恶意软件及反病毒的一些知识

什么是恶意软件？

恶意软件是病毒、蠕虫、特洛伊木马以及其他有害计算机程序的总称，并且很早就一直存在。而恶意软件随着时间的失衡不断发展演变，黑客利用它来进行破坏并获取敏感信息。而阻止和打击恶意软件占据了信息安全专业人员的大部分工作时间。

恶意软件的特征

下载特征
很多木马、后门程序间谍软件会自动连接到Internet某web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。
后门特征

• 后门程序及很多木马、蠕虫和间谍软件会受感染的系统中开启并侦听某个端口。允许远程恶意用户来对该系统进行远程操控；
• 某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。
  信息收集特性
• QQ密码和聊天记录；
• 网络游戏账号密码；
• 网上银行账号密码；
• 用户网页浏览记录和上网习惯；
  自身隐藏特性
  多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。
  文件感染特性
• 病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件感染病毒而成为病原体；
• 有的文件型病毒会感染系统中其他类型的文件。
• Wannacry就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用windows的“永恒
  之蓝”漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染wannacry之后，勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
  网络攻击特性
• 木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络；
• 木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。
• 爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主
  题设置为“I LOVE YOU”，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的
  50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。

恶意软件可以分为几类？

按照传播方式分类

1）病毒
定义： 病毒是指编译者在计算机程序中插入了一个会破坏计算机功能或者破坏数据，影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码； 被病毒攻击的宿主程序是病毒的栖息地，它是病毒传播的目的地，对于下一个感染的出发点
感染过程： 当计算机运行已经感染了的宿主程序的时候，病毒会夺取控制权，寻找是否有可以被感染的地方，然后将在将病毒程序放到缺口处，完成了感染；
主要传播方式：
1）通过移动存储设备进行病毒传播；比如说U盘、光碟、移动硬盘等。
2）通过网络传播；比如说网页、电子邮件、qq等
3）利用计算机系统和应用软件的弱点进行传播；
4）通过依附在文件上进行传播
特征

• 破坏性：病毒入侵计算机后，可能会将计算机中的数据信息删除或者破坏掉，严重的话会造成大面积的计算机瘫痪，对 计算机用户造成很大的损失
• 传染性： 病毒可以通过U盘，软盘等移动设备进行传播，入侵到计算机上，在入侵之后，它会自我复制，实现病毒扩散，然后感染越来越多的计算机
• 寄生性：病毒是需要依附在文件或者其他宿主上才可以存活，并且发挥自己的破坏性来干扰计算机的正常功能。
• 可执行性：计算机病毒和其他正常程序是一样的，它是一个可以执行成功的程序，但不是完整的，它需要靠依附在其他可以执行的程序上面，才能得到一切程序都能得到的权力。
  病毒的类型：
• 网络病毒：通过网络等上网方式进行传播感染的病毒
• 文件病毒：主要是针对计算机中的文件
• 引导型病毒：是一种主攻感染扇区和硬盘系统引导扇区的病毒
  2）蠕虫
  定义： 蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码，一个能够自我复制，然后在将复制过后的传播到另一台计算机上的程序
  传播过程： 蠕虫会长时间的存在一个或者多个机器里面，并且具有复制的能力，如果它检测到某个网络中的某一台机器没有被占用，它就会吧自身的替身复制到这个计算机里面，并且每一个蠕虫都可以把自己的替身复制到重新定位于另一台机器中，并且能够识别它占用的哪台机器。
  蠕虫的结构
• 目标定位：为了在网络上快速传播，蠕虫是具有发现没有被感染的计算机的能力。
• 感染传播：蠕虫的重要组成是会把自己传输到新系统并且进行远程控制系统的策略
• 远程控制和更新接口：
  蠕虫会利用通信模块进行远程控制，如果没有这个模块，蠕虫的创作者就不能通过给蠕虫复制信息来控制整个网络。
  更新和差几案接口允许在被感染的计算机系统上更新蠕虫代码。
• 生命周期管理：部分蠕虫的创作者希望蠕虫在某个时间段内进行工作，就会事先设定一个时间让他工作。
  3）木马
  定义：木马时攻击者通过欺骗的方式在用户不知道的情况下安装的。然后用来进行一个远程操控被中了木马的计算机。
  特征
  1）隐蔽性
  木马可以长期存在，他会将自己伪装成为合法的应用程序，让用户难以分辨，这个也是木马的一个重要特征
  2）欺骗性
  木马病毒隐藏主要手段是欺骗，经常使用伪装的手段将自己合法化。
  3）顽固性
  木马病毒为了保障自己可以不断蔓延，往往像毒瘤一样驻留在被感染的计算机中，有多个备份文件存在，与i但主要文件被删除，便马上可以恢复。
  4）危害性
  只要被木马病毒感染，别有用心的黑客便可以执行任意操作，就像在本地使用计算机一样，对被控制的计算机的破坏可想而知。
  传播过程
• 利用下载进行传播，在下载的过程中进入程序，当下载完毕打开文件就会将病毒植入到电脑当中
• 利用系统漏洞进行传播，当计算机存在漏洞的时候，就会成为木马的攻击的对象
• 利用邮件进行传播，很多陌生邮件里面就掺杂了病毒种子，一旦邮件被打开，邮件里面的病毒就被激活
• 利用远程连接进行传播
• 利用网页进行传播

按照功能分类

1）后门
定义：后门是指绕过安全控制来获取对程序或系统访问权限的方法；后门的主要目的就是为了方便以后可以再次进入或者控制系统（在不被发现的情况下）
来源

• 攻击者利用欺骗的手段，通过电子邮件或者文件等方式，诱使主机的操作源打开或者运行藏有木马程序的邮件或者文件，这些木马程序就会在主机上面创建一个后门
• 攻击者攻陷一台主角及，获取到主机的控制权限，在主机上直接建立后门，方便以后的操作。
  2）勒索
  定义：
  勒索病毒是一种新型的电脑病毒，它主要是通过邮件、程序木马、网页挂马的形式来进行传播。这种病毒危害极大，一旦被感染，将给用户带来无法估量的损失。
  这种病毒式利用各种加密算法对文件进行加密，被感染者一般是无法解密的，必须要拿到解密的私钥才有可能破解。
  攻击对象
• 针对且也用户
• 针对所有用户
  加密特点
• 主要采用非对称加密的方式
• 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
• 利用钓鱼邮件和baoprdp口令进行传播
  3）挖矿
  定义
  攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的巨酸资源进行挖矿，来获取到数字货币收益的恶意代码
  特点：
• 不会对感染设备的数据和系统造成破坏
• 因为消耗设备资源，所以可能会对设备硬件造成损害

恶意软件的免杀技术有哪些？

文件免杀

黑客们研究木马免杀的最终目标就是在保证原文件功能正常的前提下，通过一定的更改，使得原本会被
查杀的文件免于被杀。要达到不再被杀的目的方法有很多种，其中最直接的方法就是让反病毒软件停止工作，或使病毒木马“变”为一个正常的文件。然而如何使一个病毒或木马变成一个正常文件，对于黑客们来说其实是一个比较棘手的问题，不过只要学会了一种免杀原理，其他的免杀方案也就触类旁通了。

内存免杀

一般情况下内存是数据进入CPU之前的最后一个可控的物理存储设备。 在这里，数据往往都已经被处理成可以直接被CPU执行的形式了，像我们前面讲的加壳免杀原理在这里也许就会失效了。
我们知道，CPU不可能是为某一款加壳软件而特别设计的， 因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时，要先将原软件解密,并放到内存里，然后再通知CPU执行。
如果是这样，那么从理论上来讲任何被加密的可执行数据在被CPU执行前，肯定是会被解密的,否则CPU就无法执行。也正是利用这个特点，反病毒公司便在这里设了一个关卡.这就使得大部分运用原有文件免杀技巧处理过的病

行为免杀

当文件查杀与内存查杀都相继失效后，反病毒厂商便提出了行为查杀的概念,从最早的“文件防火墙”发展到后来的“主动防御"，再到现在的部分”云查杀”，其实都应用了行为查杀技术。而对于行为查杀，黑客们会怎样破解呢?我们都知道一个应用程序之 所以被称为病毒或者木马，就是因为它们执行后的行为与普通软件不一样。因此从2007年行为查杀相继被大多数反病毒公司运用成熟后，黑客免杀技术这个领域的门槛也就一下提高到了顶层。反病毒公司将这场博弈彻底提高到了软件领域最深入的一-层一系统底层, 这就使得黑客们需要掌握的各种高精尖知识爆炸式增长，这-举动将大批的黑客技术的初学者挡在了门外。

反病毒技术有哪些？

单击反病毒

1）可以使用检测工具

• 单机反病毒可以通过使用杀毒软加的方式来进行防御，也可以通过专业的防病毒工具实现
• 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能
• 常见的病毒检测工具有：
  TCP View
  Regmon
  Filemon
  Process Explorer
  IceSword
  Process Monitor
  Wsyscheck
  SREng
  Wtool
  Malware Defender
  2）杀毒软件
  杀毒软件主要通过一些引擎技术来实现病毒的查杀比如说主流的查杀技术
• 特征码技术：杀毒软件存在病毒特征库，包含了各种病毒的特征码；特征码是一段特殊的程序，从病毒样本中抽取出来，与正常的程序不太一样，把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为扫描的信息为病毒
• 行为查杀技术：病毒在运行的时候会有各种行为特征，比如会在系统里面增加有特殊后缀的文件，监控用户的行为等，当检测到某被检测信息有这些特征行为的时候，会认为这个检测的信息是病毒

网关反病毒

• 内网用户可以访问外网，并且经常需要从外网下载文件
• 内网部署的服务器经常接受外网用户上传的文件。

反病毒网关的工作原理

首包检测技术
通过提取PE系统下可以移植的执行体，包括exe，dll等文件类型、文件头部特征判断文件是否是病毒文件，提取PE文件头部数剧，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，能匹配的话就判定为是病毒
启发式检测技术
启发检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是
病毒文件。比如说文件加壳，当这些与正常文件不一致的行为达到一定的阈值，则认为该文件是病毒
启发检测的响应动作与对应协议的病毒检测的响应动作相同，启发式检测可以提升网络环境的安全性，消除安全隐患，但是这个功能会降低病毒检测的性能，并且存在误报风险，所以系统默认情况下这个功能是关闭状态。
文件信誉检测技术
文件信誉检测时计算全文MD5，通过MD5值与文件信誉特征库匹配进行加测，文件信誉特征库里面包含了大量的知名的病毒文件的MD5值，话温载文件信誉检测技术方面主要依赖于文件信誉静态上级更新以及与沙箱联动，然后自学到的动态缓存。

反病毒网关的工作过程是什么？

1.网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对协议类型和文件传输的方向。
2.判断文件传输所使用的协议和文件传输的方向是否支持病毒检测
3.判断是否命中白名单，命中白名单单后，防火墙将不会对文件进行病毒检测
4.针对域名和URL，白名单规则有以下4种匹配方式：
前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是“example”就命中白名单规则。
后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是“example”就命中白名单规则。
关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含“example”就命中白名单规则。
精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则
5.病毒检测

反病毒网关的配置流程是什么？

• 申请并激活license
• 加载特征库
• 配置AV Profile
• 配置安全策略
• 其他配置