病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
计算机病毒运行染毒的宿主程序,病毒夺取控制权;寻找感染的突破口;将病毒程序嵌入感染目标中。
计算机病毒的感染过程与生物学病毒的感染过程十分类似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序运行,复制自身、大量繁殖。
硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMIBO文件、IBMDOS文件等
例:“熊猫烧香”是一款拥有自动传播、自动感染硬盘能力和强大破坏能力的病毒,它不但能感染系统exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除拓展名为gho(备份文件)的文件。由于被感染的文件图标会被替换成“熊猫烧香”的图案,所以该病毒被称为“熊猫烧香”病毒。
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行,一个能传染自身拷贝到另一台计算机的程序。
最初的蠕虫病毒定义是因为在D0S环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
例:永恒之蓝:2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含"永恒之蓝"工具,"永恒之蓝"利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造"永恒之蓝"制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
木马是攻击者通过欺骗的方法使用户在不知情的情况下安装的。木马软件一般由木马配置程序,控制程序和木马程序(服务器程序)三部分组成。
黑客利用木马配置工具生成一个木马的服务端;通过各种手段如Spam、Phish、Worm等安装到用户终端;利用社会工程学或者其他技术使得木马运行;木马窃取用户隐私信息发送给黑客;同时允许黑客控制用户终端。
例:挂码
挂马代码的功能是在网页打开的时候,同时打开另外一个网页,当然这个网页可能包含大量的木马,也可能仅仅是为了骗取流量。
具有感染设备的全部操作权限的恶意代码
文件管理、屏幕监控、键盘监控、视频监控、命令执行等
灰鸽子、PCshare
通过加密文件,敲诈用户缴纳赎金
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
[1] 通过比特币或其他虚拟货币交易
[2] 利用钓鱼邮件和爆破rdp命令进行传播
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算机资源进行挖矿,以获取数字货币收益的恶意代码。
不会对感染设备的系统和数据造成破坏;由于大量消耗设备资源,可能会对设备硬件造成损害。
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常的现象。
很多木马、后门程序间谍软件会自动连接到internet某web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。
多数病毒会将自身文件属性设置为“隐藏”,“系统”和“只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
例:Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
例:爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主题设置为“I LOVE YOU”,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的。
例:一些熟知的漏洞:
[1] 微软IIS漏洞
[2] 快捷方式文件解析漏洞
[3] RPC远程执行漏洞
[4] 打印机后台程序服务漏洞
灰色软件是指不被认为是病毒木马,但对用户的计算机会造成负面影响的软件。比如说广告软件,它们有时候是由用户主动安装,更多的是与其他正常软件进行绑定而被安装。
恶意代码希望能顺利绕过杀毒软件与防火墙,在受害者计算机中长期隐藏下去,并且能在必要的时候向攻击者提供有用的信息。免杀技术又称为免杀毒技术(Anti-Virus),是防止恶意代码免于被杀毒设备查杀的技术。
黑客们研究木马免杀的最终目标就是保证在原文件功能正常的前提下,通过一定的更改,使得原本会被查杀的文件免于被杀。要达到不再被杀的目的方法有很多种,其中最直接的方法就是让反病毒软件停止工作,或使病毒木马“变”为一个正常文件。
“特征码”在计算机领域中通常指的是病毒、恶意软件等恶意代码中的特定标识,可以被杀毒软件等安全工具用来识别和清除这些恶意代码。而“改特征码免杀”指的是通过修改恶意代码的特征码,使其逃避安全工具的检测和拦截,从而实现免杀的目的。
<1> 第一种是改特征码,免杀的最初方法。
例如:一个文件在某一个地址内有“灰鸽子上线成功!”这么一句话,表明它就是木马,只要将相应地址内的那句话改成别的就可以了,如果是无关痛痒的,直接将其删掉也未尝不可。
<2> 第二种是针对目前推出的校验和查杀技术提出的免杀思想,它的原理虽然仍是特征码,但是已经脱离纯粹意义上特征码的概念
其实校验和也是根据病毒文件中与众不同的区块计算出来的,如果一个文件某个特定区域的校验和符合病毒库中的特征,那么反病毒软件就会报警。所以如果想阻止反病毒软件报警,只要对病毒的特定区域进行一定的更改,就会使这一区域的校验和改变,从而达到欺骗反病毒软件的目的,如图所示。这就是在定位特征码时,有时候定位了两次却得出不同结果的原因所在。
通过在恶意软件代码中插入无用的、看起来是合法指令的指令来混淆和隐藏真正的恶意代码,从而绕过安全防护机制的检测。
花指令免杀的实现过程如下:
加壳免杀是指将原本易受恶意软件检测的程序通过加密、压缩等手段进行加壳,以达到免杀的效果。加壳的本质是将原始代码放入一个新的壳中,这个壳是经过精心设计的,可以隐藏原始代码并修改其执行流程,使其在运行时难以被恶意软件检测到。
内存免杀是指通过修改或隐藏恶意代码在内存中的形态来避开杀软检测。与传统的文件加壳不同,内存免杀直接操作内存中的数据,不需要对磁盘上的文件进行修改,因此更难被杀软检测到。
常见内存免杀:
行为免杀原理是指恶意软件通过模拟合法程序的行为,从而逃避杀软的检测。具体来说,恶意软件会对其行为进行控制,使其在杀软的监控下表现出和正常程序类似的行为特征,从而避免被杀软识别和拦截。
行为免杀实现方式包括但不限于以下几种:
指在单一计算机上运行的一种反恶意软件程序,它能够检测并清除计算机系统中的恶意软件,包括病毒、木马、蠕虫、间谍软件等等。它可以通过对系统文件、进程和注册表的监控,来识别和消除恶意软件。
<1> 作用:病毒检测工具用于检测病毒、木马、蠕虫等恶意代码,有些检测工具同时提供修复功能
<2> 常见的病毒检测工具:
TCP view、Regmon、Filemon、Process Explorer、IceSword、Process Monitor、Wsycheck、SREng、Wtool、Malware Defender等
<3> 例:Process Explorer
Process Explorer 是一款增强型任务管理器。可以查看进程的完整路径,识别进程,查看进程的完整信息,关闭进程等。
任务管理器也常常被安全专家用来检测和识别恶意软件或黑客活动。
<1> 杀毒软件主要通过一些引擎技术来时间病毒的查杀,比如以下主流技术:
杀毒软件存在病毒特征库,包含了各种病毒的特征码。特征码是一段特殊的程序,从病毒样本中抽取而来,与正常程序不太一样。把被扫描的信息与特征库进行对比,如果匹配到了特征库,则认为该被扫描信息为病毒。
病毒在运行的时候会有各种行为特征,比如会在系统里增加有特殊后缀的文件,监控用户行为等,当检测到被检测信息有这些行为特征时,则认为该被检测信息为病毒。
<2> 常见杀毒软件:瑞星、金山毒霸、360安全软件、卡巴斯基等
网关反病毒是指在企业或组织的网络出口设备上,采用特定的技术手段对通过该设备的网络流量进行实时的病毒检测和清除的安全防护措施
FW作为网关设备隔离内、外网,内网包括用户PC和服务器。内网用户可以从外网下载文件,外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接受文件的安全,需要在FW上配置反病毒功能。在FW上配置反病毒功能后,正常文件可顺利进入内部网络,包含病毒的文件则会被检测出来,并被采取阻断或告警等手段进行干预。
通过提取PE(Portable Execute;Windows系统下可移植的执行体,包括exe、dll、“sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
首包检测技术通常包括以下步骤:
通过分析程序行为、代码特征和其他相关信息来检测和识别未知病毒和恶意软件。
实现方式:
通过对文件的来源、发布者、下载量、用户评价等多方面的综合评估,来判断文件是否可信的技术。其基本原理是通过收集和分析大量的文件信息,建立信誉评估模型,对文件的信誉进行预测和评估,以达到防止恶意文件传播的目的。
文件信誉检测技术常见的方法包括:
PS:文件信誉检测依赖沙箱联动或文件信誉库
处理过程:
[1] 隔离文件:当NGFW检测到文件为病毒文件时,首先需要将该文件隔离,以避免病毒在网络中继续传播。隔离可以将文件移至隔离区域,或者直接将文件删除。
[2] 报告:隔离文件之后,NGFW应该生成报告并通知管理员或其他相关人员,说明检测到病毒的类型和文件的来源。这有助于组织采取相应的应对措施,以减轻病毒对网络和系统的影响。
[3] 清除病毒:为了从网络和系统中完全清除病毒,NGFW需要采取措施来对受感染的主机进行扫描和清除。这可以通过安装并运行反病毒软件来完成。
[4] 防止再次感染:在清除病毒之后,NGFW应该采取一些措施来确保系统和网络不会再次被感染。例如,可以更新防病毒软件、升级防火墙规则,或加强系统和网络安全性等等
例: