安全防御——防病毒网关
安全防御——防病毒網(wǎng)關(guān)
- 介紹
- 基本信息
- 工作原理
- 首包檢測技術(shù)
- 啟發(fā)式檢測技術(shù)
- 文件信譽(yù)檢測技術(shù)
- 處理過程
- 防病毒網(wǎng)關(guān)功能特點(diǎn)
- 防病毒網(wǎng)關(guān)與防火墻的區(qū)別
- 防病毒網(wǎng)關(guān)與防火墻的關(guān)系
- 防病毒網(wǎng)關(guān)與防病毒軟件的區(qū)別
- 防病毒網(wǎng)關(guān)——查殺方式
- 防病毒網(wǎng)關(guān)查殺方式
- 反病毒網(wǎng)關(guān)的基本配置思路
- 傳統(tǒng)防病毒網(wǎng)關(guān)面臨的三大問題
- 防病毒網(wǎng)關(guān)的最新趨勢
- 按照傳播方式分類——病毒,蠕蟲,木馬
- 病毒
- 蠕蟲病毒
- 木馬
- 病毒,蠕蟲,木馬的區(qū)別
- 按照功能分類
- 后門
- 勒索
- 挖礦
- 惡意代碼的特征
- **下載特征**
- **后門特征**
- **信息收集特性**
- **自身隱藏特性**
- **文件感染特性**
- **網(wǎng)絡(luò)攻擊特性**
- **病毒威脅場景**
- **病毒傳播途徑**
- 電子郵件
- 網(wǎng)絡(luò)共享
- P2P共享軟件
- 系統(tǒng)漏洞
- 廣告軟件/灰色軟件
- **惡意代碼的免殺技術(shù)**
- **原理**
- **文件免殺原理**
- **改特征碼免殺原理**
- **花指令免殺原理**
- **加殼免殺原理**
- **內(nèi)存免殺原理**
- **行為免殺原理**
- **反病毒技術(shù)**
- 一、結(jié)合以下問題對當(dāng)天內(nèi)容進(jìn)行總結(jié)
網(wǎng)關(guān)在應(yīng)用網(wǎng)絡(luò)的應(yīng)用層協(xié)議
介紹
防病毒網(wǎng)關(guān)是一種網(wǎng)絡(luò)設(shè)備,用以保護(hù)網(wǎng)絡(luò)內(nèi)(一般是局域網(wǎng))進(jìn)出數(shù)據(jù)的安全。
主要體現(xiàn)在病毒殺除、關(guān)鍵字過濾(如色情、反動)、垃圾郵件阻止的功能,同時(shí)部分設(shè)備也具有一定防火墻的功能。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件。
對于網(wǎng)關(guān),相信大多數(shù)人都有接觸過是對網(wǎng)絡(luò)進(jìn)行管理。但是防病毒網(wǎng)關(guān),是一種在網(wǎng)關(guān)的基礎(chǔ)上,增加了保護(hù)網(wǎng)絡(luò)功能的一種全新網(wǎng)關(guān)。防病毒網(wǎng)關(guān)具有優(yōu)秀的殺毒,關(guān)鍵字、關(guān)鍵詞過濾、垃圾郵件攔截的功能,同時(shí)還具有防火墻功能,路由分配功能,可以對網(wǎng)絡(luò)內(nèi)設(shè)備進(jìn)行分配,防病毒網(wǎng)關(guān)是一種功能強(qiáng)大的網(wǎng)關(guān),下面就來介紹介紹,防病毒網(wǎng)關(guān)具有哪些特點(diǎn)吧。
基本信息
對于企業(yè)網(wǎng)絡(luò),一個(gè)安全系統(tǒng)的首要任務(wù)就是阻止病毒通過電子郵件與附件入侵。當(dāng)今的威脅已經(jīng)不單單是一個(gè)病毒,經(jīng)常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。網(wǎng)關(guān)作為企業(yè)網(wǎng)絡(luò)連接到另一個(gè)網(wǎng)絡(luò)的關(guān)口,就象是一扇大門,一旦大門敞開,企業(yè)的整個(gè)網(wǎng)絡(luò)信息就會暴露無遺。從安全角度來看,對網(wǎng)關(guān)的防護(hù)得當(dāng),就能起到“一夫當(dāng)關(guān),萬夫莫開”的作用,反之,病毒和惡意代碼就會從網(wǎng)關(guān)進(jìn)入企業(yè)內(nèi)部網(wǎng),為企業(yè)帶來巨大損失。基于網(wǎng)關(guān)的重要性,企業(yè)紛紛開始部署防病毒網(wǎng)關(guān),主要的功能就是阻擋病毒進(jìn)入網(wǎng)絡(luò)。
這種網(wǎng)關(guān)防病毒產(chǎn)品能夠檢測進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù),對HTTP、FTP、SMTP、IMAP四種協(xié)議的數(shù)據(jù)進(jìn)行病毒掃描,一旦發(fā)現(xiàn)病毒就會采取相應(yīng)的手段進(jìn)行隔離或查殺,在防護(hù)病毒方面起到了非常大的作用。
防病毒網(wǎng)關(guān)也通常被稱作UTM(統(tǒng)一威脅管理),目前比較有名的反病毒網(wǎng)關(guān)為McAfee公司的Web Gateway(也稱MWG)和趨勢科技的IWSA,這兩種產(chǎn)品均采用經(jīng)過優(yōu)化的linux內(nèi)核。
其中McAfee Web Gateway還支持https等加密流量的惡意代碼檢測,并支持URL過濾、應(yīng)用控制、以及對互聯(lián)網(wǎng)的使用行為進(jìn)行統(tǒng)計(jì)等功能,性能和功能居于業(yè)界領(lǐng)導(dǎo)地位。
工作原理
首包檢測技術(shù)
通過提取PE(Portable Execute;Windows系統(tǒng)下可移植的執(zhí)行體,包括exe、dll、“sys等文件類型)文
件頭部特征判斷文件是否是病毒文件。提取PE文件頭部數(shù)據(jù),這些數(shù)據(jù)通常帶有某些特殊操作,并且采
用hash算法生成文件頭部簽名,與反病毒首包規(guī)則簽名進(jìn)行比較,若能匹配,則判定為病毒。
啟發(fā)式檢測技術(shù)
啟發(fā)式檢測是指對傳輸文件進(jìn)行反病毒檢測時(shí),發(fā)現(xiàn)該文件的程序存在潛在風(fēng)險(xiǎn),極有可能是
病毒文件。比如說文件加殼(比如加密來改變自身特征碼數(shù)據(jù)來躲避查殺),當(dāng)這些與正常文
件不一致的行為達(dá)到一定的閥值,則認(rèn)為該文件是病毒。
啟發(fā)式依靠的是"自我學(xué)習(xí)的能力",像程序員一樣運(yùn)用經(jīng)驗(yàn)判斷擁有某種反常行為的文件為病
毒文件。
啟發(fā)式檢測的響應(yīng)動作與對應(yīng)協(xié)議的病毒檢測的響應(yīng)動作相同。啟發(fā)式檢測可以提升網(wǎng)絡(luò)環(huán)境
的安全性,消除安全隱患,但該功能會降低病毒檢測的性能,且存在誤報(bào)風(fēng)險(xiǎn),因此系統(tǒng)默認(rèn)
情況下關(guān)閉該功能。啟動病毒啟發(fā)式檢測功能∶heuristic-detect enable 。
文件信譽(yù)檢測技術(shù)
文件信譽(yù)檢測是計(jì)算全文MD5,通過MD5值與文件信譽(yù)特征庫匹配來進(jìn)行檢測。文件信譽(yù)特
征庫里包含了大量的知名的病毒文件的MD5值。華為在文件信譽(yù)檢測技術(shù)方面主要依賴于文
件信譽(yù)庫靜態(tài)升級更新以及與沙箱聯(lián)動自學(xué)習(xí)到的動態(tài)緩存。
文件信譽(yù)檢測依賴沙箱聯(lián)動或文件信譽(yù)庫。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-nd8LY3LQ-1663161949330)(.\安全防御圖片\文件信譽(yù)檢測技術(shù))]
處理過程
\1. 網(wǎng)絡(luò)流量進(jìn)入智能感知引擎后,首先智能感知引擎對流量進(jìn)行深層分析,識別出流量對應(yīng)的協(xié)議類型和文件傳輸?shù)姆较颉?/p>
\2. 判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測。
NGFW支持對使用以下協(xié)議傳輸?shù)奈募M(jìn)行病毒檢測。FTP(File Transfer Protocol):文件傳輸協(xié)議HTTP(Hypertext Transfer Protocol):超文本傳輸協(xié)議POP3(Post Office Protocol - Version 3):郵局協(xié)議的第3個(gè)版本SMTP(Simple Mail Transfer Protocol):簡單郵件傳輸協(xié)議IMAP(Internet Message Access Protocol):因特網(wǎng)信息訪問協(xié)議NFS(Network File System):網(wǎng)絡(luò)文件系統(tǒng)SMB(Server Message Block):文件共享服務(wù)器NGFW支持對不同傳輸方向上的文件進(jìn)行病毒檢測。上傳:指客戶端向服務(wù)器發(fā)送文件。下載:指服務(wù)器向客戶端發(fā)送文件。\3. 判斷是否命中白名單。命中白名單后,FW將不對文件做病毒檢測。
白名單由白名單規(guī)則組成,管理員可以為信任的域名、URL、IP地址或IP地址段配置白名單規(guī)則,以此提高反病毒的檢測效率。白名單規(guī)則的生效范圍僅限于所在的反病毒配置文件,每個(gè)反病毒配置文件都擁有自己的白名單。
\4. 針對域名和URL,白名單規(guī)則有以下4種匹配方式:
前綴匹配:host-text或url-text配置為“example”的形式,即只要域名或URL的前綴是“example”就命中白名單規(guī)則。
后綴匹配:host-text或url-text配置為“example”的形式,即只要域名或URL的后綴是“example”就命中白名單規(guī)則。
關(guān)鍵字匹配:host-text或url-text配置為“example”的形式,即只要域名或URL中包含“example”就命中白名單規(guī)則。
精確匹配:域名或URL必須與host-text或url-text完全一致,才能命中白名單規(guī)則。
\5. 病毒檢測:
智能感知引擎對符合病毒檢測的文件進(jìn)行特征提取,提取后的特征與病毒特征庫中的特征進(jìn)行匹配。如果匹配,則認(rèn)為該文件為病毒文件,并按照配置文件中的響應(yīng)動作進(jìn)行處理。如果不匹配,則允許該文件通過。當(dāng)開啟聯(lián)動檢測功能時(shí),對于未命中病毒特征庫的文件還可以上送沙箱進(jìn)行深度檢測。如果沙箱檢測到惡意文件,則將惡意文件的文件特征發(fā)送給FW,FW將此惡意文件的特征保存到聯(lián)動檢測緩存。下次再檢測到該惡意文件時(shí),則按照配置文件中的響應(yīng)動作進(jìn)行處理。
病毒特征庫是由華為公司通過分析各種常見病毒特征而形成的。該特征庫對各種常見的病毒特征進(jìn)行了定義,同時(shí)為每種病毒特征都分配了一個(gè)唯一的病毒ID。當(dāng)設(shè)備加載病毒特征庫后,即可識別出特征庫里已經(jīng)定義過的病毒。同時(shí),為了能夠及時(shí)識別出最新的病毒,設(shè)備上的病毒特征庫需要不斷地從安全中心平臺(sec.huawei.com)進(jìn)行升級。
\6. 當(dāng)NGFW檢測出傳輸文件為病毒文件時(shí),需要進(jìn)行如下處理:
判斷該病毒文件是否命中病毒例外。如果是病毒例外,則允許該文件通過。
病毒例外,即病毒白名單。為了避免由于系統(tǒng)誤報(bào)等原因造成文件傳輸失敗等情況的發(fā)生,當(dāng)用戶認(rèn)為已檢測到的某個(gè)病毒為誤報(bào)時(shí),可以將該對應(yīng)的病毒ID添加到病毒例外,使該病毒規(guī)則失效。如果檢測結(jié)果命中了病毒例外,則對該文件的響應(yīng)動作即為放行。如果不是病毒例外,則判斷該病毒文件是否命中應(yīng)用例外。如果是應(yīng)用例外,則按照應(yīng)用例外的響應(yīng)動作(放行、告警和阻斷)進(jìn)行處理。
應(yīng)用例外可以為應(yīng)用配置不同于協(xié)議的響應(yīng)動作。應(yīng)用承載于協(xié)議之上,同一協(xié)議上可以承載多種應(yīng)用。
由于應(yīng)用和協(xié)議之間存在著這樣的關(guān)系,在配置響應(yīng)動作時(shí)也有如下規(guī)定:
如果只配置協(xié)議的響應(yīng)動作,則協(xié)議上承載的所有應(yīng)用都繼承協(xié)議的響應(yīng)動作。
如果協(xié)議和應(yīng)用都配置了響應(yīng)動作,則以應(yīng)用的響應(yīng)動作為準(zhǔn)。
如果病毒文件既沒命中病毒例外,也沒命中應(yīng)用例外,則按照配置文件中配置的協(xié)議和傳輸方向?qū)?yīng)的響應(yīng)動作進(jìn)行處理。
防病毒網(wǎng)關(guān)功能特點(diǎn)
1、智能接入,安全可靠
和工業(yè)網(wǎng)關(guān)一樣,防病毒網(wǎng)關(guān)也支持通過ADSL,光纖等多種方式寬帶接入方案,可實(shí)現(xiàn)擴(kuò)展帶寬和廉價(jià)的接入,可通過路由、NAT、多鏈路復(fù)用及檢測功能為企業(yè)解決靈活擴(kuò)展帶寬和廉價(jià)接入的接入方案。
2、健康網(wǎng)絡(luò),應(yīng)用安全
自帶防火墻功能,可通過防火墻攔截病毒以及非法請求。用以保障企業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)的安全。還可通過DHCP服務(wù)器,ARP防火墻、DDNS等功能為企業(yè)提供全方位的局域網(wǎng)管理方案。
3、移動辦公,快速安全
帶有的SSLVPN、IPSEC、PPTP、L2TP等VPN功能,能夠讓用戶通過一鍵式操作,方便快捷的建立價(jià)格低廉的廣域網(wǎng)上專用網(wǎng)絡(luò),為企業(yè)提供廣域網(wǎng)安全業(yè)務(wù)傳輸通道,便利的實(shí)現(xiàn)了企業(yè)總部與移動工作人員、分公司、合作伙伴、產(chǎn)品供應(yīng)商、客戶間的連接,提高與分公司、客戶、供應(yīng)商和合作伙伴開展業(yè)務(wù)的能力。
4、動態(tài)智能帶寬管理
可通過動態(tài)智能帶寬管理功能,對網(wǎng)絡(luò)帶寬進(jìn)行合理分配,便于解決bt、p2p、p2p和視頻視頻下載和視頻視頻下載等帶寬問題。
防病毒網(wǎng)關(guān)與防火墻的區(qū)別
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-uL3ko4px-1663161949330)(.\安全防御圖片\防病毒網(wǎng)關(guān)與防火墻的區(qū)別)]
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-2uoJEiMo-1663161949330)(.\安全防御圖片\防病毒網(wǎng)關(guān)與防火墻的網(wǎng)絡(luò)傳輸?shù)腎P數(shù)據(jù)包結(jié)構(gòu))]
防病毒網(wǎng)關(guān)
分析數(shù)據(jù)包中傳輸數(shù)據(jù)內(nèi)容
下載1個(gè)文件會被拆分多個(gè)數(shù)據(jù)包傳輸
對由數(shù)據(jù)包組成的文件運(yùn)用反病毒技術(shù)分析是否為病毒
防毒墻對數(shù)據(jù)包分析比防火墻要深入
防火墻
分析數(shù)據(jù)包中原IP目的IP
匹配IP訪問控制規(guī)則控制訪問
防病毒網(wǎng)關(guān)與防火墻的關(guān)系
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-hTJDPbk7-1663161949331)(.\安全防御圖片\防病毒網(wǎng)關(guān)與防火墻的關(guān)系)]
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-6kObkLAt-1663161949331)(.\安全防御圖片\防病毒網(wǎng)關(guān)與防病毒軟件關(guān)系)]
防病毒網(wǎng)關(guān)與防病毒軟件的區(qū)別
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-52h6dw7D-1663161949332)(.\安全防御圖片\防病毒網(wǎng)關(guān)與防病毒軟件的區(qū)別)]
防病毒網(wǎng)關(guān)——查殺方式
1、對進(jìn)出防病毒網(wǎng)關(guān)數(shù)據(jù)檢測
綜觀國外的網(wǎng)關(guān)防病毒產(chǎn)品,其對數(shù)據(jù)的病毒檢測還是以特征碼匹配技術(shù)為主其掃描技術(shù)及病毒庫與其服務(wù)器版防病毒產(chǎn)品是一致的
2、對檢測出病毒數(shù)據(jù)進(jìn)行查殺
如何對進(jìn)出網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行查殺,是網(wǎng)關(guān)防病毒網(wǎng)關(guān)技術(shù)的關(guān)鍵。由于目前國內(nèi)外防病毒產(chǎn)品還無法對數(shù)據(jù)包進(jìn)行病L檢測,所以各廠商在網(wǎng)關(guān)處只能采取將數(shù)據(jù)包還原成文件的方式進(jìn)行病毒處理。
防病毒網(wǎng)關(guān)查殺方式
防病毒廠商所采取的方式又各不相同,主要分為以下四種方式:
1、基于代理服務(wù)器的方式
2、基于防火墻協(xié)議還原的方式
3、基于郵件服務(wù)器的方式
4、基于信息渡船產(chǎn)品方式
反病毒網(wǎng)關(guān)的基本配置思路
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-x41exDcG-1663161949332)(.\安全防御圖片\反病毒網(wǎng)關(guān)的基本配置思路)]
案例
某公司在網(wǎng)絡(luò)邊界處部署了FW作為安全網(wǎng)關(guān)。內(nèi)網(wǎng)用戶需要通過Web服務(wù)器和POP3服務(wù)器下載文件和
郵件,內(nèi)網(wǎng)FTP服務(wù)器需要接收外網(wǎng)用戶上傳的文件。公司利用FW提供的反病毒功能阻止病毒文件在這
些過程中進(jìn)入受保護(hù)網(wǎng)絡(luò),保障內(nèi)網(wǎng)用戶和服務(wù)器的安全。
其中,由于公司使用Ctdisk網(wǎng)盤作為工作郵箱,為了保證工作郵件的正常收發(fā),需要放行Ctdisk網(wǎng)盤的
所有郵件。另外,內(nèi)網(wǎng)用戶在通過Web服務(wù)器下載某重要軟件時(shí)失敗,排查發(fā)現(xiàn)該軟件因被FW判定為病
毒而被阻斷(病毒ID為16424404),考慮到該軟件的重要性和對該軟件來源的信任,管理員決定臨時(shí)放
行該類病毒文件,以使用戶可以成功下載該軟件。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-QhG1Rjem-1663161949332)(.\安全防御圖片\反病毒網(wǎng)關(guān)的基本配置思路案例)]
傳統(tǒng)防病毒網(wǎng)關(guān)面臨的三大問題
首先,傳統(tǒng)防病毒網(wǎng)關(guān)一般是基于X86或者單一的ASIC、NP架構(gòu)的,其單處理器的模式無法同時(shí)處理多個(gè)任務(wù)流,而其基于Proxy的引擎類型也無法同時(shí)處理多個(gè)環(huán)節(jié),這致使其無法進(jìn)行并行處理,網(wǎng)關(guān)性能只能依托于CPU主頻,性能提升空間有限。
另一個(gè)制約其性能的因素是臃腫不堪的病毒庫。如今每天新病毒木馬都層出不窮,這導(dǎo)致傳統(tǒng)反病毒網(wǎng)關(guān)使用的病毒特征庫也變得越來越大,目前傳統(tǒng)反病毒網(wǎng)關(guān)的病毒特征庫總數(shù)一般都在十萬級以上,如此龐大的病毒庫數(shù)量,導(dǎo)致在其在分析文件時(shí)消耗CPU高,網(wǎng)關(guān)吞吐率變低,從而也會造成較高的延遲。但事實(shí)上,盡管如今病毒數(shù)量總量已經(jīng)數(shù)以十萬計(jì),實(shí)際上每天活躍的病毒數(shù)量才一兩千個(gè),病毒特征庫中絕大部分內(nèi)容并沒有發(fā)揮多少作用,而且,隨著病毒數(shù)量的與日俱增,病毒庫臃腫的問題只會越來越嚴(yán)重。
最后,網(wǎng)絡(luò)應(yīng)用的Web化趨勢也給傳統(tǒng)反病毒網(wǎng)關(guān)也帶來了新的挑戰(zhàn)。如今網(wǎng)絡(luò)應(yīng)用越來越復(fù)雜多樣,同時(shí)呈現(xiàn)出Web化的趨勢,用戶每天在網(wǎng)絡(luò)上要使用的諸多網(wǎng)絡(luò)應(yīng)用,如QQ、MSN等即時(shí)通訊工具,各種音頻視頻應(yīng)用,各種CS(Client/Server)客戶端,還有文件下載等,都通過Web化的形式呈現(xiàn)出來,這不僅增加了防病毒網(wǎng)關(guān)要處理的任務(wù)量,還提升了進(jìn)行分析處理時(shí)的難度。傳統(tǒng)的防病毒網(wǎng)關(guān)在目前的應(yīng)用Web化趨勢下,越來越顯出其性能的相對不足,難以滿足當(dāng)前形勢下的網(wǎng)絡(luò)安全需求。
防病毒網(wǎng)關(guān)的最新趨勢
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-wE9qNxGx-1663161949332)(.\安全防御圖片\防病毒網(wǎng)關(guān)的最新趨勢1)]
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-XL5G71xy-1663161949332)(.\安全防御圖片\防病毒網(wǎng)關(guān)的最新趨勢2)]
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-PbIQyE2T-1663161949333)(.\安全防御圖片\3)]
按照傳播方式分類——病毒,蠕蟲,木馬
首先病毒,木馬,蠕蟲統(tǒng)稱為電腦病毒。病毒(包含蠕蟲)的共同特征是自我復(fù)制、傳播、破壞電腦文件,對電腦造成數(shù)據(jù)上不可逆轉(zhuǎn)的損壞。而木馬獨(dú)有特征是偽裝成正常應(yīng)用騙取用戶信任而入侵,潛伏在電腦中盜取用戶資料與信息。
病毒
病毒是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)的代碼,能影響計(jì)算機(jī)使用,能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。
病毒是一種基于硬件和操作系統(tǒng)的程序,具有感染和破壞能力,這與病毒程序的結(jié)構(gòu)有關(guān)。病毒攻擊的宿主程序是病毒的棲身地,它是病毒傳播的目的地,又是下一次感染的出發(fā)點(diǎn)。
計(jì)算機(jī)病毒感染的一般過程
當(dāng)計(jì)算機(jī)運(yùn)行染毒的宿主程序時(shí),病毒奪取控制權(quán); 尋找感染的突破口; 將病毒程序嵌入感染目標(biāo)中。計(jì)算機(jī)病毒的感染過程與生物學(xué)病毒的感染過程非常相似,它寄生在宿主程序中,進(jìn)入計(jì)算機(jī)并借助操作系統(tǒng)和宿主程序的運(yùn)行,復(fù)制自身、大量繁殖。
病毒感染目標(biāo)包括
硬盤系統(tǒng)分配表扇區(qū)(主引導(dǎo)區(qū))、硬盤引導(dǎo)扇區(qū)、軟盤引導(dǎo)扇區(qū)、可執(zhí)行文件(.exe)、命令文件(.com)、覆蓋文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件。
計(jì)算機(jī)病毒感染的一般過程
當(dāng)計(jì)算機(jī)運(yùn)行染毒的宿主程序時(shí),病毒奪取控制權(quán); 尋找感染的突破口; 將病毒程序嵌入感染目標(biāo)中。計(jì)算機(jī)病毒的感染過程與生物學(xué)病毒的感染過程非常相似,它寄生在宿主程序中,進(jìn)入計(jì)算機(jī)并借助操作系統(tǒng)和宿主程序的運(yùn)行,復(fù)制自身、大量繁殖。主要傳播方式∶感染文件傳播。
主要傳播方式∶感染文件傳播
例如, “熊貓燒香” 是一款擁有自動傳播、自動感染硬盤能力和強(qiáng)大的破壞能力的病毒,它不但能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件。由于被其感染的文件圖標(biāo)會被替換成 "熊貓燒香"圖案,所以該病毒被稱為"熊貓燒香"病毒。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-TMVJUb0v-1663161949334)(.\安全防御圖片\熊貓燒香)]
蠕蟲病毒
蠕蟲病毒一種能夠利用系統(tǒng)漏洞通過網(wǎng)絡(luò)進(jìn)行自我傳播的惡意程序。它不需要附著在其他程序上,而是獨(dú)立存在的。當(dāng)形成規(guī)模、傳播速度過快時(shí)會極大地消耗網(wǎng)絡(luò)資源導(dǎo)致大面積網(wǎng)絡(luò)擁塞甚至癱瘓。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-QxIQi9r7-1663161949335)(.\安全防御圖片\蠕蟲病毒)]
蠕蟲病毒原理:
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-yBCGbWBH-1663161949335)(.\安全防御圖片\蠕蟲病毒原理)]
傳播方式∶ 通過網(wǎng)絡(luò)發(fā)送攻擊數(shù)據(jù)包
最初的蠕蟲病毒定義是因?yàn)樵贒0S環(huán)境下,病毒發(fā)作時(shí)會在屏幕上出現(xiàn)一條類似蟲子的東西,胡亂吞吃屏幕上的字母并將其改形。
永恒之藍(lán):2017年4月14日晚,黑客團(tuán)體Shadow Brokers(影子經(jīng)紀(jì)人)公布一大批網(wǎng)絡(luò)攻擊工具,其中包含"永恒之藍(lán)"工具,"永恒之藍(lán)"利用Windows系統(tǒng)的SMB漏洞可以獲取系統(tǒng)最高權(quán)限。5月12日,不法分子通過改造"永恒之藍(lán)"制作了wannacry勒索病毒,英國、俄羅斯、整個(gè)歐洲以及中國國內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招,被勒索支付高額贖金才能解密恢復(fù)文件。
木馬
木馬也稱木馬病毒,是指通過特定的程序來控制另一臺計(jì)算機(jī)。與一般的病毒不同,它不會自我繁殖,也專并不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種主機(jī)的門戶,使施屬種者可以任意毀壞、竊取被種者的文件,甚至遠(yuǎn)程操控被種主機(jī)。
原理:
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-yrRowSnt-1663161949335)(.\安全防御圖片\木馬入侵原理)]
傳播方式∶捆綁、利用網(wǎng)頁
傳播過程:
黑客利用木馬配置工具生成一個(gè)木馬的服務(wù)端;通過各種手段如Spam、Phish、Worm等安裝到用戶終端;利用社會工程學(xué),或者其它技術(shù)手段使得木馬運(yùn)行;木馬竊取用戶隱私信息發(fā)送給黑客;同時(shí)允許黑客控制用戶終端。
掛馬代碼的功能是在網(wǎng)頁打開的時(shí)候,同時(shí)打開另外一個(gè)網(wǎng)頁,當(dāng)然這個(gè)網(wǎng)頁可能包含大量的木馬,也可能僅僅是為了騙取流量。
病毒,蠕蟲,木馬的區(qū)別
1、本質(zhì)不同
病毒(包含蠕蟲)是自我復(fù)制、傳播、破壞電腦文件,對電腦造成數(shù)據(jù)上不可逆轉(zhuǎn)的損壞。而木馬是偽裝成正常應(yīng)用騙取用戶信任而入侵,潛伏在電腦中盜取用戶資料與信息。
2、特征不同
病毒的特征:很強(qiáng)的感染性;一定隱蔽性;一定的潛伏性;特定的觸發(fā)性;不可預(yù)見性;很大的破壞性。
蠕蟲的特征:它的入侵對象是整個(gè)互聯(lián)網(wǎng)上的電腦;不采用將自身復(fù)制在租住程序的方式傳播;通過互聯(lián)網(wǎng)傳播,極強(qiáng)的傳染性、破壞性。
木馬的特征:主要包括隱蔽性、自動運(yùn)行性、欺騙性、自動恢復(fù)、自動打開端口。
按照功能分類
后門
·具有感染設(shè)備全部操作權(quán)限的惡意代碼。
典型功能∶ 文件管理、屏幕監(jiān)控、鍵盤監(jiān)控、視頻監(jiān)控、命令執(zhí)行等。
典型家族∶ 灰鴿子、pCshare
勒索
通過加密文件,敲詐用戶繳納贖金。
·加密特點(diǎn)∶
主要采用非對稱加密方式
對文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件類型進(jìn)行加密
·其他特點(diǎn)∶
通過比特幣或其它虛擬貨幣交易
利用釣魚郵件和爆破rdp口令進(jìn)行傳播
·典型家族∶ Wannacry、GandCrab、Globelmposter
挖礦
攻擊者通過向被感染設(shè)備植入挖礦工具,消耗被感染設(shè)備的計(jì)算資源進(jìn)行挖礦,以獲取數(shù)字貨幣收益的
惡意代碼。
特點(diǎn)∶
不會對感染設(shè)備的數(shù)據(jù)和系統(tǒng)造成破壞。
? 由于大量消耗設(shè)備資源,可能會對設(shè)備硬件造成損害。
惡意代碼的特征
病毒感染系統(tǒng)后,無疑會對系統(tǒng)做出各種修改和破壞。有時(shí)病毒會使受感染的系統(tǒng)出現(xiàn)自動彈出網(wǎng)頁、占用高CPU資源、自動彈出/關(guān)閉窗口、自動終止某些進(jìn)程等各種不正常現(xiàn)象。
下載特征
很多木馬、后門程序間諜軟件會自動連接到Internet某Web站點(diǎn),下載其他的病毒文件或該病毒自身的更新版本/其他變種。
后門特征
后門程序及很多木馬、蠕蟲和間諜軟件會在受感染的系統(tǒng)中開啟 并偵聽某個(gè)端口,允許遠(yuǎn)程惡意用戶來對該系統(tǒng)進(jìn)行遠(yuǎn)程操控;
某些情況下,病毒還會自動連接到某IRC站點(diǎn)某頻道中,使得該頻道中特定的惡意用戶遠(yuǎn)程訪問受感染的計(jì)算機(jī)。
信息收集特性
QQ密碼和聊天記錄;
網(wǎng)絡(luò)游戲帳號密碼;
網(wǎng)上銀行帳號密碼;
用戶網(wǎng)頁瀏覽記錄和上網(wǎng)習(xí)慣;
自身隱藏特性
多數(shù)病毒會將自身文件的屬性設(shè)置為“隱藏”、“系統(tǒng)”和“只讀”,更有一些病毒會通過修改注冊表,從而修改用戶對系統(tǒng)的文件夾訪問權(quán)限、顯示權(quán)限等,以使病毒更加隱蔽不易被發(fā)現(xiàn)。
文件感染特性
病毒會將惡意代碼插入到系統(tǒng)中正常的可執(zhí)行文件中,使得系統(tǒng)正常文件被破壞而無法運(yùn)行,或使系統(tǒng)正常文件感染病毒而成為病毒體;
有的文件型病毒會感染系統(tǒng)中其他類型的文件。
Wannacry就是一種典型的文件型病毒,它分為兩部分,一部分是蠕蟲部分,利用windows的“永恒之藍(lán)”漏洞進(jìn)行網(wǎng)絡(luò)傳播。一部分是勒索病毒部分,當(dāng)計(jì)算機(jī)感染wannacry之后,勒索病毒部分就會自動安裝并且加密計(jì)算機(jī)中包括音頻、圖像、文檔等各種類型的文件。與此同時(shí)彈出勒索框進(jìn)行勒索。
網(wǎng)絡(luò)攻擊特性
木馬和蠕蟲病毒會修改計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置,使該計(jì)算機(jī)無法訪問網(wǎng)絡(luò);木馬和蠕蟲還會向網(wǎng)絡(luò)中其他計(jì)算機(jī)攻擊、發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò),甚至通過散布虛假網(wǎng)關(guān)地址的廣播包來欺騙網(wǎng)絡(luò)中其他計(jì)算機(jī),從而使得整個(gè)網(wǎng)絡(luò)癱瘓。
愛蟲病毒是一種利用Windows outlook郵件系統(tǒng)傳播的蠕蟲病毒,將自己偽裝成一封情書,郵件主題設(shè)置為“I LOVE YOU”,誘使受害者打開,由此得名。當(dāng)愛蟲病毒運(yùn)行后迅速找到郵箱通信簿里的50個(gè)聯(lián)系人再進(jìn)行發(fā)送傳播。傳播速度非常之快,致使大量電子郵件充斥了整個(gè)網(wǎng)絡(luò),不僅會導(dǎo)致郵件服務(wù)器崩潰,也會讓網(wǎng)絡(luò)受影響變慢。從而達(dá)到攻擊網(wǎng)絡(luò)的目的。
病毒威脅場景
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-FXv6gqma-1663161949336)(.\安全防御圖片\病毒威脅場景)]
病毒一般是以文件為載體進(jìn)行傳播的。
病毒傳播途徑
電子郵件
HTML正文可能被嵌入惡意腳本;
郵件附件攜帶病毒壓縮文件;
利用社會工程學(xué)進(jìn)行偽裝,
增大病毒傳播機(jī)會;快捷傳播特性。
網(wǎng)絡(luò)共享
病毒會搜索本地網(wǎng)絡(luò)中存在的共享,包括默認(rèn)共享,如ADMIN、IPC、IPC、IPC、E、D、D、D、C$;
通過空口令或弱口令猜測,獲得完全訪問權(quán)限;
病毒自帶口令猜測列表;
將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中;
通常以游戲、CDKEY等相關(guān)名字命名。
P2P共享軟件
將自身復(fù)制到P2P共享文件夾;
通常以游戲,CDKEY等相關(guān)名字命名;
通過P2P軟件共享給網(wǎng)絡(luò)用戶;
利用社會工程學(xué)進(jìn)行偽裝,誘使用戶下載。
系統(tǒng)漏洞
由于操作系統(tǒng)固有的一些設(shè)計(jì)缺陷,導(dǎo)致被惡意用戶通過畸形的方式利用后,可執(zhí)行任意代
碼。
病毒往往利用系統(tǒng)漏洞進(jìn)入系統(tǒng),達(dá)到傳播的目的。
一些大家熟知的漏洞:
微軟IIS漏洞
快捷方式文件解析漏洞
RPC遠(yuǎn)程執(zhí)行漏洞
打印機(jī)后臺程序服務(wù)漏洞
廣告軟件/灰色軟件
灰色軟件是指不被認(rèn)為是病毒木馬,但對用戶的計(jì)算機(jī)會造成負(fù)面影響的軟件。比如說廣告軟件,它們有時(shí)候是由用戶主動安裝,更多的是與其他正常軟件進(jìn)行綁定而被安裝。
其他
網(wǎng)頁感染;
與正常軟件捆綁;
用戶直接運(yùn)行病毒程序;
由其他惡意程序釋放。
惡意代碼的免殺技術(shù)
惡意代碼希望能順利繞過殺毒軟件與防火墻,在受害者的計(jì)算機(jī)中長期隱藏下去,并能在必要的時(shí)候向攻擊者提供有用的信息。
免殺技術(shù)又稱為免殺毒(Anti Anti- Virus)技術(shù),是防止惡意代碼免于被殺毒設(shè)備查殺的技術(shù)。
主流免殺技術(shù)如下∶
修改文件特征碼
修改內(nèi)存特征碼
行為免查殺技術(shù)
原理
免殺的最基本思想就是破壞特征,這個(gè)特征有可能是特征碼,有可能是行為特征,只要破壞了病毒與木馬所固有的特征,并保證其原有功能沒有改變,一次免殺就能完成了。
特征碼就是反病毒軟件用于判斷文件是否帶病毒的一段獨(dú)一無二的代碼,這些特征碼在不同的反病毒軟件的病毒庫中不盡相同。
特征碼就是一種只在病毒或木馬文件內(nèi)才有的獨(dú)一無二的特征,它或是一段字符,或是在特定位置調(diào)用的一個(gè)函數(shù)。總之,如果某個(gè)文件具有這個(gè)特征碼,那反病毒軟件就會認(rèn)為它是病毒。反過來,如果將這些特征碼從病毒、木馬的文件中抹去或破壞掉,那么反病毒軟件就認(rèn)為這是一個(gè)正常文件了。
文件免殺原理
黑客們研究木馬免殺的最終目標(biāo)就是在保證原文件功能正常的前提下,通過一定的更改,使得原本會被查殺的文件免于被殺。
要達(dá)到不再被殺的目的方法有很多種,其中最直接的方法就是讓反病毒軟件停止工作,或使病毒木馬“變”為一個(gè)正常的文件。
然而如何使一個(gè)病毒或木馬變成一個(gè)正常文件,對于黑客們來說其實(shí)是一個(gè)比較棘手的問題,不過只要學(xué)會了一種免殺原理,其他的免殺方案也就觸類旁通了。
改特征碼免殺原理
所謂的特征碼,我們可以將其理解為反病毒軟件的黑名單。黑客們顯然無法將木馬從反病毒軟件的黑名單中刪除,所以他們要讓病毒改頭換面!例如原來黑名單中有“灰鴿子”這么一款木馬,黑客們將其改頭換面后不叫灰鴿子了,比如叫“白鴿子”!當(dāng)然,這只是一個(gè)例子,現(xiàn)實(shí)中僅僅依靠改名是騙不了反病毒軟件的。
就目前的反病毒技術(shù)來講,更改特征碼從而達(dá)到免殺的效果事實(shí)上包含著兩種思想。
一種思想是改特征碼,這也是免殺的最初方法。例如一個(gè)文件在某一個(gè)地址內(nèi)有“灰鴿子上線成功!”這么一句話,表明它就是木馬,只要將相應(yīng)地址內(nèi)的那句話改成別的就可以了,如果是無關(guān)痛癢的,直接將其刪掉也未嘗不可。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-Sr3edQw6-1663161949336)(.\安全防御圖片\改特征碼免殺原理1)]
第二種是針對目前推出的校驗(yàn)和查殺技術(shù)提出的免殺思想,它的原理雖然仍是特征碼,但是已經(jīng)脫離純粹意義上特征碼的概念,不過萬變不離其宗。其實(shí)校驗(yàn)和也是根據(jù)病毒文件中與眾不同的區(qū)塊計(jì)算出來的,如果一個(gè)文件某個(gè)特定區(qū)域的校驗(yàn)和符合病毒庫中的特征,那么反病毒軟件就會報(bào)警。所以如果想阻止反病毒軟件報(bào)警,只要對病毒的特定區(qū)域進(jìn)行一定的更改,就會使這一區(qū)域的校驗(yàn)和改變,從而達(dá)到欺騙反病毒軟件的目的,如圖所示。這就是在定位特征碼時(shí),有時(shí)候定位了兩次卻得出不同結(jié)果的原因所在。
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-h5oSSFAL-1663161949336)(.\安全防御圖片\改特征碼免殺原理2)]
花指令免殺原理
花指令其實(shí)就是一段毫無意義的指令,也可以稱之為垃圾指令。花指令是否存在對程序的執(zhí)行結(jié)果沒有影響,所以它存在的唯一目的就是阻止反匯編程序,或?qū)Ψ磪R編設(shè)置障礙。然而這種障礙對于反病毒軟件來說同樣也是致命的,如果黑客們的花指令添加得足夠高明,就可以使木馬很輕松地逃脫查殺!但是,為什么它會影響反病毒軟件的判斷呢?通過前面的學(xué)習(xí)大家都已經(jīng)知道,大多數(shù)反病毒軟件是靠特征碼來判斷文件是否有毒的,而為了提高精度,現(xiàn)在的特征碼都是在一定偏移量限制之內(nèi)的,否則會對反病毒軟件的效率產(chǎn)生嚴(yán)重的影響!而在黑客們?yōu)橐粋€(gè)程序添加一段花指令之后,程序的部分偏移會受到影響,如果反病毒軟件不能識別這段花指令,那么它檢測特征碼的偏移量會整體位移一段位置,自然也就無法正常檢測木馬了。當(dāng)然,這也僅僅是針對第一代掃描技術(shù)的方法,不過即便是反病毒軟件采用虛擬機(jī)分析、校驗(yàn)和掃描或啟發(fā)式分析,花指令同樣會起到一定的作用,針對每種檢測方法的不同,花指令所起到的作用亦不相同。它最根本的思想就是擾亂程序運(yùn)行順序,并為破解者(反病毒人員)設(shè)下陷阱。而如果花指令可以成功保護(hù)軟件真正代碼不被輕易反匯編,那么對于反病毒軟件來說,它所檢測的自然也就不是木馬文件中真正的內(nèi)容了。
加殼免殺原理
說起軟件加殼,簡單地說,軟件加殼其實(shí)也可以稱為軟件加密(或軟件壓縮),只是加密(或壓縮)的方式與目的不一樣罷了。一般的加密是為了防止陌生人隨意訪問我們的數(shù)據(jù)。但是加殼就不一樣了,它的目的是減少被加殼應(yīng)用程序的體積,或避免讓程序遭到不法分子的破壞與利用,例如最常見的共享軟件,如果不對軟件加以保護(hù),那么這個(gè)軟件就會很輕易地被破解,也就沒有人去向軟件的作者購買注冊碼了。既然加殼后的軟件還能正常運(yùn)行,那么這些殼究竟將軟件的哪些部分加密了呢?其實(shí),我們可以從“加 殼”這個(gè)詞語本身著手,為什么不叫加密、防盜或其他的名稱,而偏偏稱其為加殼呢?我們可以將未加殼的軟件想象成美味的食物,太多的人想要得到它,想借此大飽口福!于是食物的主人就將其保存了起來,放到一個(gè)只有他能打開的硬殼里,這樣就可以避免其他人打它的主意。而當(dāng)自己的客人到來時(shí),他可以很輕松地打開這個(gè)硬殼,供客人品嘗……上面所說殼就是我們加的保護(hù),它并不會破壞里面的程序,當(dāng)我們運(yùn)行這個(gè)加殼的程序時(shí),系統(tǒng)首先會運(yùn)行程序的“殼”,然后由殼將加密的程序逐步還原到內(nèi)存中,最后運(yùn)行程序。這樣一來,在我們看來,似乎加殼之后的程序并沒有什么變化,然而它卻達(dá)到了加密的目的,這就是殼的作用。現(xiàn)在,我們再回頭看看反病毒軟件,如果說加殼之后的文件我們都無法將其還原,那么反病毒軟件自然也就“看”不懂了。加密后的文件結(jié)構(gòu)已經(jīng)產(chǎn)生了天翻地覆的變化,原有的特征碼早已不知去處,反病毒軟件自然也就會認(rèn)為它是一個(gè)正常的文件了。
由以上3種方法可知,基于文件的免殺基本上就是破壞原有程序的特征,無論是直接修改特征碼還是加上一段花指令,抑或是將其加殼,其最后的目的只有一個(gè),那就是打亂或加密可執(zhí)行文件內(nèi)部的數(shù)據(jù)。
內(nèi)存免殺原理
自從文件免殺的方法在黑客圈子內(nèi)部流傳開后,反病毒公司將這場博弈升級到了另一個(gè)層次—內(nèi)存中。
內(nèi)存在計(jì)算機(jī)安全領(lǐng)域中向來就是兵家必爭之地,從信息截取、軟件破解,到內(nèi)核Hook、修改內(nèi)核,再到緩沖區(qū)溢出等,其主要戰(zhàn)場都在內(nèi)存中,由此可見內(nèi)存是一個(gè)多么復(fù)雜而又變幻莫測的地方。之所以說內(nèi)存復(fù)雜,是因?yàn)橐话闱闆r下內(nèi)存是數(shù)據(jù)進(jìn)入CPU之前的最后一個(gè)可控的物理存儲設(shè)備。在這里,數(shù)據(jù)往往都已經(jīng)被處理成可以直接被CPU執(zhí)行的形式了,像我們前面講的加殼免殺原理在這里也許
就會失效了。
我們知道,CPU不可能是為某一款加殼軟件而特別設(shè)計(jì)的,因此某個(gè)軟件被加殼后的可執(zhí)行代碼CPU是讀不懂的。這就要求在執(zhí)行外殼代碼時(shí),要先將原軟件解密,并放到內(nèi)存里,然后再通知CPU執(zhí)行。
如果是這樣,那么從理論上來講任何被加密的可執(zhí)行數(shù)據(jù)在被CPU執(zhí)行前,肯定是會被解密的,否則CPU就無法執(zhí)行。也正是利用這個(gè)特點(diǎn),反病毒公司便在這里設(shè)了一個(gè)關(guān)卡,這就使得大部分運(yùn)用原有文件免殺技巧處理過的病毒木馬紛紛被殺。
其實(shí),與上面這個(gè)原因相比較,反病毒公司選擇掃描內(nèi)存更多是從戰(zhàn)略角度出發(fā)的。因?yàn)閷⒁粓?zhí)行的程序肯定比未執(zhí)行程序的威脅更大。即便是再厲害的病毒木馬,只要能保證它不被執(zhí)行,它在用戶的計(jì)算機(jī)中最多也就算是一個(gè)垃圾文件,就不會對用戶及網(wǎng)絡(luò)構(gòu)成任何威脅。但是黑客們又是如何對抗內(nèi)存查殺的呢?其實(shí)套路與文件查殺一樣,因?yàn)闅⒍拒浖膬?nèi)存掃描原理與硬盤上的文件掃描原理都是一樣的,都是通過特征碼比對的,只不過為了制造迷惑性,大多數(shù)反病毒公司的內(nèi)存掃描與文件掃描采用的不是同一套特征碼,這就導(dǎo)致了一個(gè)病毒木馬同時(shí)擁有兩套特征碼,必須要將它們?nèi)科茐牡舨拍芏氵^反病毒軟件的查殺。因此,除了加殼外,黑客們對抗反病毒軟件的基本思路沒變。而對于加殼,只要加一個(gè)會混淆程序原有代碼的“猛”殼,其實(shí)還是能躲過殺毒軟件的查殺的。
行為免殺原理
當(dāng)文件查殺與內(nèi)存查殺都相繼失效后,反病毒廠商便提出了行為查殺的概念,從最早的“文件防火墻”發(fā)展到后來的“主動防御”,再到現(xiàn)在的部分“云查殺”,其實(shí)都應(yīng)用了行為查殺技術(shù)。而對于行為查殺,黑客們會怎樣破解呢?我們都知道一個(gè)應(yīng)用程序之所以被稱為病毒或者木馬,就是因?yàn)樗鼈儓?zhí)行后的行為與普通軟件不一樣。因此從2007年行為查殺相繼被大多數(shù)反病毒公司運(yùn)用成熟后,黑客免殺技術(shù)這個(gè)領(lǐng)域的門檻也就一下提高到了頂層。
反病毒公司將這場博弈徹底提高到了軟件領(lǐng)域最深入的一層—系統(tǒng)底層,這就使得黑客們需要掌握的各種高精尖知識爆炸式增長,這一舉動將大批的黑客技術(shù)的初學(xué)者擋在了門外。
然而由于初期的行為查殺剛剛興起,很多反病毒產(chǎn)品的主動防御模塊把關(guān)不嚴(yán),應(yīng)用的技術(shù)也并不先進(jìn),從而導(dǎo)致了一大批內(nèi)核級病毒木馬的出現(xiàn)。而隨著技術(shù)的逐漸升溫,攻防雙方的技術(shù)最后變得勢均力敵,反病毒公司得益于計(jì)算機(jī)領(lǐng)域先入為主的定律,使得黑客們從這時(shí)開始陷入被動。因此黑客免殺技術(shù)發(fā)展到現(xiàn)在,已經(jīng)出現(xiàn)了向滲透入侵等領(lǐng)域靠攏的趨勢,黑客們將能躲過主動防御的方法稱為0Day,并且越來越多的木馬選擇使用本地緩沖區(qū)溢出等攻擊手法來突破主動防御。但是反病毒愛好者們也不能因此麻痹大意,黑客領(lǐng)域中的任何技術(shù)從來都是靠思路與技術(shù)這兩條腿走路的,免殺技術(shù)也不例外。黑客技術(shù)的初學(xué)者仍然想出了非常多的方法,有效地突破了現(xiàn)在的主動防御與云查殺。
反病毒技術(shù)
單機(jī)反病毒
檢測工具
單機(jī)反病毒可以通過安裝殺毒軟件實(shí)現(xiàn),也可以通過專業(yè)的防病毒工具實(shí)現(xiàn)。
病毒檢測工具用于檢測病毒、木馬、蠕蟲等惡意代碼,有些檢測工具同時(shí)提供修復(fù)的功能。
常見的病毒檢測工具包括:
TCP View
Regmon
Filemon
Process Explorer
IceSword
Process Monitor
Wsyscheck
SREng
Wtool
Malware Defender
Process Explorer是一款增強(qiáng)型任務(wù)管理器。可以查看進(jìn)程的完整路徑,識別進(jìn)程,查看進(jìn)程的完整信
息,關(guān)閉進(jìn)程等。
殺毒軟件
殺毒軟件主要通過一些引擎技術(shù)來實(shí)現(xiàn)病毒的查殺,比如以下主流技術(shù):
特征碼技術(shù)
殺毒軟件存在病毒特征庫,包含了各種病毒的特征碼,特征碼是一段特殊的程序,從病
毒樣本中抽取而來,與正常的程序不太一樣。把被掃描的信息與特征庫進(jìn)行對比,如果匹配到了特征庫,則認(rèn)為該被掃描信息為病毒。
行為查殺技術(shù)
病毒在運(yùn)行的時(shí)候會有各種行為特征,比如會在系統(tǒng)里增加有特殊后綴的文件,監(jiān)控用
戶行為等,當(dāng)檢測到某被檢測信息有這些特征行為時(shí),則認(rèn)為該被檢測信息為病毒。
常見的殺毒軟件舉例:瑞星金山毒霸360安全軟件卡巴斯基賽門鐵克Mcafee
網(wǎng)關(guān)反病毒
在以下場合中,通常利用反病毒特性來保證網(wǎng)絡(luò)安全:
內(nèi)網(wǎng)用戶可以訪問外網(wǎng),且經(jīng)常需要從外網(wǎng)下載文件。
內(nèi)網(wǎng)部署的服務(wù)器經(jīng)常接收外網(wǎng)用戶上傳的文件。
FW作為網(wǎng)關(guān)設(shè)備隔離內(nèi)、外網(wǎng),內(nèi)網(wǎng)包括用戶PC和服務(wù)器。內(nèi)網(wǎng)用戶可以從外網(wǎng)下載文件,外網(wǎng)用戶
可以上傳文件到內(nèi)網(wǎng)服務(wù)器。為了保證內(nèi)網(wǎng)用戶和服務(wù)器接收文件的安全,需要在FW上配置反病毒功
能。
在FW上配置反病毒功能后,正常文件可以順利進(jìn)入內(nèi)部網(wǎng)絡(luò),包含病毒的文件則會被檢測出來,并被采
取阻斷或告警等手段進(jìn)行干預(yù)。
一、結(jié)合以下問題對當(dāng)天內(nèi)容進(jìn)行總結(jié)
總結(jié)
以上是生活随笔為你收集整理的安全防御——防病毒网关的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: (一文读懂社交网络分析(附应用、前沿、学
- 下一篇: Exchange反垃圾防病毒网关——Se