【网络安全防御 防御病毒与密码浅学】

目录

1. 什么是恶意软件？

2. 恶意软件有哪些特征？

3. 恶意软件可分为那几类？

1.病毒

2.蠕虫

3.木马

4.间谍软件

5.勒索软件

6.恐吓软件

7.Bots

8.Rootkits

9.混合恶意软件

4. 恶意软件的免杀技术有哪些？

5. 反病毒技术有哪些？

单机反病毒 

网关反病毒

 6. 反病毒网关的工作原理是什么？

首包检测技术

启发式检测技术

文件信誉检测技术

7. 反病毒网关的工作过程是什么？

8. 反病毒网关的配置流程是什么？

反病毒的基本配置思路

1. 什么是APT？

2. APT 的攻击过程？

第一阶段：扫描探测

第二阶段：工具投送

第三阶段：漏洞利用

第四阶段：木马植入

第五阶段：远程控制

第六阶段：横向渗透

第七阶段：目标行动

3. 详细说明APT的防御技术

4. 什么是对称加密？

5. 什么是非对称加密？

6. 私密性的密码学应用？

身份认证技术的应用

7. 非对称加密如何解决身份认证问题？

8. 如何解决公钥身份认证问题？

数字证书

数字证书分类

9. 简述SSL工作过程

SSL协议分为两层

SSL协议提供的服务

SSL协议工作流程

---

1. 什么是恶意软件？

恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。恶意软件不仅会影响受感染的电脑或设备，还可能会影响与受感染设备通信的其他设备。恶意软件能够以多种途径感染计算机和设备，并且表现出多种形式，有些形式包括病毒、蠕虫、木马、间谍软件等。所有用户均了解如何识别和防范各种形式的恶意软件很重要。

2. 恶意软件有哪些特征？

恶意软甲具备以下特征：

1.强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软 件的行为。

• 在安装过程中未提示用户；
• 在安装过程中未提供明确的选项供用户选择；
• 在安装过程中未给用户提供退出安装的功能；
• 在安装过程中提示用户不充分、不明确；（明确充分的提示信息包括但不限于软件作者、软件名称、软件版本、软件功能等）.

2.难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。.

3. 恶意软件可分为那几类？

1.病毒

1.1、病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。

1.2、计算机病毒感染的一般过程为： 当计算机运行感染毒的宿主程序时，病毒夺取控制权； 寻找感染的突破口； 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。

1.3、病毒感染目标包括：硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件（.exe）、命令文件（.com）、覆盖文件（.ovl）、COMMAND文件、IBMBIO文件、IBMDOS文件。

1.4、传染方式：感染文件传播

2.蠕虫

蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝 到另一台计算机上的程序。

传播方式∶通过网络发送攻击数据包

3.木马

木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程 序和木马程序（服务器程序）三部分组成。

传播过程：

黑客利用木马配置工具生成一个木马的服务端；通过各种手段如 Spam 、 Phish 、 Worm 等安装到用户终端；利用社会工程学, 或者其它技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端。

传播方式∶捆绑、利用网页

4.间谍软件

间谍软件是一种在用户不知情或未取得用户许可的情况下对用户的行为进行监视的恶意程序。攻击者可以使用间谍软件监视用户的行为、得到按键信息、获取敏感数据等。

5.勒索软件

勒索软件是近些年最常见的软件之一，它一般偷偷地被安装在用户的电脑上并执行密码病毒攻击。如果电脑被这种恶意软件感染，用户一般需要向攻击者支付一笔勒索费用来解锁电脑。

6.恐吓软件

恐吓软件是一种较新的恶意软件类型，其诱导用户购买或下载不必要的、且有潜在危险性的软件，比如假的反病毒安全软件，它对受害者具有经济和隐私等多方面的威胁。

7.Bots

Bots使得攻击者可以远程控制被感染的系统，其利用软件的漏洞或使用社会工程技术进行传播。一旦系统被其感染，攻击者可以安装蠕虫、间谍软件和木马，并将受害者的电脑变成僵尸网络。僵尸网络被经常用于发动分布式拒绝服务（DDoS）攻击，包括发送垃圾邮件、进行钓鱼欺诈等。Agobot和Sdbot是两种最臭名昭著的bots.

8.Rootkits

Rootkits是一种隐身的恶意软件，其隐藏指定的进程或程序并能获得访问计算机的特权。Rootkits在用户模式申请API调用或把操作系统的结构篡改为驱动装置或核心组件。

9.混合恶意软件

混合恶意软件将两种及以上的恶意软件形式组合为新的类型，以实现更强大的攻击性能。这些典型的恶意软件类型之间并不是完全界限分明的，也就是说一种特定的恶意软件样本可能同时属于多个恶意软件类型。

4. 恶意软件的免杀技术有哪些？

免杀技术又称为免杀毒（Anti Anti- Virus）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶修改文件特征码 、修改内存特征码 、行为免查杀技术。

5. 反病毒技术有哪些？

单机反病毒 

检测工具

单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。

病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。

常见的病毒检测工具包括：

1. TCP View
2. Regmon
3. Filemon
4. Process Explorer
5. IceSword
6. Process Monitor
7. Wsyscheck
8. SREng
9. Wtool
10. Malware Defender

网关反病毒

在以下场合中，通常利用反病毒特性来保证网络安全：

• 内网用户可以访问外网，且经常需要从外网下载文件。
• 内网部署的服务器经常接收外网用户上传的文件。

FW 作为网关设备隔离内、外网，内网包括用户 PC 和服务器。内网用户可以从外网下载文件，外网用户 可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW 上配置反病毒功 能。

在 FW 上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采 取阻断或告警等手段进行干预。

 6. 反病毒网关的工作原理是什么？

首包检测技术

通过提取 PE （ Portable Execute;Windows 系统下可移植的执行体，包括 exe 、 dll 、 “sys 等文件类型）文 件头部特征判断文件是否是病毒文件。提取PE 文件头部数据，这些数据通常带有某些特殊操作，并且采 用hash 算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

启发式检测技术

启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是

病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文

件不一致的行为达到一定的阀值，则认为该文件是病毒。

启发式依靠的是 " 自我学习的能力 " ，像程序员一样运用经验判断拥有某种反常行为的文件为病

毒文件。

启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境

的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认

情况下关闭该功能。

启动病毒启发式检测功能∶ heuristic-detect enable 。

文件信誉检测技术

文件信誉检测是计算全文 MD5 ，通过 MD5 值与文件信誉特征库匹配来进行检测。文件信誉特

征库里包含了大量的知名的病毒文件的 MD5 值。华为在文件信誉检测技术方面主要依赖于文

件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。

文件信誉检测依赖沙箱联动或文件信誉库。

7. 反病毒网关的工作过程是什么？

1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类 型和文件传输的方向。
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

  NGFW支持对使用以下协议传输的文件进行病毒检测。

• FTP（File Transfer Protocol）：文件传输协议
• HTTP（Hypertext Transfer Protocol）：超文本传输协议
• POP3（Post Office Protocol - Version 3）：邮局协议的第3个版本
• SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议
• IMAP（Internet Message Access Protocol）：因特网信息访问协议
• NFS（Network File System）：网络文件系统
• SMB（Server Message Block）：文件共享服务器
• NGFW支持对不同传输方向上的文件进行病毒检测。

上传：指客户端向服务器发送文件。
下载：指服务器向客户端发送文件。
   3.判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

• 白名单由白名单规则组成，管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规 则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个 反病毒配置文件都拥有自己的白名单。

  4.针对域名和 URL ，白名单规则有以下 4 种匹配方式：

• 前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是
• “example”就命中白名单规则。后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是 “example”就命中白名单规则。
• 关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含 “example”就命中白名单规则。
• 精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则。

  5. 病毒检测：

• 智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行 匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不 匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给FW，FW将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应 动作进行处理。
• 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库 后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上 的病毒特征库需要不断地从安全中心平台（sec.huawei.com）进行升级。

  6.当 NGFW 检测出传输文件为病毒文件时，需要进行如下处理：

• 判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。
• 病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当 用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒 规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。
• 如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外 的响应动作（放行、告警和阻断）进行处理。
• 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载 多种应用。
• 由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

1. 如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。
2. 如果协议和应用都配置了响应动作，则以应用的响应动作为准。
3. 如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。

8. 反病毒网关的配置流程是什么？

反病毒的基本配置思路

1. 什么是APT？

高级持续性威胁（Advanced Persistent Threat，APT），又叫高级长期威胁，是一种复杂的、持续的网络攻击，包含三个要素：高级、长期、威胁。高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度，需要花费大量时间和资源来研究确定系统内部的漏洞；长期是为了达到特定目的，过程中“放长线”，持续监控目标，对目标保有长期的访问权；威胁强调的是人为参与策划的攻击，攻击目标是高价值的组织，攻击一旦得手，往往会给攻击目标造成巨大的经济损失或政治影响，乃至于毁灭性打击。

2. APT 的攻击过程？

第一阶段：扫描探测

在 APT 攻击中，攻击者会花几个月甚至更长的时间对 " 目标 " 网络进行踩点，针对性地进行信息收集，目标 网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段：工具投送

在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶 意URL ，希望利用常见软件 ( 如 Java 或微软的办公软件 ) 的 0day 漏洞，投送其恶意代码。一旦到位，恶意软 件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭 防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB 设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

第三阶段：漏洞利用

利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自 身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们 很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主 机也可以被感染，特别是当这个系统脱离企业网络后。

第四阶段：木马植入

随着漏洞利用的成功，更多的恶意软件的可执行文件 —— 击键记录器、木马后门、密码破解和文件采集 程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

第五阶段：远程控制

一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制 工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即 这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方 法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

第六阶段：横向渗透

一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重 要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc 和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

第七阶段：目标行动

也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后， APT 攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受 深度的数据包检查和DLP 技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。 大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是 寻找"已知的 " 恶意地址和受到严格监管的数据。

3. 详细说明APT的防御技术

高级威胁通常利用定制恶意软件、0Day漏洞或高级逃逸技术，突破防火墙、IPS、AV等基于特征的传统防御检测设备，针对系统未及时修复的已知漏洞、未知漏洞进行攻击。华为APT防御与大数据安全解决方案https://e.huawei.com/cn/solutions/business-needs/security/apt采用大数据分析方法，采集全网信息，辅助多维风险评估，准确的识别和防御APT攻击，有效避免APT攻击造成用户核心信息资产损失。该解决方案相关产品包括FireHunter6000沙箱和HiSec Insight高级威胁分析系统。

1. 沙箱技术是华为推出的新一代高性能APT威胁检测系统，可以精确识别未知恶意文件渗透和C&C（命令与控制，Command & Control，简称C&C）恶意外联。通过直接还原网络流量并提取文件或依靠下一代防火墙提取的文件，在虚拟的环境内进行分析，实现对未知恶意文件的检测。
2. HiSec Insight高级威胁分析系统（原CIS）基于成熟自研商用大数据平台FusionInsight开发，结合智能检测算法可进行多维度海量数据关联分析，主动实时的发现各类安全威胁事件，还原出整个APT攻击链攻击行为。同时华为安全态势感知可采集和存储多类网络信息数据，帮助用户在发现威胁后调查取证以及处置问责。华为安全态势感知以发现威胁、阻断威胁、取证、溯源、响应、处置的思路设计，助力用户完成全流程威胁事件闭环。

4. 什么是对称加密？

对称加密：也称为对称密码,是指在加密和解密时使用同一密钥得加密方式。

缺点：把密钥发送到需要解密你的消息的人的手里是一个问题。在发送密钥的过程中，密钥有很大的风险会被黑客们拦截。现实中通常的做法是将对称加密的密钥进行非对称加密，然后传送给需要它的人。

5. 什么是非对称加密？

分为两部分: 公钥, 私钥 解密的原理: 公钥给需要加密的成员, 加密的成员加密以后. 只能通过持有私钥的成员进行解密. 举例: 你向银行请求公钥，银行将公钥发给你，你使用公钥对消息加密，那么只有私钥的持有人--银行才能对你的消息解密。与对称加密不同的是，银行不需要将私钥通过网络发送出去，因此安全性大大提高。

缺点: 速度慢

A生成对称密钥

A向B发起请求生成公钥

B将公钥发送给A

A使用B发送过来的公钥加密自己加密过后的对称密钥

A将加密后的结果发给B

B使用私钥解开A通过公钥发送过来对称密钥, 使用对称密钥解密A发送的数据.

A与B就实现了通过对称密钥来对沟通的内容进行加密与解密了

6. 私密性的密码学应用？

身份认证技术的应用

身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。

身份认证技术：在网络总确认操作者身份的过程而产生的有效解决方法。

7. 非对称加密如何解决身份认证问题？

发送者是 alice ，使用非对称算法，生成私钥 A ，公钥 B 。

1. alice 把公钥给 bob

2. alice 发送信息 hello ， world ！

3. alice 把发送的信息用对称加密算法加密到加密信息 C 。

4. alice 把发送的 hello ， world ！先用 hash 算法计算得到 hash 值 D 。

5. alice 把 hash 值 D 用非对称加密计算得到 E 。 E 值就是用于身份验证的。

6. alice 把 C ， E 一起发给 bob 。

7. bob 收到 C,E 值，先用非对称的公钥对 E 进行解密，如果能正常解开则证明 C 值是 alice 的。

上述 1 中如果黑客偷换了 alice 的公钥，那么就会出现身份认证漏洞。

解决：

alice 把公钥给 bob 的环节能确保是安全的，一定是 alice 给的。

想办法证明 alice 的公钥一定是 alice 的。

 

黑客针对上述的攻击： 

8. 如何解决公钥身份认证问题？

公钥的 “ 身份证 ”----- 数字证书

数字证书

包含：

• 用户身份信息
• 用户公钥信息
• 身份验证机构的信息及签名数据

数字证书分类：

•  签名证书----身份验证，不可抵赖性。
•  加密证书----加密，完整性与机密性。   

9. 简述SSL工作过程

SSL 是“Secure Sockets Layer”的缩写，中文叫做“安全套接层”。它是在上世纪90年代中期，由网景公司设计的。到了1999年，SSL 应用广泛，已经成为互联网上的事实标准。IETF 就把SSL 标准化。标准化之后SSL被改为 TLS（Transport Layer Security传输层安全协议）。

SSL协议分为两层：

• SSL记录协议 （SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能。
• SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务：

1）认证用户和服务器，确保数据发送到正确的客户机和服务器

2）加密数据以防止数据中途被窃取

3）维护数据的完整性，确保数据在传输过程中不被改变。

SSL协议工作流程

1. 客户端浏览器发送“hello”信息，表示要和网站建立安全SSL连接

2. 网站服务器响应客户端请求，发给客户端两样东西：网站服务器自己的证书（内含网站的公钥）、一个随机值

3.客户端浏览器验证网站服务器证书是否可信

4.客户端利用网站服务器发的随机值生成会话密钥

5. 客户端浏览器和网站服务器开始协商加密算法和密钥长度

6. 协商成功后，客户端浏览器利用网站的公钥将生成的会话密钥加密，然后传送给网站服务器

7. 网站服务器收到客户端发送的利用网站服务器自己公钥加密的会话密钥，然后用自己的私钥解密出会话密钥，由此得到了安全的会话密钥

8. 网站服务器再随机生成一个信息，用解密后的会话密钥加密该随机信息后后发送给客户端浏览器（目的是让客户端认证服务器）

9. 浏览器收到随机信息后，用会话密钥能解密出信息（自然就认证了服务器），接着浏览器用自己的私钥对此信息做数字签名，连带客户端自己的证书（内含公钥），一起发送给网站服务器（目的是让服务器认证客户端）