北京信息安全渗透工程师CISP-PTE认证必备信息安全基础知识普及-ielab网络实验室在互联网早期的时候,病毒比较流行(蠕虫和木马等则相对较少),因此就有了反病毒技术 。现在的病毒、木马、蠕虫等执行恶意任务的程序被统称为恶意软件。现在的反病毒技术则被统称为反恶意软件。
病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽,有些病毒会控制主机权限、窃取用户数据,有些病毒甚至会对主机硬件造成破坏。
反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。反病毒功能可以凭借庞大且不断更新的病毒特征库有效地保护网络安全,防止病毒文件侵害系统数据。将病毒检测设备部署在企业网的入口,可以真正将病毒抵御于网络之外。
常见的病毒传播途径:
- 电子邮件:
- HTTP文中可能会被嵌入恶意脚本;
- 邮件附件携带病毒
- 网络共享:
病毒会搜索本地网络中存在的共享,通过空口令或者口令猜测,获取到完全的访问权限,然后将自身复制到共享文件之中。
- 系统漏洞:
由于操作系统固有的设计缺陷,导致被恶意利用。病毒往往利用系统漏洞进入系统,进行传播。
- 广告软件:
流氓软件,本身并不是病毒木马,但是却会对用户的计算机造成负面影响。多为绑定安装。
病毒分类:
1、依附的媒体类型分类
(1)网络病毒:通过计算机网络感染可执行文件的计算机病毒。
(2)文件病毒:主攻计算机内文件的病毒。
(3)引导型病毒:是一种主攻感染驱动扇区和硬盘系统引导扇区的病毒。
2、计算机特定算法分类
(1)附带型病毒:通常附带于一个EXE文件上,其名称与EXE文件名相同,但扩展是不同的,一般不会破坏更改文件本身,但在DOS读取时首先激活的就是这类病毒。北京信息安全渗透工程师CISP-PTE认证必备信息安全基础知识普及-ielab网络实验室
(2)蠕虫病毒:它不会损害计算机文件和数据,它的破坏性主要取决于计算机网络的部署,可以使用计算机网络从一个计算机存储切换到另一个计算机存储来计算网络地址来感染病毒。
(3)可变病毒:可以自行应用复杂的算法,很难发现,因为在另一个地方表现的内容和长度是不同的。
反病毒技术:
检测工具:
通常可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。病毒检测工具用于检测病毒、木马、蠕虫等恶意代码,个别检测软件也会提供修复的功能。
常见的病毒检测工具:TCP View 、 Regmon 、 Filemon 、Process Explorer 、IceSword 、Process Monitor 、Wsyscheck 等。
杀毒软件一般通过一些引擎技术来实现病毒的查杀:
特征码技术:
杀毒软件存在病毒特征库,包含各种病毒的特征码,特征码一般从病毒样本中获取得到。把被扫描的信息与特征库进行对比,如果匹配成功,则认为被扫描信息为病毒。
行为查杀:
病毒在运行之中会有各种行为特征,如增加特定后缀文件,监控用户行为等。如果被检测信息有如上动作特征时,则被认为是病毒。
常见的杀毒软件:360、卡巴斯基、瑞星、毒霸、赛门铁克等。
还有一种反病毒技术就是网关反病毒技术:
我们需要去访问外网,需要从外部网络下载文件等,那么我们就可以在内部网关部署反病毒功能,当包含病毒的文件被检测出来后,会采取阻断或者告警的方式进行干预。常见的则为防火墙技术。
防火墙引擎通过不同的检测技术来发现病毒:
1、首包检测技术
通过提取PE(Portable Execute,Windows系统下可移植的执行体,包括exe、dll、sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为反病毒。北京信息安全渗透工程师CISP-PTE认证必备信息安全基础知识普及-ielab网络实验室
- 启发式检测技术:
启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是病毒文件。比如说文件加密来改变自身特征码数据来躲避查杀,或者企图关闭杀毒软件等高危行为,则认为该文件是病毒。
- 文件信誉检测技术:
文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行简检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。北京信息安全渗透工程师CISP-PTE认证必备信息安全基础知识普及-ielab网络实验室
