防火墙第五次作业

news2024/12/30 3:26:42

1. 什么是恶意软件?

恶意软件官方的一个定义:恶意软件 (Malware) 从“恶意”(malicious) 和“软件”(software) 这两个词合并而来,是一个通用术语,可以指代病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件和其他类型的有害软件。恶意软件的主要区别在于它必须是故意为恶;任何无意间造成损害的软件均不视为恶意软件。

所以说恶意软件就是病毒的意思。


2. 恶意软件有哪些特征?

恶意软件的特征:是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一-次感染的出发点。
计算机病毒感染的一般过程为:当计算机运行染毒的宿主程序时, 病毒夺取控制权;寻找感染的突破口;将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。


3. 恶意软件的可分为那几类?

按照传播方式分类:病毒的传播方式,感染文件传播,必须寄生,病毒不是一个独立的程序,他必须依赖于寄主运行。

典型的病毒:熊猫烧香,蠕虫,木马。

按照功能分类:勒索,挖矿,后门


4. 恶意软件的免杀技术有哪些?

恶意软件的免杀技术主要有:三种,1、文件免杀   2、内存免杀   3、行为免杀

文件免杀:

黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下,通过一定的更改,使得原本会被查杀的文件免于被杀。
要达到不再被杀的目的方法有很多种,其中最直接的方法就是让反病毒软件停止工作,或使病毒木马”变”为一个正常的文件。
然而如何使一个病毒或木马变成一 个正常文件, 对于黑客们来说其实是一个比较棘手的问题, 不过只要学会了- -种免杀原理,其他的免杀方案也就触类旁通了。

内存免杀:

自从文件免杀的方法在黑客圈子内部流传开后,反病毒公司将这场博弈升级到了另一个层次- _内存中。
内存在计算机安全领域中向来就是兵家必争之地,从信息截取、软件破解,到内核Hook、 修改内核,再到缓冲区溢出等,其主要战场都在内存中,由此可见内存是一个多么复杂而又变幻莫测的地方。
之所以说内存复杂,是因为-般情况下内存是数据进入CPU之前的最后一个可控的物理存储设备。 在这里,数据往往都已经被处理成可以直接被CPU执行的形式了,像我们前面讲的加壳免杀原理在这里也许就会失效了。
我们知道,CPU不可能是为某一款加壳软件而特别设计的, 因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时,要先将原软件解密,并放到内存里,然后再通知CPU执行。
如果是这样,那么从理论上来讲任何被加密的可执行数据在被CPU执行前,肯定是会被解密的,否则CPU就无法执行。也正是利用这个特点,反病毒公司便在这里设了一个关卡.这就使得大部分运用原有文件免杀技巧处理过的病

行为免杀:

当文件查杀与内存查杀都相继失效后,反病毒厂商便提出了行为查杀的概念,从最早的“文件防火墙”发展到后来的“主动防御",再到现在的部分”云查杀”,其实都应用了行为查杀技术。
而对于行为查杀,黑客们会怎样破解呢?我们都知道一个应用程序之 所以被称为病毒或者木马,就是因为它们执行后的行为与普通软件不-样。
因此从2007年行为查杀相继被大多数反病毒公司运用成熟后,黑客免杀技术这个领域的门槛也就一下提高到了顶层。
反病毒公司将这场博弈彻底提高到了软件领域最深入的一-层一系统底层, 这就使得黑客们需要掌握的各种高精尖知识爆炸式增长,这-举动将大批的黑客技术的初学者挡在了门外。


5. 反病毒技术有哪些?

 单机反病毒可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。

病毒检测工具用于检测病毒、马、蠕虫等恶意代码,有些检测工具同时提供修复的功能。常见的病毒检测工具包括:

。TCP View

。Regmon

。Filemon

。Process Explorer

。lceSword

。Process Monitor

。Wsyscheck

。SREng

。Wtool

。Malware Defender


6. 反病毒网关的工作原理是什么?

通过提取PEI(Portable Execute;Windows系统下可移植的执行体,包括exe、dl. "sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为反病毒。
7. 反病毒网关的工作过程是什么?

 

8. 反病毒网关的配置流程是什么?

 首先关闭防火墙的默认配置确定拓扑图可以互达:

 第二步去做策略:

记住要配置反病毒:

 

然后去看反病毒: 

在全局里面配置一些反病毒方式: 

 

 试验内容:

检查的对象是smtp和pop3,然后病毒列外将误杀的id放行就行。

 

 

 下载文件的反病毒:

上传: 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/842506.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

java 版本企业招标投标管理系统源码+多个行业+tbms+及时准确+全程电子化tbms

​ 功能描述 1、门户管理:所有用户可在门户页面查看所有的公告信息及相关的通知信息。主要板块包含:招标公告、非招标公告、系统通知、政策法规。 2、立项管理:企业用户可对需要采购的项目进行立项申请,并提交审批,查…

图像 检测 - DETR: End-to-End Object Detection with Transformers (arXiv 2020)

图像 检测 - DETR: End-to-End Object Detection with Transformers - 端到端目标检测的Transformers(arXiv 2020) 摘要1. 引言2. 相关工作2.1 集预测2.2 Transformers和并行解码2.3 目标检测 3. DETR模型References 声明:此翻译仅为个人学习…

【Grafana】中文界面配置 v10.0.3

比如通过 docker run -d -p 3000:3000 -v /e/code/monitor/grafana/grafana.ini.txt:/etc/grafana/grafana.ini grafana/grafana运行一个容器(最新是v10.0.3)。 在 /admin/settings 可以看到 users 部分有一个 default_language 配置。 所以在挂载到 …

EC200 CAT1 拨号PPP

**硬件支持型号 点击 查看 硬件支持 详情** DTU701 产品详情 DTU702 产品详情 DTU801 产品详情 DTU802 产品详情 DTU902 产品详情 G5501 产品详情 目前 DTU系列 产品,WIFI4G拨号 ,默认开机自启动拨号。 WIFI 只需要 根据现场 修改SSID热点和密码…

智慧消防 | 气体灭火系统压力在线监测正当其时

气体灭火设备在消防安全系统中扮演着重要的角色。根据最新版的《气瓶安全技术规程》TSG23-2021规定,IG541气体钢瓶需要每3年进行一次检测。未按时进行检测可能导致压力掉压、瓶体外部锈蚀、钢瓶位置钢瓶内部腐蚀等风险,这些问题都可能对消防安全和效能产…

MySQL面试1

Mysql的面试突击1 Mysql的体系结构是什么样子的(查询语句怎么进行执行的) mysql的架构:单进程多线程的架构模式 CLient -----> Server架构 Mysql的链接方式有没有性能优化的点 2个点 查询缓存(Query Cache) MySQL 内部自带了一个缓存模…

【Nginx】静态资源部署、反向代理、负载均衡

个人简介:Java领域新星创作者;阿里云技术博主、星级博主、专家博主;正在Java学习的路上摸爬滚打,记录学习的过程~ 个人主页:.29.的博客 学习社区:进去逛一逛~ nginx静态资源部署、反向代理、负载均衡 &…

laravel项目运行问题记录

一.首页404未找到 检查项目配置是否配置好 解决地址:phpstudy网站或站点创建成功,打开无响应_php打开提示站点创建成功_荒-漠的博客-CSDN博客 二.vendor目录不存在 composer未安装 解决地址:laravel安装composer依赖_荒-漠的博客-CSDN博客 三.首页可以展示 里面路径404 未配…

c++游戏制作指南(三):c++剧情类文字游戏的制作

🍿*★,*:.☆( ̄▽ ̄)/$:*.★* 🍿 🍟欢迎来到静渊隐者的csdn博文,本文是c游戏制作指南的一部🍟 🍕更多文章请点击下方链接🍕 🍨 c游戏制作指南&#x1f3…

SQL ASNI where from group order 顺序 where和having,SQL底层执行原理

SQL语句执行顺序: from–>where–>group by -->having — >select --> order 第一步:from语句,选择要操作的表。 第二步:where语句,在from后的表中设置筛选条件,筛选出符合条件的记录。 …

Redis压缩列表

区分一下 3.2之前 Redis中的List有两种编码格式 一个是LINKEDLIST 一个是ZIPLIST 这个ZIPLIST就是压缩列表 3.2之后来了一个QUICKLIST QUICKLIST是ZIPLIST和LINKEDLIST的结合体 也就是说Redis中没有ZIPLIST和LINKEDLIST了 然后在Redis5.0引入了LISTPACK用来替换QUiCKLIST中的…

Windows下使用Maven命令打包Java后台代码

文章目录 1 JDK 环境变量配置2 Maven 环境变量配置3 Maven 命令打包3.1 清除之前打好的包3.2 直接打包3.3 跳过单元测试进行打包 1 JDK 环境变量配置 在 Windows 下配置 JDK 的环境变量可以按照以下步骤进行: 首先,确保已经安装了 JDK。可以从 Oracle …

SpringCloud实用篇2——Nacos配置管理 Feign远程调用 Gateway服务网关

目录 1 Nacos配置管理1.1 统一配置管理1.1.1 在nacos中添加配置文件1.1.2 从微服务拉取配置 1.2 配置热更新1.2.1 方式一1.2.2 方式二(推荐) 1.3.配置共享 2 搭建Nacos集群2.1 集群结构图2.2 搭建集群2.2.1 初始化数据库2.2.2 下载nacos2.2.3 配置Nacos2…

大文件传输软件| 生命科学中的关键因素

在2023年,生命科学领域以及其先进的科学技术吸引了人们的目光。这些研究背后,很少有人知道的是,其中涉及了大量的研究数据需要实时进行文件传输,以便于研究,合作,分享,分析,临床试验…

Nat、端口映射、内网穿透有什么区别?

简单地说端口映射、nat、内网穿透都是一个意思,同样的目的是解决跨网问题,同样涉及网络地址转换,如果要将内网服务器发布外网访问,就会用到其中一种方式。 细致地说,端口映射、nat、内网穿透又有所区别,端…

03_012slab块分配器,管理内核内存分配,管理高速缓存

物理背景 为什么会有缓存cache 在最初开发ARM架构时,处理器的时钟速度和内存的访问速度大致相同。今天的处理器内核要复杂得多,其时钟速度可以快上几个数量级。但是,外部总线和内存设备的频率并没有扩大到同样的程度。有可能实现小块的片上S…

Object Map 的相互转换

学生业务对象定义&#xff1a;Student Student student new Student(); student.setId(1L); student.setName("令狐冲") student.setAge(10) 第一种&#xff1a;通过Alibaba Fastjson实现 pom.xml 文件依赖 <dependency><groupId>com.alibaba</g…

js-7:javascript原型、原型链及其特点

1、原型 JavaScript常被描述为一种基于原型的语言-每个对象拥有一个原型对象。 当试图访问一个对象的属性时&#xff0c;它不仅仅在该对象上搜寻&#xff0c;还会搜寻该对象的原型&#xff0c;以及该对象的原型的原型&#xff0c;依次层层向上搜索&#xff0c;直到找到一个名字…

【使用内网穿透从公网对本地内网Web服务器访问】

公网访问本地内网web服务器【内网穿透】 文章目录 公网访问本地内网web服务器【内网穿透】前言1. 首先安装PHPStudy2.下载一个开源的网页文件3. 选择“创建网站”并将网页内容指向下载好的开源网页文件4. 打开本地网页5. 打开本地cpolar客户端6. 保存隧道设置 生成数据隧道 前言…

小模型赋能大电网,手机拍照来建档

电能计量箱&#xff0c;一个听上去陌生&#xff0c;看到却一定觉得熟悉的东西。 作为电力系统中的关键组成部分&#xff0c;电能计量箱被广泛安装在各类生产生活区域&#xff0c;保护其内部的电能表、互感器等计量装置的安全&#xff0c;是保障电力系统稳定运行的重要设施。随…