北京信息安全滲透工程師CISP-PTE認證必備信息安全基礎知識普及-ielab網絡實驗室在互聯網早期的時候,病毒比較流行(蠕蟲和木馬等則相對較少),因此就有了反病毒技術 。現在的病毒、木馬、蠕蟲等執行惡意任務的程序被統稱爲惡意軟件。現在的反病毒技術則被統稱爲反惡意軟件。
病毒是一種惡意代碼,可感染或附着在應用程序或文件中,一般通過郵件或文件共享等協議進行傳播,威脅用戶主機和網絡的安全。有些病毒會耗盡主機資源、佔用網絡帶寬,有些病毒會控制主機權限、竊取用戶數據,有些病毒甚至會對主機硬件造成破壞。
反病毒是一種安全機制,它可以通過識別和處理病毒文件來保證網絡安全,避免由病毒文件而引起的數據破壞、權限更改和系統崩潰等情況的發生。反病毒功能可以憑藉龐大且不斷更新的病毒特徵庫有效地保護網絡安全,防止病毒文件侵害系統數據。將病毒檢測設備部署在企業網的入口,可以真正將病毒抵禦於網絡之外。
常見的病毒傳播途徑:
- 電子郵件:
- HTTP文中可能會被嵌入惡意腳本;
- 郵件附件攜帶病毒
- 網絡共享:
病毒會搜索本地網絡中存在的共享,通過空口令或者口令猜測,獲取到完全的訪問權限,然後將自身複製到共享文件之中。
- 系統漏洞:
由於操作系統固有的設計缺陷,導致被惡意利用。病毒往往利用系統漏洞進入系統,進行傳播。
- 廣告軟件:
流氓軟件,本身並不是病毒木馬,但是卻會對用戶的計算機造成負面影響。多爲綁定安裝。
病毒分類:
1、依附的媒體類型分類
(1)網絡病毒:通過計算機網絡感染可執行文件的計算機病毒。
(2)文件病毒:主攻計算機內文件的病毒。
(3)引導型病毒:是一種主攻感染驅動扇區和硬盤系統引導扇區的病毒。
(1)附帶型病毒:通常附帶於一個EXE文件上,其名稱與EXE文件名相同,但擴展是不同的,一般不會破壞更改文件本身,但在DOS讀取時首先激活的就是這類病毒。北京信息安全滲透工程師CISP-PTE認證必備信息安全基礎知識普及-ielab網絡實驗室
(2)蠕蟲病毒:它不會損害計算機文件和數據,它的破壞性主要取決於計算機網絡的部署,可以使用計算機網絡從一個計算機存儲切換到另一個計算機存儲來計算網絡地址來感染病毒。
(3)可變病毒:可以自行應用複雜的算法,很難發現,因爲在另一個地方表現的內容和長度是不同的。
反病毒技術:
檢測工具:
通常可以通過安裝殺毒軟件實現,也可以通過專業的防病毒工具實現。病毒檢測工具用於檢測病毒、木馬、蠕蟲等惡意代碼,個別檢測軟件也會提供修復的功能。
常見的病毒檢測工具:TCP View 、 Regmon 、 Filemon 、Process Explorer 、IceSword 、Process Monitor 、Wsyscheck 等。
殺毒軟件一般通過一些引擎技術來實現病毒的查殺:
特徵碼技術:
殺毒軟件存在病毒特徵庫,包含各種病毒的特徵碼,特徵碼一般從病毒樣本中獲取得到。把被掃描的信息與特徵庫進行對比,如果匹配成功,則認爲被掃描信息爲病毒。
行爲查殺:
病毒在運行之中會有各種行爲特徵,如增加特定後綴文件,監控用戶行爲等。如果被檢測信息有如上動作特徵時,則被認爲是病毒。
常見的殺毒軟件:360、卡巴斯基、瑞星、毒霸、賽門鐵克等。
還有一種反病毒技術就是網關反病毒技術:
我們需要去訪問外網,需要從外部網絡下載文件等,那麼我們就可以在內部網關部署反病毒功能,當包含病毒的文件被檢測出來後,會採取阻斷或者告警的方式進行干預。常見的則爲防火牆技術。
防火牆引擎通過不同的檢測技術來發現病毒:
1、首包檢測技術
通過提取PE(Portable Execute,Windows系統下可移植的執行體,包括exe、dll、sys等文件類型)文件頭部特徵判斷文件是否是病毒文件。提取PE文件頭部數據,這些數據通常帶有某些特殊操作,並且採用hash算法生成文件頭部簽名,與反病毒首包規則簽名進行比較,若能匹配,則判定爲反病毒。北京信息安全滲透工程師CISP-PTE認證必備信息安全基礎知識普及-ielab網絡實驗室
- 啓發式檢測技術:
啓發式檢測是指對傳輸文件進行反病毒檢測時,發現該文件的程序存在潛在風險,極有可能是病毒文件。比如說文件加密來改變自身特徵碼數據來躲避查殺,或者企圖關閉殺毒軟件等高危行爲,則認爲該文件是病毒。
- 文件信譽檢測技術:
文件信譽檢測是計算全文MD5,通過MD5值與文件信譽特徵庫匹配來進行簡檢測。文件信譽特徵庫裏包含了大量的知名的病毒文件的MD5值。北京信息安全滲透工程師CISP-PTE認證必備信息安全基礎知識普及-ielab網絡實驗室