恶意软件及反病毒学习总结

目录

恶意软件

特征

恶意软件分类

按照传播方式分类

病毒

 蠕虫

 木马

 按照功能分类

后门

勒索

挖矿

恶意代码的免杀技术 

 特征码

 文件免杀

改特征码免杀原理

花指令免杀原理

加壳免杀

内存免杀

行为免杀

反病毒技术

单机反病毒

检测工具

 杀毒软件

网关反病毒

 反病毒网关工作流程

 配置过程

---

恶意软件

        恶意软件包括任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备，还可能会影响与受感染设备通信的其他设备。恶意软件涵盖从最简单的电脑蠕虫和木马程序，到最复杂的电脑病毒等，都包括在内。

特征

         1、强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。

　　2、难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。

　　3、浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。

　　4、广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。

　　5、恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。

　　6、恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。

　　7、恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。

　　8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。

恶意软件分类

按照传播方式分类

病毒

病毒是一种基于硬件和操作系统的程序，具有感染力和破坏能力，这与病毒程序的结构有关。病毒攻击宿主程序是病毒的栖身地，既是目的地也是出发点。

• 原理：当病毒感染宿主后将夺取控制权。寻找感染突破将病毒程序嵌入感染目标。借助计算机操作系统和宿主程序的运行。
• 病毒感染目标：硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件（.exe）、命令文件（.com）、覆盖文件（.ovl）、COMMAND文件、IBMBIO文件、IBMDOS文件。主要通过感染文件传播。

例子：熊猫烧香

“熊猫烧香”是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒 ，它不但能感染系统中exe、html、com等文件，它还能终止大量的反病毒软件进程并且会删除拓展名为gho的文件（该类文件是一系统备份工具“GHOST”的备份文件，删除后会使用户系统备份文件丢失）。

​

 蠕虫

主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染和自身拷贝到另一台计算机上的程序。

​

•  原理：蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，首先蠕虫程序随机 (或在某种倾向性策略下)选取某一段IP地址，接着对这一地址段的主机扫描，当扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。. 同时，蠕虫程序生成多个副本，重复上述流程。
• 传播方式：通过网络发送攻击数据包

​​

 木马

木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

原理：通过配置程序隐藏木马，将木马捆绑在其他软件，进入服务端后进行信息反馈，建立远程连接达到远程控制的目的，完成入侵目标网络。

• 传输方式：捆绑其他软件、利用网页。

 按照功能分类

后门

具有感染设备全部操作权限的恶意代码。

• 典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
• 典型家族∶灰鸽子、pCshare

勒索

通过加密文件，敲诈用户缴纳赎金。

加密特点∶

• 主要采用非对称加密方式
• 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密

其他特点∶

• 通过比特币或其它虚拟货币交易
• 利用钓鱼邮件和爆破rdp口令进行传播

典型家族∶Wannacry 、 GandCrab 、 Globelmposter

挖矿

攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的 恶意代码。特点∶

• 不会对感染设备的数据和系统造成破坏。
• 由于大量消耗设备资源，可能会对设备硬件造成损害。

恶意代码的免杀技术 

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。

免杀技术又称为免杀毒（ Anti Anti- Virus ）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免 杀技术如下∶

• 修改文件特征码
• 修改内存特征码
• 行为免查杀技术

 特征码

  特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。

 文件免杀

        通过一定的修改使得原本会被查杀的文件免于被杀。其中最直接的方法就是让反病毒软件停止工作，或使病毒木马”变”为一个正常的文件。

改特征码免杀原理

• 一种思想是改特征码，这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功！”这么一句话，表明它就是木马，只要将相应地址内的那句话改成别的就可以了，如果是无关痛痒的，直接 将其删掉也未尝不可。

 

 

• 第二种原理仍是特征码如果一个文件某个特定区域的校验和符合病毒库中的特征，那么反病毒软件就会报警。所以如果想阻止反病毒软件报警，只要对病毒的特定区域进行一定的更改，就会使这一区域的校验和改变，从而达 到欺骗反病毒软件的目的，如图所示。这就是在定位特征码时，有时候定位了两次却得出不同结果的原因所在。

花指令免杀原理

        花指令其实就是一段毫无意义的指令，也可以称之为垃圾指令。花指令是否存在对程序的执行结果没有影响，所以它存在的唯一目的就是阻止反汇编程序，或对反汇编设置障碍。 主要通过影响特征码的片偏移量使反病毒软件识别不到此特征码达到免杀。

加壳免杀

        软件加壳其实也可以称为软件加密（或软件压缩），只是加密（或压缩）的方式与目的不一样罢了。它的目的是减少被加壳应用程序的体积，或避免让程序遭到不法分子的破坏与利用，同时对立面内容进行加密并不会破坏里面的程序， 加壳之后的文件我们都无法将其还原，那么反病毒软件自然 也就 “ 看 ” 不懂了。加密后的文件结构已经产生了天翻地覆的变化，原有的特征码早已不知去处，反病毒 软件自然也就会认为它是一个正常的文件了。

总结：基于文件的免杀基本上就是破坏原有程序的特征，无论是直接修改特征码还是加上 一段花指令，抑或是将其加壳，其最后的目的只有一个，那就是打乱或加密可执行文件内部的数据。

内存免杀

        内存在计算机安全领域中向来就是兵家必争之地，从信息截取、软件破解，到内核Hook 、修改内核，再到缓冲区溢出等，其主要战场都在内存中，由此可见内存是一个多么复杂而又变幻莫测的地方。

        为一般情况下内存是数据进入CPU 之前的最后一个可控的物理存储设备。在这里，数据往往都已经被处理成可以直接被 CPU 执行的形式了，像我们前面讲的加壳免杀原理在这里也许就会失效了。

        因此，除了加壳外，黑客们对抗反病毒软件的基本思路没变。而对于加壳，只要加一个会混淆程序原有 代码的 “ 猛 ” 壳，其实还是能躲过杀毒软件的查杀的。

行为免杀

        当文件查杀与内存查杀都相继失效后，反病毒厂商便提出了行为查杀的概念，从最早的“文件防火墙”发 展到后来的“主动防御”，再到现在的部分“云查杀”，其实都应用了行为查杀技术。

        由于初期的行为查杀刚刚兴起，很多反病毒产品的主动防御模块把关不严，应用的技术也并不先 进，从而导致了一大批内核级病毒木马的出现。

反病毒技术

单机反病毒

检测工具

单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。

病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。

常见的病毒检测工具包括：

• TCP View
• Regmon
• Filemon
• Process Explorer
• IceSword
• Process Monitor
• Wsyscheck
• SREng
• Wtool
• Malware Defender

 杀毒软件

杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术：

        特征码技术

• 杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒。

        行为查杀技术

• 病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

常见的杀毒软件举例 ：瑞星金山毒霸 360 安全软件卡巴斯基赛门铁克 Mcafee

网关反病毒

        防病毒网关是一种网络设备，用以保护网络内（一般是局域网）进出数据的安全。主要体现在病毒杀除、关键字过滤（如色情、反动）、垃圾邮件阻止的功能，同时部分设备也具有一定防火墙（划分Vlan）的功能。如果与互联网相连，就需要网关的防病毒软件。

场景应用

• 内网用户可以访问外网，且经常需要从外网下载文件。
• 内网部署的服务器经常接收外网用户上传的文件。

在 FW 上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采取阻断或告警等手段进行干预。

 

 反病毒网关工作流程

1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

        NGFW支持对使用以下协议传输的文件进行病毒检测。

• FTP（File Transfer Protocol）：文件传输协议
• HTTP（Hypertext Transfer Protocol）：超文本传输协议
• POP3（Post Office Protocol - Version 3）：邮局协议的第3个版本
• SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议
• IMAP（Internet Message Access Protocol）：因特网信息访问协议
• NFS（Network File System）：网络文件系统
• SMB（Server Message Block）：文件共享服务器

        NGFW支持对不同传输方向上的文件进行病毒检测。

• 上传：指客户端向服务器发送文件。
• 下载：指服务器向客户端发送文件。

3. 判断是否命中白名单。命中白名单后， FW 将不对文件做病毒检测。

• 白名单由白名单规则组成，管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规 则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。

4. 针对域名和 URL ，白名单规则有以下 4 种匹配方式：

• 前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是 “example”就命中白名单规则
• 后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是“example”就命中白名单规则。
• 关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含“example”就命中白名单规则。
• 精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则。

5. 病毒检测：

• 智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行 匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不 匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给FW，FW将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应 动作进行处理。
• 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上的病毒特征库需要不断地从安全中心平台（sec.huawei.com）进行升级。

6. 当 NGFW 检测出传输文件为病毒文件时，需要进行如下处理：

• 判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。
• 病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。
• 如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。
• 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载 多种应用。

         由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

        如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。

        如果协议和应 用都配置了响应动作，则以应用的响应动作为准。

• 如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。

 配置过程

首先申请激活，配置并加载特征库对进入流量做限制，再配置安全策略，最后做例外签名等完善限制流量。