安全防御（四）--- 恶意软件及其特征、分类、免杀技术，反病毒技术，反病毒网关工作过程及其配置

目录

一、什么是恶意软件？

二、恶意软件有哪些特征？

三、恶意软件的可分为那几类？

四、恶意软件的免杀技术有哪些？

五、反病毒技术有哪些？

六、反病毒网关的工作原理是什么？

七、反病毒网关的工作过程是什么？

八、检测所有用户从公网下载的文件是否携带病毒

反病毒网关的配置流程

1、新建策略

2、新建反病毒配置文件

3、全局配置

---

一、什么是恶意软件？

恶意软件是旨在恶意破坏网络、计算机、服务器、客户端的正常运行或对其造成损害的软件的统称

二、恶意软件有哪些特征？

• 下载特征
• 后门特征
• 信息收集特性
• 自身隐藏特性
• 文件感染特性
• 网络攻击特性

三、恶意软件的可分为那几类？

按照传播方式分类

• 病毒：感染文件传播
• 蠕虫：通过网络发送攻击数据包
• 木马：捆绑、利用网页

按照功能分类

• 后门：具有感染设备全部操作权限的恶意代码
• 勒索：通过加密文件，敲诈用户缴纳赎金
• 挖矿：攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码

四、恶意软件的免杀技术有哪些？

• 修改文件特征码
• 修改内存特征码
• 行为免查技术

五、反病毒技术有哪些？

• 首包检测技术
• 启发式检测技术
• 文件信誉检测技术

六、反病毒网关的工作原理是什么？

通过首包检测技术、启发式检测技术、文件信誉检测技术来检测带病毒的文件，然后采取阻断或警告的手段进行干预，从而保证内网用户和服务器接收文件的安全

七、反病毒网关的工作过程是什么？

1、网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3、判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

针对域名和URL，白名单规则有以下4种匹配方式:

• 前缀匹配
• 后缀匹配
• 关键字匹配
• 精确匹配

4、病毒检测：设备对传输文件进行特征提取，并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功，则判定该文件为病毒文件，并送往反病毒处理模块进行处理；如果特征不匹配，则直接放行该文件

5、响应处理：设备检测出传输的文件为病毒文件后，通常有如下2种处理动作。

• 告警：允许病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。
• 阻断：禁止病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。

八、检测所有用户从公网下载的文件是否携带病毒

反病毒网关的配置流程

1、新建策略

2、新建反病毒配置文件

3、全局配置

• 阻止断点续传功能是为了防止文件下载中断的时候，这时防火墙对其流量是信任的，恢复下载后依然是信任的，然后黑客可以利用这个信任关系在恢复下载之前向文件植入病毒，进而对内网造成破坏
• 文件解压配置是针对加壳免杀