防网关病毒的知识
1. 什么是惡意軟件?
惡意軟件官方的一個定義:惡意軟件 (Malware) 從“惡意”(malicious) 和“軟件”(software) 這兩個詞合并而來,是一個通用術語,可以指代病毒、蠕蟲、特洛伊木馬、勒索軟件、間諜軟件、廣告軟件和其他類型的有害軟件。惡意軟件的主要區別在于它必須是故意為惡;任何無意間造成損害的軟件均不視為惡意軟件。
所以說惡意軟件就是病毒的意思。
2. 惡意軟件有哪些特征?
惡意軟件的特征:是一種基于硬件和操作系統的程序,具有感染和破壞能力,這與病毒程序的結構有關。病毒攻擊的宿主程序是病毒的棲身地,它是病毒傳播的目的地,又是下一-次感染的出發點。
計算機病毒感染的一般過程為:當計算機運行染毒的宿主程序時,?病毒奪取控制權;尋找感染的突破口;將病毒程序嵌入感染目標中。計算機病毒的感染過程與生物學病毒的感染過程非常相似,它寄生在宿主程序中,進入計算機并借助操作系統和宿主程序的運行,復制自身、大量繁殖。
3. 惡意軟件的可分為那幾類?
按照傳播方式分類:病毒的傳播方式,感染文件傳播,必須寄生,病毒不是一個獨立的程序,他必須依賴于寄主運行。
典型的病毒:熊貓燒香,蠕蟲,木馬。
按照功能分類:勒索,挖礦,后門
4. 惡意軟件的免殺技術有哪些?
惡意軟件的免殺技術主要有:三種,1、文件免殺? ?2、內存免殺? ?3、行為免殺
文件免殺:
黑客們研究木馬免殺的最終目標就是在保證原文件功能正常的前提下,通過一定的更改,使得原本會被查殺的文件免于被殺。
要達到不再被殺的目的方法有很多種,其中最直接的方法就是讓反病毒軟件停止工作,或使病毒木馬”變”為一個正常的文件。
然而如何使一個病毒或木馬變成一?個正常文件,?對于黑客們來說其實是一個比較棘手的問題,?不過只要學會了-?-種免殺原理,其他的免殺方案也就觸類旁通了。
內存免殺:
自從文件免殺的方法在黑客圈子內部流傳開后,反病毒公司將這場博弈升級到了另一個層次-?_內存中。
內存在計算機安全領域中向來就是兵家必爭之地,從信息截取、軟件破解,到內核Hook、?修改內核,再到緩沖區溢出等,其主要戰場都在內存中,由此可見內存是一個多么復雜而又變幻莫測的地方。
之所以說內存復雜,是因為-般情況下內存是數據進入CPU之前的最后一個可控的物理存儲設備。?在這里,數據往往都已經被處理成可以直接被CPU執行的形式了,像我們前面講的加殼免殺原理在這里也許就會失效了。
我們知道,CPU不可能是為某一款加殼軟件而特別設計的,?因此某個軟件被加殼后的可執行代碼CPU是讀不懂的。這就要求在執行外殼代碼時,要先將原軟件解密,并放到內存里,然后再通知CPU執行。
如果是這樣,那么從理論上來講任何被加密的可執行數據在被CPU執行前,肯定是會被解密的,否則CPU就無法執行。也正是利用這個特點,反病毒公司便在這里設了一個關卡.這就使得大部分運用原有文件免殺技巧處理過的病
行為免殺:
當文件查殺與內存查殺都相繼失效后,反病毒廠商便提出了行為查殺的概念,從最早的“文件防火墻”發展到后來的“主動防御",再到現在的部分”云查殺”,其實都應用了行為查殺技術。
而對于行為查殺,黑客們會怎樣破解呢?我們都知道一個應用程序之?所以被稱為病毒或者木馬,就是因為它們執行后的行為與普通軟件不-樣。
因此從2007年行為查殺相繼被大多數反病毒公司運用成熟后,黑客免殺技術這個領域的門檻也就一下提高到了頂層。
反病毒公司將這場博弈徹底提高到了軟件領域最深入的一-層一系統底層,?這就使得黑客們需要掌握的各種高精尖知識爆炸式增長,這-舉動將大批的黑客技術的初學者擋在了門外。
5. 反病毒技術有哪些?
?單機反病毒可以通過安裝殺毒軟件實現,也可以通過專業的防病毒工具實現。
病毒檢測工具用于檢測病毒、馬、蠕蟲等惡意代碼,有些檢測工具同時提供修復的功能。常見的病毒檢測工具包括:
。TCP?View
。Regmon
。Filemon
。Process?Explorer
。lceSword
。Process?Monitor
。Wsyscheck
。SREng
。Wtool
。Malware?Defender
6. 反病毒網關的工作原理是什么?
通過提取PEI(Portable?Execute;Windows系統下可移植的執行體,包括exe、dl.?"sys等文件類型)文件頭部特征判斷文件是否是病毒文件。提取PE文件頭部數據,這些數據通常帶有某些特殊操作,并且采用hash算法生成文件頭部簽名,與反病毒首包規則簽名進行比較,若能匹配,則判定為反病毒。
?
7. 反病毒網關的工作過程是什么?
?
8. 反病毒網關的配置流程是什么?
?首先關閉防火墻的默認配置確定拓撲圖可以互達:
第二步去做策略:
記住要配置反病毒:
然后去看反病毒:
?在全局里面配置一些反病毒方式:?
?試驗內容:
檢查的對象是smtp和pop3,然后病毒列外將誤殺的id放行就行。
?
?下載文件的反病毒:
上傳:?
總結
- 上一篇: 集合的一些练习题1(Collection
- 下一篇: 校园创业计划书