2018-07-31 信息安全威胁与防护

信息安全威胁与防护

    病毒分类：病毒、木马、蠕虫、广告软件、玩笑病毒、黑客工具、其他。特征：破坏性、传染性、潜伏性、隐蔽性、触发性。

    木马是目前比较流行的病毒文件。它不会自我繁殖，也不刻意感染其他文件，通过将自身伪装吸引用户下载执行。如灰鸽子，他可以伪装系统图标、随意更换启动项名称、随意更换端口、运行后自动删除、并采用反弹连接这种缺陷设计，使得使用者拥有最高权限。

    蠕虫是一种利用系统漏洞通过网络进行自我传播的恶意程序。如“魔窟勒索”蠕虫，

    广告软件，是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上强行安装运行，推广广告。安全防护：安装杀毒软件、打开操作系统“自动更新”功能、不要使用不再支持更新的操作系统、不要打开来历不明的邮件、不要接受陌生人发来的文件、不要打开陌生人发来的连接、打开移动存储介质前，要先查毒、不要使用默认的系统账户、使用复杂的登录密码。

    移动安全防护：手机不要root、越狱；安卓用户安装avlpro，每日进行更新；从官方商店下载app；保持警惕的心理，对熟人发来的app链接，要先杀毒，没问题再安装；对10086、95588等官方发来的可疑短信内容，不要盲目相信，先与官方确认。

    挂马网站威胁：挂马网站是指黑客利用网站漏洞，入侵网络后，向网页中加入恶意代码，用户浏览网页后，会自动下载恶意代码。安全防护：使用微软提供更新的操作系统，打开自动更新功能；将浏览器等应用软件更新到最新；不要打开陌生人发来的链接；尽量使用Chrome、firefox等浏览器。

    社会工程学威胁：指的是通过与他人的合法交流，来使其心理受到影响，做出某些动作，或是透漏某些机密信息。

    无线安全威胁：无线网络安全——WEP协议。由于WEP自身算法的严重缺陷，使得WEP加密方式已经失去意义；目前破解主要依靠捕获大量报文分析得出密码。wifi钓鱼。

    二维码安全防护：不要盲目扫描来历不明的二维码；用手机绑定的银行卡不要存放过多资金。

    口令安全性：口令的意义：向计算机表明自己的身份；阻止他人以自己的身份登录；阻止未授权用户登录。

恶意代码分析技术

    恶意代码：使计算机按照攻击者的意图运行以达到恶意目的的指令集合。指令集合：二进制可执行文件，脚本语言代码，宏代码，寄生在文件、启动扇区的指令流。恶意代码目的：技术炫耀、恶作剧，远程控制，窃取私密信息，盗用资源，拒绝服务/破坏。

    杀毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。国内知名：安天智甲、瑞星、金山毒霸、江民、360、电脑管家。国外知名：卡巴斯基、ESET NOD32、麦咖啡、小红伞。移动端：安天AVL、猎豹安全大师、LBE安全大师、360安全卫士。不知名但存在：冠群金辰（国内第一款杀软kill）

    恶意代码分析——指纹。HASH，每个病毒文件有一个独有的HASH值作为特征指纹。HASH的用途，VirusTotal，查询HASH对应的扫描结果。模糊HASH、Importhash、text段hash，弥补绝对HASH的不足，样本仅有小改动，hash值就完全不同；关联同源、同一家族样本。

    基本静态分析——查看壳信息：壳，压缩壳：通过压缩算法，将文件缩小；加密壳：使用入口点隐藏、函数加密、虚拟机代码将代码保护，阻碍逆向分析。常见压缩壳：UPX、ASPack；常见加密壳：ASProtect。脱壳：单步跟踪法；ESP定律法。导入函数：根据导入函数判断样本大体功能行为，了解常见dll库、函数功能。查看节信息。 时间戳，少数特殊语言时间戳固定。