HCNP-Security-CSSN V3 0培训教材HCSCP1206 反病毒技术

1、HCSCP1206,USG6000,V5R1,V3.0,陈洁,2016.11.15,王锐,优化,反病毒技术,早期病毒比较流行（当时蠕虫和木马比较少），反病毒技术应用而生。现今蠕虫和木马攻击也层出不穷，病毒、蠕虫、木马这些执行恶意任务的程序被统称为恶意软件。现在的反病毒技术含义是被广义化的，事实上更准确来说是反恶意软件，各类恶意软件层见叠出，反病毒技术的术语则被保留了下来。目前的AV就等同于反恶意软件。,学完本课程后，您将能够： 描述计算机病毒基础知识 掌握病毒特征及常用检测工具 描述网关防病毒主要技术的原理 掌握网关防病毒技术应用,计算机病毒基础概述 病毒基本概念 常见病毒传播途径 计算机病毒

2、分类 常见病毒行为特征 反病毒技术 网关反病毒配置,病毒基本概念,病毒 病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽，有些病毒会控制主机权限、窃取用户数据，有些病毒甚至会对主机硬件造成破坏。 反病毒是一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。,病毒威胁场景,内网用户可以从外网下载文件，外网用户可以上传文件到内网服务器。,计算机病毒基础概述 病毒基本概念 常见病毒传播途径 计算机病毒分类 常见病毒行为特征 反病

3、毒技术 网关反病毒配置,电子邮件,HTML正文可能被嵌入恶意脚本； 邮件附件携带病毒压缩文件； 利用社会工程学进行伪装，增大病毒传播机会； 快捷传播特性。,网络共享,病毒会搜索本地网络中存在的共享，包括默认共享，如ADMIN$、IPC$、E$、D$、C$； 通过空口令或弱口令猜测，获得完全访问权限； 病毒自带口令猜测列表； 将自身复制到网络共享文件夹中； 通常以游戏、CDKEY等相关名字命名。,P2P共享软件,将自身复制到P2P共享文件夹； 通常以游戏,CDKEY等相关名字命名； 通过P2P软件共享给网络用户； 利用社会工程学进行伪装，诱使用户下载。,系统漏洞,由于操作系统固有的一些设计缺陷，

4、导致被恶意用户通过畸形的方式利用后，可执行任意代码。 病毒往往利用系统漏洞进入系统，达到传播的目的。 一些大家熟知的漏洞： 微软IIS漏洞 快捷方式文件解析漏洞 RPC远程执行漏洞 打印机后台程序服务漏洞,广告软件/灰色软件,灰色软件是指不被认为是病毒木马，但对用户的计算机会造成负面影响的软件。比如说广告软件，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定而被安装。,其他,网页感染； 与正常软件捆绑； 用户直接运行病毒程序； 由其他恶意程序释放。,计算机病毒基础概述 病毒基本概念 常见病毒传播途径 计算机病毒分类 常见病毒行为特征 反病毒技术 网关反病毒配置,计算机病毒的分类,按照

5、恶意代码功能分类：病毒、蠕虫、木马； 按照传播机制分类：可移动媒体、网络共享、网络扫描、电子邮件、P2P网络； 按照感染对象分类：操作系统、应用程序、设备； 按照携带者对象分类：可执行文件、脚本、宏、引导区。,计算机病毒的分类,按照恶意代码功能分类：病毒、蠕虫、木马； 按照传播机制分类：可移动媒体、网络共享、网络扫描、电子邮件、P2P网络； 按照感染对象分类：操作系统、应用程序、设备； 按照携带者对象分类：可执行文件、脚本、宏、引导区。,病毒,病毒的程序组成： 感染标记 感染程序模块 破坏程序模块 触发程序模块,病毒的工作原理,计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺

6、取控制权； 寻找感染的突破口； 将病毒程序嵌入感染目标中。,蠕虫,蠕虫是一个能传染自身拷贝到另一台计算机上的程序。,蠕虫的工作原理,蠕虫的工作方式一般是“扫描攻击复制”。,特洛伊木马,木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。,特洛伊木马的工作原理,运用木马实施网络入侵的基本过程。,病毒、蠕虫和木马对比,计算机病毒基础概述 病毒基本概念 常见病毒传播途径 计算机病毒分类 常见病毒行为特征 反病毒技术 网关反病毒配置,常见病毒行为特征 (1/2),下载与后门特性； 信息收集特性； QQ密码和聊天记录； 网络游戏帐号密码； 网上银行帐号密码； 用户网页浏览记录和上

7、网习惯； 自身隐藏特性； 多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。,常见病毒行为特征 (1/2),下载与后门特性； 信息收集特性； QQ密码和聊天记录； 网络游戏帐号密码； 网上银行帐号密码； 用户网页浏览记录和上网习惯； 自身隐藏特性； 多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。,常见病毒行为特征 (2/2),文件感染特性； 文件型病毒的一个

8、特性是感染系统中的可执行文件。 网络攻击特性； 蠕虫病毒会针对操作系统或其他程序存在的漏洞进行攻击，从而导致受攻击的计算机出现各种异常现象，或是通过漏洞在受攻击的计算机上远程执行恶意代码。,病毒,病毒,病毒,计算机病毒基础概述 反病毒技术 单机反病毒 网关反病毒 网关反病毒配置,检测工具,单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。,检测工具举例 Process Explorer,Process Explorer是一款增强型任务管理器。可以查看进程的完整路径，识别进程，查看进程的完整信息，

9、关闭进程等。,进程名称,进程描述,进程所属公司,可识别桌面 任意程序,杀毒软件,杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术： 特征码技术 杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒。 行为查杀技术 病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。,计算机病毒基础概述 反病毒技术 单机反病毒 网关反病毒 网关反病毒配置,网关防病

10、毒应用场景,反病毒工作原理,反病毒工作原理,反病毒工作原理,防火墙反病毒主流实现方式,代理扫描方式 将所有经过防火墙的需要进行病毒检测的数据报文透明的转交给防火墙自身的协议栈，通过防火墙自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测。 流扫描方式 依赖于状态检测技术以及协议解析技术，提取文件的特征与本地签名库进行匹配。,防火墙反病毒典型技术,防火墙引擎通过各种不同的检测技术检测出病毒： 首包检测技术 启发式检测技术 文件信誉检测技术 文件信誉是通过计算待测文件全文MD5，并与本地信誉MD5缓存进行匹配来进行检测。 本地信誉MD5缓存包括静态缓存和动态缓存。静态缓存来自于文件信

11、誉库，动态缓存来自于沙箱联动。,Scans files,计算机病毒基础概述 反病毒技术 网关反病毒配置,反病毒配置思路,反病毒的基本配置思路如下：,申请并激活 license,加载特征库,配置 安全策略,配置 AV Profile,其他配置,激活license操作,进入“系统License管理”，激活反病毒License。,加载AV库,加载AV特征库。 通过在线升级方式加载。 通过本地升级方式加载。,配置AV Profile (1/3),进入“对象安全配置文件反病毒”，配置AV Profile。 根据需要配置病毒文件攻击取证。 根据需要配置文件信誉检测。 配置各协议响应方式。,配置AV Pro

12、file (2/3),如果要为协议中的某个应用配置不同的响应动作，可以在应用例外中完成。 选择特定的应用例外名称，点击添加。 配置响应动作。,配置AV Profile (3/3),如果用户认为某个病毒为误报，可以根据病毒ID配置病毒例外。 进入“监控 日志 威胁日志”，选择威胁类型为病毒的表项，单击威胁ID对应的值，添加至对应的AV Profile。或者复制威胁ID，手动添加病毒例外。,配置安全策略,配置安全策略。 进入“策略 安全策略 安全策略 新建 新建安全策略”。 引用反病毒策略。,配置SMTP、POP3和HTTP协议宣告信息,进入“系统推送信息配置”，配置推送信息。 配置SMTP和POP3协议反病毒检测响应方式为宣告时的宣告信息。 配置SMTP和POP3协议反病毒检测响应方式为删除附件时的宣告信息。 配置HTTP协议反病毒检测响应方式为阻断时的宣告信息。,配置文件信誉老化时间,老化时间默认为30天，配置范围为1-180天。 进入“对象安全配置文件反病毒配置”，配置老化时间。,判断题 开启AV功能的断点续传功能后，分块传输不再扫描，直接通过。( ) 单选题 AV功能不能支持的协议类型是：( ) A、HTTP B、FTP