目錄

一、思考?

二、實(shí)驗(yàn)

1、實(shí)驗(yàn)拓?fù)?/p>

2、配置過(guò)程（網(wǎng)頁(yè)端配置）

三、總結(jié)

1. 什么是惡意軟件？

2. 惡意軟件有哪些特征？

3. 惡意軟件的可分為那幾類(lèi)？

4. 惡意軟件的免殺技術(shù)有哪些？

5. 反病毒技術(shù)有哪些？

6. 反病毒網(wǎng)關(guān)的工作原理是什么？

7. 反病毒網(wǎng)關(guān)的工作過(guò)程是什么？

8. 反病毒網(wǎng)關(guān)的配置流程是什么？?

---

一、思考?

1. 什么是惡意軟件？
2. 惡意軟件有哪些特征？
3. 惡意軟件的可分為那幾類(lèi)？
4. 惡意軟件的免殺技術(shù)有哪些？
5. 反病毒技術(shù)有哪些？
6. 反病毒網(wǎng)關(guān)的工作原理是什么？
7. 反病毒網(wǎng)關(guān)的工作過(guò)程是什么？
8. 反病毒網(wǎng)關(guān)的配置流程是什么？

二、實(shí)驗(yàn)

1、實(shí)驗(yàn)拓?fù)?/h2>

2、配置過(guò)程（網(wǎng)頁(yè)端配置）

???

三、總結(jié)

1. 什么是惡意軟件？

?定義：指有破壞目的的惡意行為的軟件，可以指代例如病毒、蠕蟲(chóng)、特洛伊木馬、勒索軟件、間諜軟件、廣告軟件和其他類(lèi)型的有害軟件，惡意軟件的主要區(qū)別就是它符合“故意而為之”，任何無(wú)惡意破壞目的的軟件均不屬于惡意軟件；

目的：惡意軟件的總體目標(biāo)是破壞設(shè)備的正常運(yùn)行，例如未經(jīng)許可在設(shè)備上顯示廣告，或者獲得計(jì)算機(jī) root 訪問(wèn)權(quán)限。惡意軟件可能試圖向用戶(hù)進(jìn)行自我掩飾，從而暗自收集信息，或者可能鎖定系統(tǒng)和截留數(shù)據(jù)以進(jìn)行勒索；

2. 惡意軟件有哪些特征？

特征

（1）強(qiáng)制安裝：指未明確提示用戶(hù)或未經(jīng)用戶(hù)許可，在用戶(hù)計(jì)算機(jī)或其他終端上安裝軟件的行為。

（2）卸載困難：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動(dòng)程序的行為。

（3）瀏覽器劫持：指未經(jīng)用戶(hù)許可，修改用戶(hù)瀏覽器或其他相關(guān)設(shè)置，迫使用戶(hù)訪問(wèn)特定網(wǎng)站或?qū)е掠脩?hù)無(wú)法正常上網(wǎng)的行為。

（4）廣告彈出：指未明確提示用戶(hù)或未經(jīng)用戶(hù)許可，利用安裝在用戶(hù)計(jì)算機(jī)或其他終端上的軟件彈出廣告的行為。

（5）惡意收集用戶(hù)信息：指未明確提示用戶(hù)或未經(jīng)用戶(hù)許可，惡意收集用戶(hù)信息的行為。

（6）惡意卸載：指未明確提示用戶(hù)、未經(jīng)用戶(hù)許可，或誤導(dǎo)、欺騙用戶(hù)卸載其他軟件的行為。

（7）惡意捆綁：指在軟件中捆綁已被認(rèn)定為惡意軟件的行為。

（8）其他侵害用戶(hù)軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。

3. 惡意軟件的可分為那幾類(lèi)？

類(lèi)型

（1）病毒：病毒是一種可以嵌入到操作系統(tǒng)或軟件中的惡意程序；受害者需要運(yùn)行操作系統(tǒng)或打開(kāi)受感染的文件才能受到影響；（屬于被動(dòng)類(lèi)型）

（2）蠕蟲(chóng)：蠕蟲(chóng)病毒與普通病毒的區(qū)別在于蠕蟲(chóng)會(huì)自我復(fù)制并通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，因此用戶(hù)無(wú)需運(yùn)行任何軟件就能成為受害者，只要連接到受感染的網(wǎng)絡(luò)就會(huì)中招；（屬于主動(dòng)類(lèi)型）

（3）特洛伊木馬：隱藏在一些有用的軟件中，誘使用戶(hù)安裝（比如盜版的免付費(fèi)軟件中感染概率很大）

（4）間諜軟件：間諜軟件用于窺探用戶(hù)的行為。間諜軟件可用于監(jiān)視用戶(hù)的 Web 瀏覽活動(dòng)，向用戶(hù)顯示不想要的廣告。一些間諜軟件使用所謂的“鍵盤(pán)記錄器”來(lái)記錄用戶(hù)的擊鍵，從而使攻擊者能夠訪問(wèn)包括用戶(hù)名和密碼在內(nèi)的敏感信息；

（5）勒索軟件：這種軟件可以對(duì)文件乃至計(jì)算機(jī)或網(wǎng)絡(luò)上的整個(gè)操作系統(tǒng)進(jìn)行加密，并讓它們保持加密狀態(tài)，直到向攻擊者支付了贖金為止。隨著比特幣和其他加密貨幣的興起，勒索軟件攻擊泛濫成災(zāi)，因?yàn)楣粽呖梢?span style="background-color:#fbd4d0;">匿名接受貨幣并且最大程度地降低被逮捕的風(fēng)險(xiǎn)；

（6）rootkit：Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息，比較多見(jiàn)到的是Rootkit一般都和木馬、后門(mén)等其他惡意程序結(jié)合使用；

4. 惡意軟件的免殺技術(shù)有哪些？

查殺技術(shù)原理

（1）檢測(cè)特征碼

殺毒軟件都有著一套特征庫(kù)，依靠檢索程序代碼是否和庫(kù)中特征碼是否吻合來(lái)判斷某段代碼是否屬于病毒。

（2）啟發(fā)式惡意軟件檢測(cè)

程序的特征和行為與病毒程序類(lèi)似，其匹配程度達(dá)到一定值就可以認(rèn)為該程序是病毒程序。

（3）基于行為檢測(cè)

與啟發(fā)式檢測(cè)類(lèi)似，只是單純依靠監(jiān)測(cè)程序行為來(lái)作為標(biāo)準(zhǔn)。通過(guò)監(jiān)視惡意代碼運(yùn)行過(guò)程，如利用系統(tǒng)監(jiān)視工具觀察惡意代碼運(yùn)行過(guò)程時(shí)系統(tǒng)環(huán)境的變化，或通過(guò)跟蹤惡意代碼執(zhí)行過(guò)程使用的系統(tǒng)函數(shù)和指令特征分析惡意代碼功能，如出現(xiàn)惡意行為，則屬于惡意代碼。?

免殺的含義

免殺就是避免查殺，又叫免殺毒技術(shù)，是反病毒，反間諜的對(duì)立面，是一種能使得惡意軟件不被殺毒軟件查殺，使之共存的軟件；

免殺技術(shù)

<1>文件免殺

（1）改變特征碼：在不影響程序功能的情況下，依靠分片等方法嘗試找出特征碼區(qū)域，并對(duì)該區(qū)域代碼進(jìn)行編碼（直接修改特征碼的十六進(jìn)制法、修改字符串大小寫(xiě)法、等價(jià)替換法、指令順序調(diào)換法、通用跳轉(zhuǎn)法）；

（2）加花：加入一些花里胡哨（混亂）的指令來(lái)迷惑殺軟，讓殺軟檢測(cè)不到特征碼，但是一些厲害的殺軟還可以進(jìn)行識(shí)別查殺的；

（3）加殼：給含有惡意軟件特征的程序添加包裝的保護(hù)殼，使其無(wú)法進(jìn)行逆向比對(duì)病毒庫(kù)中的特征碼。但運(yùn)行時(shí)需要載入內(nèi)存，在載入內(nèi)存之時(shí)，需要先自我脫殼才能運(yùn)行，因此也能被查殺；

<2>內(nèi)存免殺

<3>行為免殺---云查殺（預(yù)測(cè)、感知、查殺惡意行為）

5. 反病毒技術(shù)有哪些？

（1）單機(jī)反病毒

單機(jī)反病毒可以通過(guò)安裝殺毒軟件實(shí)現(xiàn)也可通過(guò)專(zhuān)業(yè)的防病毒工具實(shí)現(xiàn)

防毒工具：TCP View 、Regmon、Filemon、Process Explorer、Process Monitor等

殺毒軟件：瑞星、金山毒霸、360安全軟件、卡巴斯基、賽門(mén)鐵克Symantec、Mcafee等

（2）網(wǎng)關(guān)反病毒

通過(guò)在防火墻配置反病毒功能來(lái)確保正常交互的執(zhí)行，并識(shí)別包含病毒的文件后采取阻斷或告警等方法進(jìn)行干預(yù)

通常在下面的情況下需要使用網(wǎng)關(guān)反病毒技術(shù)：

• 內(nèi)網(wǎng)用戶(hù)可以訪問(wèn)外網(wǎng)，且經(jīng)常需要從外網(wǎng)下載文件
• 內(nèi)網(wǎng)部署的服務(wù)器經(jīng)常接收外網(wǎng)用戶(hù)上傳的文件

6. 反病毒網(wǎng)關(guān)的工作原理是什么？

首包檢測(cè)技術(shù)

• 通過(guò)提取PE（Portable Execute;Windows系統(tǒng)下可移植的執(zhí)行體，包括exe、dll、“sys等文件類(lèi)型）文件頭部特征判斷文件是否是病毒文件。提取PE文件頭部數(shù)據(jù)，這些數(shù)據(jù)通常帶有某些特殊操作，并且采用hash算法生成文件頭部簽名，與反病毒首包規(guī)則簽名進(jìn)行比較，若能匹配，則判定為病毒

啟發(fā)式檢測(cè)技術(shù)

• 啟發(fā)式檢測(cè)是指對(duì)傳輸文件進(jìn)行反病毒檢測(cè)時(shí)，發(fā)現(xiàn)該文件的程序存在潛在風(fēng)險(xiǎn)，極有可能是病毒文件。比如說(shuō)文件加殼（比如加密來(lái)改變自身特征碼數(shù)據(jù)來(lái)躲避查殺），當(dāng)這些與正常文件不一致的行為達(dá)到一定的閥值，則認(rèn)為該文件是病毒
• 啟發(fā)式依靠的是"自我學(xué)習(xí)的能力"，像程序員一樣運(yùn)用經(jīng)驗(yàn)判斷擁有某種反常行為的文件為病毒文件
• 啟發(fā)式檢測(cè)的響應(yīng)動(dòng)作與對(duì)應(yīng)協(xié)議的病毒檢測(cè)的響應(yīng)動(dòng)作相同。啟發(fā)式檢測(cè)可以提升網(wǎng)絡(luò)環(huán)境的安全性，消除安全隱患，但該功能會(huì)降低病毒檢測(cè)的性能，且存在誤報(bào)風(fēng)險(xiǎn)，因此系統(tǒng)默認(rèn)情況下關(guān)閉該功能。啟動(dòng)病毒啟發(fā)式檢測(cè)功能∶heuristic-detect enable?

文件信譽(yù)檢測(cè)技術(shù)

• 文件信譽(yù)檢測(cè)是計(jì)算全文MD5，通過(guò)MD5值與文件信譽(yù)特征庫(kù)匹配來(lái)進(jìn)行檢測(cè)。文件信譽(yù)特征庫(kù)里包含了大量的知名的病毒文件的MD5值。華為在文件信譽(yù)檢測(cè)技術(shù)方面主要依賴(lài)于文件信譽(yù)庫(kù)靜態(tài)升級(jí)更新以及與沙箱聯(lián)動(dòng)自學(xué)習(xí)到的動(dòng)態(tài)緩存
• 文件信譽(yù)檢測(cè)依賴(lài)沙箱聯(lián)動(dòng)或文件信譽(yù)庫(kù)

7. 反病毒網(wǎng)關(guān)的工作過(guò)程是什么？

（1）網(wǎng)絡(luò)流量進(jìn)入智能感知引擎后，首先智能感知引擎對(duì)流量進(jìn)行深層分析，識(shí)別出流量對(duì)應(yīng)的協(xié)議類(lèi)型和文件傳輸?shù)姆较颉?

（2）判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測(cè)。

• NGFW支持對(duì)使用以下協(xié)議傳輸?shù)奈募M(jìn)行病毒檢測(cè)。

FTP（File Transfer Protocol）：文件傳輸協(xié)議

HTTP（Hypertext Transfer Protocol）：超文本傳輸協(xié)議

POP3（Post Office Protocol - Version 3）：郵局協(xié)議的第3個(gè)版本

SMTP（Simple Mail Transfer Protocol）：簡(jiǎn)單郵件傳輸協(xié)議

IMAP（Internet Message Access Protocol）：因特網(wǎng)信息訪問(wèn)協(xié)議

NFS（Network File System）：網(wǎng)絡(luò)文件系統(tǒng)

SMB（Server Message Block）：文件共享服務(wù)器

• NGFW支持對(duì)不同傳輸方向上的文件進(jìn)行病毒檢測(cè)。

上傳：指客戶(hù)端向服務(wù)器發(fā)送文件。

下載：指服務(wù)器向客戶(hù)端發(fā)送文件。

（3）判斷是否命中白名單。命中白名單后，FW將不對(duì)文件做病毒檢測(cè)。

• 白名單由白名單規(guī)則組成，管理員可以為信任的域名、URL、IP地址或IP地址段配置白名單規(guī)則，以此提高反病毒的檢測(cè)效率。白名單規(guī)則的生效范圍僅限于所在的反病毒配置文件，每個(gè)反病毒配置文件都擁有自己的白名單。

（4）針對(duì)域名和URL，白名單規(guī)則有以下4種匹配方式：

• 前綴匹配：host-text或url-text配置為“example”的形式，即只要域名或URL的前綴是 “example”就命中白名單規(guī)則。
• 后綴匹配：host-text或url-text配置為“example”的形式，即只要域名或URL的后綴是 “example”就命中白名單規(guī)則。
• 關(guān)鍵字匹配：host-text或url-text配置為“example”的形式，即只要域名或URL中包含 “example”就命中白名單規(guī)則。
• 精確匹配：域名或URL必須與host-text或url-text完全一致，才能命中白名單規(guī)則。

（5）病毒檢測(cè)：

• 智能感知引擎對(duì)符合病毒檢測(cè)的文件進(jìn)行特征提取，提取后的特征與病毒特征庫(kù)中的特征進(jìn)行匹配。如果匹配，則認(rèn)為該文件為病毒文件，并按照配置文件中的響應(yīng)動(dòng)作進(jìn)行處理。如果不匹配，則允許該文件通過(guò)。當(dāng)開(kāi)啟聯(lián)動(dòng)檢測(cè)功能時(shí)，對(duì)于未命中病毒特征庫(kù)的文件還可以上送沙箱進(jìn)行深度檢測(cè)。如果沙箱檢測(cè)到惡意文件，則將惡意文件的文件特征發(fā)送給FW，FW將此惡意文件的特征保存到聯(lián)動(dòng)檢測(cè)緩存。下次再檢測(cè)到該惡意文件時(shí)，則按照配置文件中的響應(yīng)動(dòng)作進(jìn)行處理。
• 病毒特征庫(kù)是由華為公司通過(guò)分析各種常見(jiàn)病毒特征而形成的。該特征庫(kù)對(duì)各種常見(jiàn)的病毒特征進(jìn)行了定義，同時(shí)為每種病毒特征都分配了一個(gè)唯一的病毒ID。當(dāng)設(shè)備加載病毒特征庫(kù)后，即可識(shí)別出特征庫(kù)里已經(jīng)定義過(guò)的病毒。同時(shí)，為了能夠及時(shí)識(shí)別出最新的病毒，設(shè)備上的病毒特征庫(kù)需要不斷地從安全中心平臺(tái)（sec.huawei.com）進(jìn)行升級(jí)。

（6）當(dāng)NGFW檢測(cè)出傳輸文件為病毒文件時(shí)，需要進(jìn)行如下處理：

• 判斷該病毒文件是否命中病毒例外，如果是病毒例外，則允許該文件通過(guò)
• 病毒例外，即病毒白名單。為了避免由于系統(tǒng)誤報(bào)等原因造成文件傳輸失敗等情況的發(fā)生，當(dāng)用戶(hù)認(rèn)為已檢測(cè)到的某個(gè)病毒為誤報(bào)時(shí)，可以將該對(duì)應(yīng)的病毒ID添加到病毒例外，使該病毒
• 規(guī)則失效，如果檢測(cè)結(jié)果命中了病毒例外，則對(duì)該文件的響應(yīng)動(dòng)作即為放行
• 如果不是病毒例外，則判斷該病毒文件是否命中應(yīng)用例外，如果是應(yīng)用例外，則按照應(yīng)用例外的響應(yīng)動(dòng)作（放行、告警和阻斷）進(jìn)行處理
• 應(yīng)用例外可以為應(yīng)用配置不同于協(xié)議的響應(yīng)動(dòng)作，應(yīng)用承載于協(xié)議之上，同一協(xié)議上可以承載多種應(yīng)用
• 由于應(yīng)用和協(xié)議之間存在著這樣的關(guān)系，在配置響應(yīng)動(dòng)作時(shí)也有如下規(guī)定：

如果只配置協(xié)議的響應(yīng)動(dòng)作，則協(xié)議上承載的所有應(yīng)用都繼承協(xié)議的響應(yīng)動(dòng)作。

如果協(xié)議和應(yīng)用都配置了響應(yīng)動(dòng)作，則以應(yīng)用的響應(yīng)動(dòng)作為準(zhǔn)。

• 如果病毒文件既沒(méi)命中病毒例外，也沒(méi)命中應(yīng)用例外，則按照配置文件中配置的協(xié)議和傳輸方向?qū)?yīng)的響應(yīng)動(dòng)作進(jìn)行處理

8. 反病毒網(wǎng)關(guān)的配置流程是什么？?

詳見(jiàn)實(shí)驗(yàn)過(guò)程

總結(jié)

以上是生活随笔為你收集整理的都这麽大了还不快了解防病毒网关？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。