征碼
• 修改內存特征碼
• 行為免查殺技術

免殺的最基本思想就是破壞特征，這個特征有可能是特征碼，有可能是行為特征，只要破壞了病毒與木馬所固有的特征，并保證其原有功能沒有改變，一次免殺就能完成了。

特征碼：是反病毒軟件用于判斷文件是否帶病毒的一段獨一無二的代碼，它或是一段字符，或是在特定位置調用的一個函數，這些特征碼在不同的反病毒軟件的病毒庫中不盡相同。

免殺技術：

• 文件免殺原理：在保證原文件功能正常的前提下，通過一定的更改，使得原本會被查殺的文件免于被殺。（直接的方法就是讓反病毒軟件停止工作，或使病毒木馬"變"為一個正常的文件。）
• 改特征碼免殺原理：我們顯然無法將木馬從反病毒軟件的黑名單中刪除,所以可以讓病毒換一種表達方式但是不改變本質進行免殺。（最直接的修改就是改特征碼）
• 花指令免殺原理：其實就是一段毫無意義的指令，也可以稱之為垃圾指令。存在的唯一目的就是阻止反匯編程序，或對反匯編設置障礙。

PS：為一個程序添加一段花指令之后，程序的部分偏移會受到影響，如果反病毒軟件不能識別這段花指令，那么它檢測特征碼的偏移量會整體位移一段位置，自然也就無法正常檢測木馬了。

• 加殼免殺原理：軟件加殼其實也可以稱為軟件加密（或軟件壓縮)，只是加密(或壓縮)的方式與目的不—樣罷了。目的是減少被加殼應用程序的體積，或避免讓程序遭到不法分子的破壞與利用。

PS：殼就是我們加的保護，它并不會破壞里面的程序，當我們運行這個加殼的程序時，系統首先會運行程序的"殼"，然后由殼將加密的程序逐步還原到內存中，最后運行程序。加密后的文件結構已經產生了天翻地覆的變化，原有的特征碼早已不知去處，反病毒軟件自然也就會認為它是一個正常的文件了。

• 內存免殺原理：大多數反病毒公司的內存掃描與文件掃描采用的不是同一套特征碼，這就導致了一個病毒木馬同時擁有兩套特征碼，必須要將它們全部破壞掉才能躲過反病毒軟件的查殺。這時可以嘗試加一個會混淆程序原有代碼的"猛"殼，其實還是能躲過殺毒軟件的查殺的。
• 行為免殺：黑客免殺技術發展到現在，已經出現了向滲透入侵等領域靠攏的趨勢，黑客們將能躲過主動防御的方法稱為0Day，并且越來越多的木馬選擇使用本地緩沖區溢出等攻擊手法來突破主動防御。

5. 反病毒技術有哪些？

首包檢測技術

• 提取PE文件頭部特征判斷文件是否是病毒文件
• PE頭部文件的數據通常帶有某些特殊操作，并采用hash算法生成文件頭部簽名，與反病毒首包規則簽名進行比較，若能匹配，則判定為病毒。

啟發式檢測技術

• 啟發式檢測是指對傳輸文件進行反病毒檢測時，發現該文件的程序存在潛在風險，極有可能是病毒文件。
• 啟發式依靠的是"自我學習的能力"，像程序員一樣運用經驗判斷擁有某種反常行為的文件為病毒文件。
• 啟發式檢測的響應動作與對應協議的病毒檢測的響應動作相同。啟發式檢測可以提升網絡環境的安全性,消除安全隱患，但該功能會降低病毒檢測的性能，且存在誤報風險，因此系統默認情況下關閉該功能。
• 啟動病毒啟發式檢測功能:heuristic-detect enable 。

文件信譽檢測技術

• 文件信譽檢測是計算全文MD5，通過MD5值與文件信譽特征庫匹配來進行檢測。
• 文件信譽特征庫里包含了大量的知名的病毒文件的MD5值。華為在文件信譽檢測技術方面主要依賴于文件信譽庫靜態升級更新以及與沙箱聯動自學習到的動態緩存。

6. 反病毒網關的工作原理是什么？

防病毒網關是一種網絡設備，用以保護網絡內（一般是局域網）進出數據的安全。主要體現在病毒殺除、關鍵字過濾（如色情、反動）、 垃圾郵件阻止的功能，同時部分設備也具有一定防火墻（劃分Vlan）的功能。?

利用反病毒特性保證網絡的安全的場合：

• 內網可以訪問外網，且需要經常從外網下載文件
• 內網部署的服務器經常接受外網用戶上傳的文件

反病毒功能主要是檢測文件

• 圖片不是可執行文件---靜態文件
• 可執行文件---動態文件

7. 反病毒網關的工作過程是什么？

1）反病毒網關的工作過程：

智能感知引擎對網絡流量進行深層分析，識別流量對應的協議類型和文件傳輸的方向

判斷文件傳輸使用的協議和文件傳輸的方向是否支持病毒檢測

判斷流量是否在可以信任的白名單中，在則不對文件做病毒檢測

沒有在白名單中則進行病毒檢測，提取檢測的文件特征，然后將特征與病毒特征庫進行匹配，若匹配則為病毒文件，執行響應動作；若不匹配，則文件允許通過

2）NGFW可檢測傳輸文件的協議：

• FTP文件傳輸協議
• HTTP超文本傳輸協議
• POP3郵局協議（第三版本）
• SMTP簡單郵件傳輸協議
• IMAP因特網信息訪問協議
• NFS網絡文件系統
• SMB文件共享服務器

3）NGFW支持的不同傳輸方向的文件：

• 上傳：客戶端向服務器發送文件
• 下載：服務器向客戶端發送文件

4）白名單規則的匹配方式：

• 前綴匹配
• 后綴匹配
• 關鍵字匹配
• 精確匹配

5）當NGFW檢測到病毒文件時的處理流程：

• 是否為病毒例外，若是則允許文件通過---病毒例外：病毒白名單，避免系統誤報等原因造成文件傳輸失敗，檢測到某病毒為誤報時，將對應病毒ID加入病毒例外，若有匹配則放行。
• 若不是則判斷是否命中應用例外，若命中則執行響應動作---應用例外：為應用配置不同協議的響應動作，同一協議可承載多種應用。
• 若不是則執行配置文件中配置的協議和傳輸方式對應的響應動作

8. 反病毒網關的配置流程是什么？

• 申請并激活license
• 加載特征庫
• 配置AV Profile
• 配置安全策略
• 其他配置

總結

以上是生活随笔為你收集整理的反病毒网关的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。