网络防御之防病毒网关

1. 什么是恶意软件？

        恶意软件是任何软件故意设计造成损害计算机、服务器、客户端或计算机网络（相比之下，软件导致无意的伤害由于一些缺陷通常被描述为一个软件错误）。各种各样的类型的恶意软件存在的，包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件。

2. 恶意软件有哪些特征？

• 强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。

• 难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。

• 浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。

• 广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。

• 恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。

• 恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。

• 恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。

• 其他侵害：用户软件安装、使用和卸载知情权、选择权的恶意行为。

3. 恶意软件的可分为哪几类？

按照功能分类：1、木马；2、蠕虫病毒；3、漏洞利用；4、网络钓鱼；5、Rootkit 和 Bootkit；6、广告软件和间谍软件；7、僵尸网络；8、勒索软件

4.  恶意软件的免杀技术有哪些？

文件免杀原理：修改文件特征码 、花指令免杀原理、加壳免杀原理

内存免杀原理：修改内存特征码 

行为免查杀原理

5. 反病毒技术有哪些？

单机反病毒：通过安装杀毒软件来实现反病毒

网关反病毒：通过在防火墙上配置反病毒工能，在FW上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采 取阻断或告警等手段进行干预。

6. 反病毒网关的工作原理是什么？

        首包检测技术：通过提取PE（ Portable Execute;Windows 系统下可移植的执行体 ）文件头部特征判断文件是否是病毒文件。提取PE 文件头部数据，这些数据通常带有某些特殊操作，并且采 用hash 算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

        启发式检测技术： 是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是 病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文 件不一致的行为达到一定的阀值，则认为该文件是病毒。

        文件信誉检测技术： 是计算全文 MD5 ，通过 MD5 值与文件信誉特征库匹配来进行检测。文件信誉特 征库里包含了大量的知名的病毒文件的 MD5 值。华为在文件信誉检测技术方面主要依赖于文

件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。

7. 反病毒网关的工作过程是什么？

（1）网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。、

（2）判断文件传输所使用的协议和文件传输的方向是否支持病毒检测

（3）判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测

（4）病毒检测

8. 反病毒网关的配置流程是什么？

在反病毒中配置相关策略

然后再安全策略中放行反病毒策略