admin管理员组文章数量:1591683
目录
1. 什么是恶意软件(病毒)?
2. 恶意软件的特征
3. 恶意软件的分类
按照传播方式
按功能分类分
4. 恶意软件的免杀技术
5. 反病毒技术
6. 反病毒网关的工作过程
7. 反病毒网关的配置流程
8.案例
1. 什么是恶意软件(病毒)?
恶意软件,是以多种途径感染合法用户计算机及予以加害的一种计算机程序。恶意软件能够以多种途径感染计算机和设备,并且表现出多种形式。按照传播方式,将恶意软件大致分为三类,病毒、蠕虫、木马。
2. 恶意软件的特征
恶意软件通常具备以下某些特征:
下载特征
很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。
后门特征
-
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;
-
某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。
信息收集特性
-
QQ密码和聊天记录;
-
网络游戏帐号密码;
-
网上银行帐号密码;
-
用户网页浏览记录和上网习惯;
自身隐藏性
多数病毒会将自身文件的属性设置为“隐藏'、“系统′和"只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染性
-
病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体;
-
有的文件型病毒会感染系统中其他类型的文件。
-
Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒之蓝"漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
网络攻击特性
-
木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
-
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。
3. 恶意软件的分类
按照传播方式分为:
1.病毒----基于硬件和操作系统的程序,具有感染,传播,破坏能力,被感染的机器叫做宿主。宿主既是病毒传播的目的地,又是下一次感染的出发地。
病毒感染目标:硬盘系统分配表扇区、硬盘引导区、软盘引导区、可执行文件、命令文件、覆盖文件、COMMAND文件、IBMDOS文件。
原理
病毒感染的一般过程:当计算机运行染毒的宿主程序时,病毒夺取控制权;寻找感染的突破口;将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
主要传播方式:感染文件传播
2.蠕虫----蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。
原理
传播方式:通过网络发送攻击数据包
3.木马----攻击者通过欺骗的方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
原理
传播过程
黑客利用木马配置工具生成一个木马的服务端;通过各种手段如Spam、Phish、Worm等安装到用户终端;利用社会工程学,或者其它技术手段使得木马运行;木马窃取用户隐私信息发送给黑客;同时允许黑客控制用户终端。
传播方式:捆绑,利用网页
常见木马:挂马代码 挂马代码的功能是在网页打开的时候,同时打开另外一个网页,当然这个网页可能包含大量的木马,也可能仅仅是为了骗取流量。按功能分类分为:
后门 具有感染设备全部操作权限的恶意代码。- 典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
- 典型家族∶ 灰鸽子、pCshare
- 加密特点∶
- 主要采用非对称加密方式
- 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
- 其他特点∶
- 通过比特币或其它虚拟货币交易
- 利用钓鱼邮件和爆破rdp口令进行传播
- 不会对感染设备的数据和系统造成破坏。
- 由于大量消耗设备资源,可能会对设备硬件造成损害。
4. 恶意软件的免杀技术
恶意代码希望能顺利绕过杀毒软件与防火墙,在受害者的计算机中长期隐藏下去,并能在必要的时候向攻击者提供有用的信息。 免杀技术又称为免杀毒(Anti Anti- Virus )技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶- 修改文件特征码
- 修改内存特征码
- 行为免查杀技术
5. 反病毒技术
单机反病毒 检测工具- 单机反病毒可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。
- 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码,有些检测工具同时提供修复的功能。
- 常见的病毒检测工具包括:
- TCP View
- Regmon
- Filemon
- Process
- Explorer
- IceSword
- Process Monitor
- Wsyscheck
- SREng
- Wtool
- Malware Defender
- 内网用户可以访问外网,且经常需要从外网下载文件。
- 内网部署的服务器经常接收外网用户上传的文件。
- FW作为网关设备隔离内、外网,内网包括用户PC和服务器。内网用户可以从外网下载文件,外网用户 可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全,需要在FW上配置反病毒功 能。
- 在FW上配置反病毒功能后,正常文件可以顺利进入内部网络,包含病毒的文件则会被检测出来,并被采 取阻断或告警等手段进行干预。
6. 反病毒网关的工作过程
1. 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类 型和文件传输的方向。 2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。 NGFW 支持对使用以下协议传输的文件进行病毒检测。- FTP(File Transfer Protocol):文件传输协议
- HTTP(Hypertext Transfer Protocol):超文本传输协议
- POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
- SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
- IMAP(Internet Message Access Protocol):因特网信息访问协议
- NFS(Network File System):网络文件系统
- SMB(Server Message Block):文件共享服务器
- NGFW支持对不同传输方向上的文件进行病毒检测。
- 前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
- 后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
- 关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
- 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
- 如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
- 如果协议和应用都配置了响应动作,则以应用的响应动作为准。
如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。
7. 反病毒网关的配置流程
8.案例
某公司在网络边界处部署了EW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件,内网FTP服务器需要接收外网用户上传的文件。公司利用EW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络,保障内网用户和服务器的安全。
其中,由于公司使用Ctdisk网盘作为工作邮箱,为了保证工作邮件的正常收发,需要放行Ctdisk网盘的所有邮件。另外,内网用户在通过Web服务器下载某重要软件时失败,排查发现该软件因被EW判定为病毒而被阻断(病毒ID为16424404),考虑到该软件的重要性和对该软件来源的信任,管理员决定临时放行该类病毒文件,以使用户可以成功下载该软件。
1.新建防病毒配置文件
两个配置文件,一个满足内网用户需要通过Web服务器和POP3服务器下载文件和邮件,一个满足内网FTP服务器接收外网用户上传的文件。
2.在安全策略里使用 反病毒配置文件
3.大功告成
本文标签: 计算机病毒
版权声明:本文标题:什么是计算机病毒,看这里 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1728125088a1146302.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论