恶意软件及反病毒的一些知识

news2024/12/26 0:00:47

目录标题

      • 什么是恶意软件?
      • 恶意软件的特征
      • 恶意软件可以分为几类?
        • 按照传播方式分类
        • 按照功能分类
      • 恶意软件的免杀技术有哪些?
        • 文件免杀
        • 内存免杀
        • 行为免杀
      • 反病毒技术有哪些?
        • 单击反病毒
        • 网关反病毒
      • 反病毒网关的工作原理
      • 反病毒网关的工作过程是什么?
      • 反病毒网关的配置流程是什么?

什么是恶意软件?

恶意软件是病毒、蠕虫、特洛伊木马以及其他有害计算机程序的总称,并且很早就一直存在。而恶意软件随着时间的失衡不断发展演变,黑客利用它来进行破坏并获取敏感信息。而阻止和打击恶意软件占据了信息安全专业人员的大部分工作时间。

恶意软件的特征

下载特征
很多木马、后门程序间谍软件会自动连接到Internet某web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。
后门特征

  • 后门程序及很多木马、蠕虫和间谍软件会受感染的系统中开启并侦听某个端口。允许远程恶意用户来对该系统进行远程操控;
  • 某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。
    信息收集特性
  • QQ密码和聊天记录;
  • 网络游戏账号密码;
  • 网上银行账号密码;
  • 用户网页浏览记录和上网习惯;
    自身隐藏特性
    多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
    文件感染特性
  • 病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件感染病毒而成为病原体;
  • 有的文件型病毒会感染系统中其他类型的文件。
  • Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒
    之蓝”漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
    网络攻击特性
  • 木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
  • 木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。
  • 爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主
    题设置为“I LOVE YOU”,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的
    50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的。

恶意软件可以分为几类?

按照传播方式分类

1)病毒
定义: 病毒是指编译者在计算机程序中插入了一个会破坏计算机功能或者破坏数据,影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码; 被病毒攻击的宿主程序是病毒的栖息地,它是病毒传播的目的地,对于下一个感染的出发点
感染过程: 当计算机运行已经感染了的宿主程序的时候,病毒会夺取控制权,寻找是否有可以被感染的地方,然后将在将病毒程序放到缺口处,完成了感染;
主要传播方式:
1)通过移动存储设备进行病毒传播;比如说U盘、光碟、移动硬盘等。
2)通过网络传播;比如说网页、电子邮件、qq等
3)利用计算机系统和应用软件的弱点进行传播;
4)通过依附在文件上进行传播
特征

  • 破坏性:病毒入侵计算机后,可能会将计算机中的数据信息删除或者破坏掉,严重的话会造成大面积的计算机瘫痪,对 计算机用户造成很大的损失
  • 传染性: 病毒可以通过U盘,软盘等移动设备进行传播,入侵到计算机上,在入侵之后,它会自我复制,实现病毒扩散,然后感染越来越多的计算机
  • 寄生性:病毒是需要依附在文件或者其他宿主上才可以存活,并且发挥自己的破坏性来干扰计算机的正常功能。
  • 可执行性:计算机病毒和其他正常程序是一样的,它是一个可以执行成功的程序,但不是完整的,它需要靠依附在其他可以执行的程序上面,才能得到一切程序都能得到的权力。
    病毒的类型:
  • 网络病毒:通过网络等上网方式进行传播感染的病毒
  • 文件病毒:主要是针对计算机中的文件
  • 引导型病毒:是一种主攻感染扇区和硬盘系统引导扇区的病毒
    2)蠕虫
    定义: 蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码,一个能够自我复制,然后在将复制过后的传播到另一台计算机上的程序
    传播过程: 蠕虫会长时间的存在一个或者多个机器里面,并且具有复制的能力,如果它检测到某个网络中的某一台机器没有被占用,它就会吧自身的替身复制到这个计算机里面,并且每一个蠕虫都可以把自己的替身复制到重新定位于另一台机器中,并且能够识别它占用的哪台机器。
    蠕虫的结构
  • 目标定位:为了在网络上快速传播,蠕虫是具有发现没有被感染的计算机的能力。
  • 感染传播:蠕虫的重要组成是会把自己传输到新系统并且进行远程控制系统的策略
  • 远程控制和更新接口:
    蠕虫会利用通信模块进行远程控制,如果没有这个模块,蠕虫的创作者就不能通过给蠕虫复制信息来控制整个网络。
    更新和差几案接口允许在被感染的计算机系统上更新蠕虫代码。
  • 生命周期管理:部分蠕虫的创作者希望蠕虫在某个时间段内进行工作,就会事先设定一个时间让他工作。
    3)木马
    定义:木马时攻击者通过欺骗的方式在用户不知道的情况下安装的。然后用来进行一个远程操控被中了木马的计算机。
    特征
    1)隐蔽性
    木马可以长期存在,他会将自己伪装成为合法的应用程序,让用户难以分辨,这个也是木马的一个重要特征
    2)欺骗性
    木马病毒隐藏主要手段是欺骗,经常使用伪装的手段将自己合法化。
    3)顽固性
    木马病毒为了保障自己可以不断蔓延,往往像毒瘤一样驻留在被感染的计算机中,有多个备份文件存在,与i但主要文件被删除,便马上可以恢复。
    4)危害性
    只要被木马病毒感染,别有用心的黑客便可以执行任意操作,就像在本地使用计算机一样,对被控制的计算机的破坏可想而知。
    传播过程
  • 利用下载进行传播,在下载的过程中进入程序,当下载完毕打开文件就会将病毒植入到电脑当中
  • 利用系统漏洞进行传播,当计算机存在漏洞的时候,就会成为木马的攻击的对象
  • 利用邮件进行传播,很多陌生邮件里面就掺杂了病毒种子,一旦邮件被打开,邮件里面的病毒就被激活
  • 利用远程连接进行传播
  • 利用网页进行传播

按照功能分类

1)后门
定义:后门是指绕过安全控制来获取对程序或系统访问权限的方法;后门的主要目的就是为了方便以后可以再次进入或者控制系统(在不被发现的情况下)
来源

  • 攻击者利用欺骗的手段,通过电子邮件或者文件等方式,诱使主机的操作源打开或者运行藏有木马程序的邮件或者文件,这些木马程序就会在主机上面创建一个后门
  • 攻击者攻陷一台主角及,获取到主机的控制权限,在主机上直接建立后门,方便以后的操作。
    2)勒索
    定义:
    勒索病毒是一种新型的电脑病毒,它主要是通过邮件、程序木马、网页挂马的形式来进行传播。这种病毒危害极大,一旦被感染,将给用户带来无法估量的损失。
    这种病毒式利用各种加密算法对文件进行加密,被感染者一般是无法解密的,必须要拿到解密的私钥才有可能破解。
    攻击对象
  • 针对且也用户
  • 针对所有用户
    加密特点
  • 主要采用非对称加密的方式
  • 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
  • 利用钓鱼邮件和baoprdp口令进行传播
    3)挖矿
    定义
    攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的巨酸资源进行挖矿,来获取到数字货币收益的恶意代码
    特点:
  • 不会对感染设备的数据和系统造成破坏
  • 因为消耗设备资源,所以可能会对设备硬件造成损害

恶意软件的免杀技术有哪些?

文件免杀

黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下,通过一定的更改,使得原本会被
查杀的文件免于被杀。要达到不再被杀的目的方法有很多种,其中最直接的方法就是让反病毒软件停止工作,或使病毒木马“变”为一个正常的文件。然而如何使一个病毒或木马变成一个正常文件,对于黑客们来说其实是一个比较棘手的问题,不过只要学会了一种免杀原理,其他的免杀方案也就触类旁通了。

内存免杀

一般情况下内存是数据进入CPU之前的最后一个可控的物理存储设备。 在这里,数据往往都已经被处理成可以直接被CPU执行的形式了,像我们前面讲的加壳免杀原理在这里也许就会失效了。
我们知道,CPU不可能是为某一款加壳软件而特别设计的, 因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时,要先将原软件解密,并放到内存里,然后再通知CPU执行。
如果是这样,那么从理论上来讲任何被加密的可执行数据在被CPU执行前,肯定是会被解密的,否则CPU就无法执行。也正是利用这个特点,反病毒公司便在这里设了一个关卡.这就使得大部分运用原有文件免杀技巧处理过的病

行为免杀

当文件查杀与内存查杀都相继失效后,反病毒厂商便提出了行为查杀的概念,从最早的“文件防火墙”发展到后来的“主动防御",再到现在的部分”云查杀”,其实都应用了行为查杀技术。而对于行为查杀,黑客们会怎样破解呢?我们都知道一个应用程序之 所以被称为病毒或者木马,就是因为它们执行后的行为与普通软件不一样。因此从2007年行为查杀相继被大多数反病毒公司运用成熟后,黑客免杀技术这个领域的门槛也就一下提高到了顶层。反病毒公司将这场博弈彻底提高到了软件领域最深入的一-层一系统底层, 这就使得黑客们需要掌握的各种高精尖知识爆炸式增长,这-举动将大批的黑客技术的初学者挡在了门外。

反病毒技术有哪些?

单击反病毒

1)可以使用检测工具

  • 单机反病毒可以通过使用杀毒软加的方式来进行防御,也可以通过专业的防病毒工具实现
  • 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码,有些检测工具同时提供修复的功能
  • 常见的病毒检测工具有:
    TCP View
    Regmon
    Filemon
    Process Explorer
    IceSword
    Process Monitor
    Wsyscheck
    SREng
    Wtool
    Malware Defender
    2)杀毒软件
    杀毒软件主要通过一些引擎技术来实现病毒的查杀比如说主流的查杀技术
  • 特征码技术:杀毒软件存在病毒特征库,包含了各种病毒的特征码;特征码是一段特殊的程序,从病毒样本中抽取出来,与正常的程序不太一样,把被扫描的信息与特征库进行对比,如果匹配到了特征库,则认为扫描的信息为病毒
  • 行为查杀技术:病毒在运行的时候会有各种行为特征,比如会在系统里面增加有特殊后缀的文件,监控用户的行为等,当检测到某被检测信息有这些特征行为的时候,会认为这个检测的信息是病毒

网关反病毒

  • 内网用户可以访问外网,并且经常需要从外网下载文件
  • 内网部署的服务器经常接受外网用户上传的文件。

反病毒网关的工作原理

首包检测技术
通过提取PE系统下可以移植的执行体,包括exe,dll等文件类型、文件头部特征判断文件是否是病毒文件,提取PE文件头部数剧,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,能匹配的话就判定为是病毒
启发式检测技术
启发检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是
病毒文件。比如说文件加壳,当这些与正常文件不一致的行为达到一定的阈值,则认为该文件是病毒
启发检测的响应动作与对应协议的病毒检测的响应动作相同,启发式检测可以提升网络环境的安全性,消除安全隐患,但是这个功能会降低病毒检测的性能,并且存在误报风险,所以系统默认情况下这个功能是关闭状态。
文件信誉检测技术
文件信誉检测时计算全文MD5,通过MD5值与文件信誉特征库匹配进行加测,文件信誉特征库里面包含了大量的知名的病毒文件的MD5值,话温载文件信誉检测技术方面主要依赖于文件信誉静态上级更新以及与沙箱联动,然后自学到的动态缓存。

反病毒网关的工作过程是什么?

1.网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对协议类型和文件传输的方向。
2.判断文件传输所使用的协议和文件传输的方向是否支持病毒检测
3.判断是否命中白名单,命中白名单单后,防火墙将不会对文件进行病毒检测
4.针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则
5.病毒检测

反病毒网关的配置流程是什么?

  • 申请并激活license
  • 加载特征库
  • 配置AV Profile
  • 配置安全策略
  • 其他配置
    在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/442942.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

OpenText Exceed TurboX (ETX) 安全功能介绍

OpenText Exceed TurboX (ETX) 安全功能介绍 将所有重要的知识产权(IP )相关数据保存在受良好保护的中央数据中心是保护 IP 的最佳做法。安全的远程访问是保护知识产权的关键。 所有数据流量均采用最新标准加密技术进行加密ETX 整合多种身份验证系统ET…

【代码随想录】刷题Day3

1.链表删除 203. 移除链表元素 循环删除 class Solution { public:ListNode* removeElements(ListNode* head, int val) {if(headnullptr)return head;ListNode* prevnullptr;ListNode* curhead;while(cur){if(prevnullptr&&cur->valval){ListNode* tmp cur;curcu…

对项目总体把控不足,项目经理应该怎么办?

公司现状:项目人员紧缺,只有两人了解此项目技术细节,其中一个不常驻现场,另一个是执行项目经理李伟。 项目经理王博是公司元老,同时负责多个项目,工作比较忙,不常驻现场,没有参加过…

【Web服务】HTTP和DNS重要知识

304状态码 HTTP状态码中的304状态码表示"未修改",通常在客户端发起了一个带有If-Modified-Since头部的GET请求时会得到这个响应。服务器通过比较If-Modified-Since头部指定的时间戳和资源的最后修改时间来判断资源是否被修改过,如果没有修改则…

Vue(十七):利用 html2canvas、JsPDF 依赖实现打印功能

效果 主程序 <!-- 打印区域 --> <el-container ref"PdfPage"><!-- 过滤打印按钮 --><el-button type"primary" data-html2canvas-ignoretrue click"printPage">打印</el-button><el-main><!-- 滚动区域…

AI绘画——Three Delicacy Wonton (三餡馄饨Mix)模型

目录 怎么做三鲜馄饨Mix&#xff1a; 描述&#xff1a; 版本&#xff1a; 使用说明&#xff1a; 实操演示&#xff08;多图预警&#xff09; Picture One Picture Two Picture Three 怎么做三鲜馄饨Mix&#xff1a; 切一点金弘道 &#xff08;https://civitai.com/mo…

无人机遥感影像应用

目录 一、无人机遥感技术 二、无人机遥感影像数据生产 三、无人机遥感影像应用 一、无人机遥感技术 1.无人机遥感系统组成 1.1无人机遥感系统组成—无人机平台 1.2无人机遥感系统组成—传感器 2.无人机遥感技术的特点 高时效性&#xff1a;准确并快速获取地表数据 高分辨率…

加密算法在链接防抓取和数据防篡改应用

写在前 对工作中遇到的加密算法算法进行总结和思考&#xff0c;分析不同加密算法优缺点和对应解决问题场景&#xff0c;思考进一步可改进点。 场景1、加密算法在链接防止抓取中应用 客户端和服务器端对(appverisionurl盐offset)使用加密规则进行加密&#xff0c;对传输数据进…

bing搜索技巧

“” 双引号表示完全匹配&#xff0c;结果中必须出现与搜索文本完全相同的内容。 2 A -B 搜索包含A但不包含B的结果&#xff08;请注意A后面的空格不能省略&#xff09; 3 filetype 搜索对应类型的文件。例如&#xff1a;中国防火墙 filetype:ppt&#xff0c;即为搜索包含主题…

Hive概论、架构和基本操作

Hive是一个构建在Hadoop上的数据仓库框架&#xff0c;最初&#xff0c;Hive是由Facebook开发&#xff0c;后台移交由Apache软件基金会开发&#xff0c;并做为一个Apache开源项目。 Hive是基于Hadoop的一个数据仓库工具&#xff0c;可以将结构化的数据文件映射为一张数据库表&a…

【Maven 入门】第三章、Maven POM

一、什么是 Maven POM&#xff1f; POM 是 Maven 中最重要的概念之一&#xff0c;它描述了一个 Maven 项目的基本信息和依赖关系。简单来说&#xff0c;POM 就是一个 XML 文件&#xff0c;其中包含了以下内容&#xff1a; 项目的基本信息&#xff0c;如名称、版本号、描述等。…

超详细Redis入门教程——Redis 的安装与配置

前言 本文小新为大家带来 超详细Redis入门教程——Redis 的安装与配置 相关知识&#xff0c;具体内容包括Redis 的安装&#xff0c;连接前的配置&#xff0c;Redis 客户端分类&#xff08;包括&#xff1a;命令行客户端&#xff0c;图形界面客户端&#xff0c;Java 代码客户端&…

政策和技术引导企业布局光伏组件回收市场 积极应对光伏组件“退役潮”

一、发展光伏组件回收是实现我国碳中和的战略需求 光伏组件回收主要是通过对其各组件部分进行物理或化学方法处理&#xff0c;进而得到拥有经济价值的材料&#xff0c;进而减少环境污染&#xff0c;实现对废弃光伏组件资源的回收再利用。 我国是光伏组件制造及应用大国&#…

远程仓库的克隆和上传

要创建项目文件夹下打开Git Bush Here --> git clone 远程仓库地址 ! 没有权限访问 原因: 之前登过别人邮箱号,导致克隆失败 解决: 第一步. C盘->用户->电脑用户名->.gitconfig->用vscode打开删除信息,然后保存即可 . 第二步.电脑搜索找到 凭据管理器->wi…

【Python_Scrapy学习笔记(十一)】基于Scrapy框架的下载器中间件添加Cookie参数

基于Scrapy框架的下载器中间件添加Cookie参数 前言 本文中介绍 如何基于 Scrapy 框架的下载器中间件添加 Cookie 参数。 正文 1、添加中间件的流程 在 middlewares.py 中新建 Cookie参数 中间件类在 settings.py 中添加此下载器中间件&#xff0c;设置优先级并开启 2、基…

【C++初阶】命名空间 namespace

一.前言 在正式进入C前&#xff0c;我们需要先了解了解C。顾名思义&#xff0c;C是基于C的一种编程语言&#xff0c;相较于C&#xff0c;C写出来的代码更简洁&#xff0c;有时候C需要几百行代码&#xff0c;而C只需要几十行就可以解决&#xff0c;C也很好的解决了C中存在的一些…

【夜莺监控搭建】

夜莺监控搭建V6版本 v6版本系统架构安装部署安装时序数据库安装mysql、redis和n9e&#xff08;夜莺主程序&#xff09;安装categraf 登录平台如何修改密码添加数据源 官网&#xff1a; https://flashcat.cloud/ GitHub项目地址&#xff1a; https://github.com/ccfos/nightin…

Mongo集群化部署+高可用架构

数据库开发系列 文章目录 数据库开发系列前言一、MongoDB存储引擎二、MongoDB 复制&#xff08;副本集&#xff09;三、为什么需要分片集群架构四、高可用分片集群架构&#xff08;复制集&#xff09;总结 前言 数据库的演进 随着计算机的发展&#xff0c;越来越多的数据需要被…

python+vue 服装穿搭信息管理系统

本系统采用自上往下的方法开发&#xff0c;基本定位如下功能&#xff1a; 本课题要求实现一套服装信息管理系统的设计与实现&#xff0c;系统主要包括管理员模块和用户模块功能模块。 由于本系统需要在不同设备上都能运行&#xff0c;而且电脑配置要求也要越低越好&#xff0c…

SpringMVC框架详解(学习总结)

目录 什么是MVC SpringMVC概述 SpringMVC常见开发方式 SpringMVC执行流程 SpringMVC核心组件介绍 快速构建Spring MVC程序 SpringMVC参数绑定 SpringMVC跳转方式 SpringMVC处理json请求和响应 SpringMVC静态资源处理 SpringMVC操作session和cookie SpringMVC拦截器 …