恶意软件、恶意软件反杀技术以及反病毒技术的详细介绍

1.恶意软件简单介绍

恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。腾讯移动安全实验室发布的数据显示，恶意软件由多种威胁组成，会不断弹出，所以需要采取多种方法和技术来进行反病毒保护。恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。恶意软件其本身可能是一种病毒，蠕虫，后门或漏洞攻击脚本，它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测。

2. 恶意软件的特征

2.1下载特征

很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。

2.2后门特征

后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控；

某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受

感染的计算机。

2.3信息收集特性

QQ密码和聊天记录；

网络游戏帐号密码；

网上银行帐号密码；

用户网页浏览记录和上网习惯；

2.4自身隐藏特性

多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。

2.5文件感染特性

病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体；

有的文件型病毒会感染系统中其他类型的文件。Wannacry就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染wannacry之后，勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。

2.6网络攻击特性

木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络；

木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。

爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主题设置为“I LOVE YOU”，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。病毒威胁场景

3.恶意软件的分类

3.1按照传播方式分类

3.1.1病毒

病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。主要传播方式∶感染文件传播

3.1.2蠕虫

蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。

原理：

传播方式∶通过网络发送攻击数据包

3.1.3木马

木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

原理：

传播过程：

黑客利用木马配置工具生成一个木马的服务端；通过各种手段如Spam、Phish、Worm等安装到用户终端；利用社会工程学,或者其它技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端。

传播方式∶捆绑、利用网页挂马代码的功能是在网页打开的时候，同时打开另外一个网页，当然这个网页可能包含大量的木马，也可能仅仅是为了骗取流量。

3.2按照功能分类

3.2.1后门

具有感染设备全部操作权限的恶意代码。

3.2.2勒索

通过加密文件，敲诈用户缴纳赎金。加密特点∶ 主要采用非对称加密方式

对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密

3.2.3挖矿

攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。特点∶ 不会对感染设备的数据和系统造成破坏。 由于大量消耗设备资源，可能会对设备硬件造成损害

4. 恶意软件的免杀技术

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。

免杀技术又称为免杀毒（Anti Anti- Virus）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免

杀技术如下∶

修改文件特征码

修改内存特征码

行为免查杀技术

5. 反病毒技术

5.1单机反病毒

单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。

病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。

常见的病毒检测工具包括：

TCP View

Regmon

Filemon

Process Explorer

IceSword

Process Monitor

Wsyscheck

SREng

Wtool

Malware Defender

Process Explorer是一款增强型任务管理器。可以查看进程的完整路径，识别进程，查看进程的完整信 息，关闭进程等。

杀毒软件

杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术：

特征码技术

杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病

毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒。

行为查杀技术

病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用

户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

5.2网关反病毒

在以下场合中，通常利用反病毒特性来保证网络安全：

内网用户可以访问外网，且经常需要从外网下载文件。

内网部署的服务器经常接收外网用户上传的文件。

FW作为网关设备隔离内、外网，内网包括用户PC和服务器。内网用户可以从外网下载文件，外网用户

可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW上配置反病毒功能。

在FW上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采取阻断或告警等手段进行干预。

6.反病毒网关的工作原理

6.1首包检测技术

通过提取PE（Portable Execute;Windows系统下可移植的执行体，包括exe、dll、“sys等文件类型）文件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

6.2启发式检测技术

启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文件不一致的行为达到一定的阀值，则认为该文件是病毒。

启发式依靠的是"自我学习的能力"，像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。

启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认情况下关闭该功能。

6.3启动病毒启发式检测功能∶heuristic-detect enable 。

文件信誉检测技术文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。文件信誉检测依赖沙箱联动或文件信誉库。

7. 反病毒网关的工作过程

7.1 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类 型和文件传输的方向。

7.2 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

NGFW支持对使用以下协议传输的文件进行病毒检测。

FTP（File Transfer Protocol）：文件传输协议

HTTP（Hypertext Transfer Protocol）：超文本传输协议

POP3（Post Office Protocol - Version 3）：邮局协议的第3个版本

SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议

IMAP（Internet Message Access Protocol）：因特网信息访问协议

NFS（Network File System）：网络文件系统

SMB（Server Message Block）：文件共享服务器

NGFW支持对不同传输方向上的文件进行病毒检测。

上传：指客户端向服务器发送文件。

下载：指服务器向客户端发送文件。

7.3 判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

白名单由白名单规则组成，管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。

7.4 针对域名和URL，白名单规则有以下4种匹配方式：

前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是“example”就命中白名单规则。后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是“example”就命中白名单规则。

关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含“example”就命中白名单规则。

精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则。

7.5 病毒检测：

智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给FW，FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应

动作进行处理。

病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上的病毒特征库需要不断地从安全中心平台（sec.huawei.com）进行升级。

7.6 当NGFW检测出传输文件为病毒文件时，需要进行如下处理：

判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。

病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。

应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。

由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。

如果协议和应用都配置了响应动作，则以应用的响应动作为准。

如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。

8. 反病毒网关的配置流程图