1. 什么是恶意软件？

        恶意软件是通过多种途径感染合法用户计算机，并且给予加害计算机的一种计算机程序。

        恶意软件能够以多种途径感染计算机和设备，并且表现出多种形式。

        大致可以分为三类：病毒、蠕虫、木马。

2. 恶意软件有哪些特征？

               ①下载特征        

                                很多的木马、后门程序间谍软件会自动i按揭到Internet某web站点，下载                             下载其他病毒文件等。

               ②后门特征：

                                 A.后门程序和很多木马、蠕虫和间谍软件会在受感染的系统中开启并且                             侦听某个端口，允许远程对用户的系统进行操控。

                                 B.在一定情况下，病毒会自动连接到某IRC站点某频道中，使得该频道                             中特定的恶意用户远程访问受感染的计算机。

               ③信息收集性

                                例如：qq聊天记录，

                                           网络游戏账号密码

                                           移动支付账号密码

                                            用户网页浏览记录

               ④自身隐藏性

                               大多数的病毒都会将自身文件的属性设置为“隐藏”、系统中的权限为“只                            读”权限，更有甚者还会修改注册表，以致于修改用户对系统的文件夹的访问                          权限，显示权限等。一切都是为了隐藏潜伏下来。

               ⑤文件感染性

                                A.病毒会将自身的恶意代码插入到系统中正常的可执行文件中                                           （.exe），使得系统中的正常的执行程序被破坏，导致无法正常运行，从而                            成为感染源，成为病原体。

                                B.有的文件型病毒会感染系统中其他类型的文件。

                                C. Wannacry就是一种典型的文件型病毒，它分为两部分，一部分是蠕                               虫部分，利用windows的“永恒之蓝"漏洞进行网络传播。一部分是勒索病毒                             部分，当计算机感染wannacry之后，勒索病毒部分就会自动安装并且加密                              计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框                                进行勒索。
 

               ⑥网络攻击性 

                                A.木马和蠕虫病毒会修改计算机的网络设置，使得计算机对于外网无法                            进行访问。

                                B.木马和蠕虫还会向网络中其他的计算机发起攻击，发送大量无用的数                          据包，堵塞网络，设置通过发布大量的虚假网关地址的广播包，用来欺诈网                            络中其他的计算机，从而使得部分网络的停滞，甚至瘫痪。

        

3. 恶意软件的可分为那几类？

        按照传播方式可以分为：

                        A.病毒----这是基于硬件和操作系统的程序，具有感染、传播、破坏的能力，                   被感染的机器被称为宿主（和寄生虫一个样子），宿主既是病毒传播的目的地，                     又是下一次感染的开始的地方。   病毒感染的目标：首先是硬盘分配表扇区，再                    就是可执行文件，命令文件等。

                        病毒的传播的原理（过程）：

                  当计算机运行感染病毒的程序时，病毒夺取控制权；寻找感染的突破口；找到突                   破口，并且将病毒程序嵌入到感染目标中。计算机病毒的感染过程和生物病毒感                     染过程十分相似，寄生在宿主程序中，进入计算机并且通过操作系统和宿主程序                     的运行，复制自身、大量繁殖。

                          主要传播方式：感染文件传播。

                       B.蠕虫----蠕虫病毒主要是通过网络使恶意代码在不同设备中进行复制、传播和运行恶意代码。它是一个能传染自身复制到另一台计算机上的程序。

                                                         

                         原理：

                

                 传播方式：通过网络发送攻击数据包

                       

                        C.木马----木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

                         传播过程：

                                 黑客利用木马配置工具生成一个木马的服务端；通过各种手段sapm、                            phish、worm 等安装到用户终端；利用社会工程学、或者或者其他技术手段                           使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户                           终端。

                        

                        传播方式：捆绑、利用网页。

                        常见木马：挂马代码

                                挂马代码的功能是在网页打开的时候，同时打开另外一个网页，当然这个网页可能包含大量的木马，也可能仅仅是骗取流量。

                                    

        按照功能分类：

             后门

                 具有感染设备全部操作权限的恶意代码。

• 典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
• 典型家族∶ 灰鸽子、pCshare

                

勒索

        通过加密文件，敲诈用户缴纳赎金。

• 加密特点∶
  • 主要采用非对称加密方式
  • 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
• 其他特点∶
  • 通过比特币或其它虚拟货币交易
  • 利用钓鱼邮件和爆破rdp口令进行传播

        典型家族：Wannacry 、GandCrab、Globelmposter

挖矿

        攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的 恶意代码。

特点∶

• 不会对感染设备的数据和系统造成破坏。
• 由于大量消耗设备资源，可能会对设备硬件造成损害。

4. 恶意软件的免杀技术有哪些？

        恶意代码希望能够绕过杀毒软件和防火墙，在受害者的计算机长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。

        免杀技术又称为免杀毒(AAV)技术,是防止恶意代码免于被杀毒设备查杀的技术。

       

        主流免杀技术：

        修改文件特征码

        修改内存特征码

        行为免查杀技术

原理
        免杀的最基本思想就是破坏特征，这个特征有可能是特征码，有可能是行为特征，只要破坏了病毒与木马所固有的特征，并保证其原有功能没有改变，一次免杀就能完成了。
特征码就是反病毒软件用于判断文件是否带病毒的一段独一无二的代码，这些特征码在不同的反病毒软件的病毒库中不尽相同。
        特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。
 

5. 反病毒技术有哪些？

 单机反病毒

          检测工具

                单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。

                病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。

                常见的病毒检测工具包括： TCP View

                        Regmon

                        Filemon

                        Process Explorer

                        IceSword

                        Process Monitor

                        Wsyscheck

                        SREng

                        Wtool

                        Malware Defender

        

                杀毒软件：

                        杀毒软件主要是通过一些引擎技术来实现病毒的查杀。

                        例如：

                                特征码技术：

                                        杀毒软件存在一个病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病毒样本中抽取而来的，与正常的程序不太一样。把扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描的信息为病毒。

                                行为查杀技术：

                                        病毒在运行的时候会又各种行为特征，比如会在系统里增加又特殊后缀的文件，监控用户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

                                         常见的杀毒软件：360、瑞星、金山毒霸等。

                                  网关反病毒:

                                        在以下场合中，通常利用反病毒特性来保证网络安全：

                                                        内网用户可以访问外网，且经常需要从外网下载文件。

                                                        内网部署的服务器需要由外网的客户进行访问。

                                                        FW作为网关设备隔离内、外网，内网包括用户PC和服务器。内网用户可以从外网下载文件，外网用户 可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW上配置反病毒功 能。
                                                        在FW上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采 取阻断或告警等手段进行干预。

               

   

                                    

6. 反病毒网关的工作原理是什么？

     首包检测技术

      启发式检测技术

                启发式检测时指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如文件加壳（加密来改变自身特征码数据来躲避查杀），当这些与正常文件不一致的行为达到一定的阀值，则认为该文件为病毒。

                启发式依靠的是“自我学习的能力”，就像程序员一样运用经验判断拥有某种反常的行为判定为病毒文件。

                 启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络的安全性，消除安全隐患。但是该功能会降低病毒检测的性能，会存在误判误报的风险，因此系统默认情况下，关闭该功能。

                启动病毒启发式检测功能：heuristic-detect enable

                

        文件信誉检测技术：

                文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库包含了大量的知名病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到动态缓存。

文件信誉检测依赖沙箱练到那个或文件信誉库。

7. 反病毒网关的工作过程是什么？

        ①网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输方向。

        ②判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

                        NGFW支持对使用以下协议传输的文件进行病毒检测。

                                        FTP    HTTP     POP3      SMTP      IMAP （因特网信息访问协议）      NFS(网络文件系统)      SMB  （文件共享服务器）

                        NGFW支持对不同传输方向上的文件进行病毒检测。

                                上传：指的是客户端向服务器发送文件。

                                下载：指的是服务器向客户端发送文件。

        ③判断是否命中白名单。命中白名单后、FW将不对文件做病毒检测。

                        白名单由白名单规则组成（是管理员可以信任的域名、URL、IP地址段配置白名单规则）以此来提高反病毒的检测效率。白名单规则的生效范围仅限于所在反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。

        ④针对域名和URL，白名单规则有以下4种方式：

                前缀匹配、后缀匹配、关键字匹配、精确匹配

         

        ⑤病毒检测：

                智能感知引擎通过对符合病毒检测的文件进行特征提取，提取后的特征与库里做匹配。匹配则认为该文件为病毒文件，按照相关响应动作进行处理。如果不是，就允许通过。

                当开启联动检测功能时，对于未命中病毒特征库的文件还可以送到沙箱进行检测，如果检测到而已文件，则将恶意文件的文件特征发送给FW，FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件种的响应动作进行处理。

        病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID 。当设备加载病毒特征库后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上的病毒特征库需要不断地从安全中心平台（ sec.huawei.com ）进行升级。

       

         ⑥当NGFW检测出传输文件为病毒文件时，需要进行如下处理：

                判断该病毒文件是否命中病毒例外，如果是病毒例外，则允许该文件通过。

                病毒例外就是病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况发生，当用户认为一检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使得该病毒规则失效。所以再次命中病毒例外时，即可放行。

                如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作进行处理。

                由于应用和协议之间存在关系，在配置响应动作是也有如下规定：

                        如果只配置协议的响应动作，则协议上承载所有应用都继承协议的响应动作。

                        如果协议和应用都配置了响应动作，则以应用的响应动作为准。       

               

                 如果病毒文件既没有命中病毒例外，也没命中应用例外，则按照配置文件种配置的协议和传输方向对应的响应动作进行处理。

                                         

8. 反病毒网关的配置流程是什么？

防火墙上配置：

 再次写一个安全策略：

这儿就完成了