计算机病毒基础概述
病毒
恶意代码,感染或附着在应用程序或文件中,一般通过邮件或者文件共享等协议传播,威胁用户主机和网络安全。
有些会耗尽主机资源,占用网络带宽。
有些会控制主机权限,窃取用户数据
有些会对主机硬件造成破坏
威胁场景
内网访问外网,且从外网下载文件。
内网服务器接受外网用户上传文件。
传播途径
电子邮件
HTML正文可能被嵌入恶意脚本
邮件附件携带病毒压缩文件
利用社会工程学进行伪装,增大病毒传播机会
快捷传播特性
网络共享
病毒会搜索本地网络中存在的共享,包括默认共享,比如ADMIN$、IPC$、E$、D$、C$。
通过空口令或弱口令猜测,获得完全访问权限
病毒自带口令猜测列表
将自身复制到网络共享文件夹中
通常以游戏、CDKEY等相关名字命名。
p2p共享软件
将自身复制到P2P共享文件夹
通常以游戏、CDKEY等相关名字命名
通过P2P软件共享给网络用户
利用社会工程学进行伪装,诱使用户下载
系统漏洞
由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可以执行任意代码。
病毒往往利用系统漏洞进如系统,达到传播的目的。
比如:
微软IIS漏洞
快捷方式文件解析漏洞
RPC远程执行漏洞
打印机后台程序服务漏洞
广告软件/灰色软件
灰色软件:不被认为是病毒木马,但对用户的计算机会造成负面影响的软件。比如说广告软件,他们有时候是由用户主动安装,更多的是与其他正常软件进行绑定而被安装。
其他
网页感染、与正常软件捆绑、用户直接运行病毒程序、由其他恶意程序释放。
计算机病毒分类
按照恶意代码功能分类:病毒、蠕虫、木马
按照传播机制分类:可移动媒体、网络共享、网络扫描、电子邮件、P2P网络
按照感染对象分类:操作系统、应用程序、设备
按照携带者对象分类:可执行文件、脚本、宏、引导区
病毒组成
感染标记
感染程序模块
破坏程序模块
触发程序模块
工作原理
计算机病毒感染的一般过程为:
当计算机运行染毒的宿主程序时,病毒夺取控制权
寻找感染的突破口
将病毒程序嵌入感染目标中
蠕虫
蠕虫是一个能传染自身拷贝到另一台计算机上的程序
工作方式:扫描--攻击--复制
木马
一般由木马配置程序、控制程序、木马程序(服务器程序)三部分
工作原理
病毒、蠕虫、木马对比
常见病毒行为特征
下载与后门特性
信息收集特性
自身隐藏特性
多数病毒会将自身文件的属性设置为隐藏、系统、只读,更有一些病毒会通过修改注册比A哦,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染特性
文件型病毒的一个特性是感染系统中的可执行文件。
网络攻击特性
蠕虫病毒会针对操作系统或者其他程序存在的漏洞进行攻击,从而导致受攻击的计算机出现各种异常现象,或是通过漏洞在受攻击的计算机上远程执行恶意代码。
反病毒技术原理
反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。
分类
单机反病毒
网关反病毒
单机反病毒
可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现
杀毒软件主要通过一些引擎技术来实现病毒的查杀,主流技术有:
特征码技术
杀毒软件存在病毒特征库,包含了各种病毒的特征码,特征码是一段特殊的程序,从病毒样本中抽取而来,与正常的程序不太一样。把被扫描的信息与特征库进行对比,如果匹配到了特征库,则认为该被扫描信息为病毒。
行为查杀技术
病毒在运行的时候会有各种行为特征,比如会在系统里增加有特殊后缀的文件,监控用户行为等,当检测到某被检测信息有这些特征行为时,则认为该被检测信息为病毒。
网关反病毒
防火墙是典型的网关反病毒的案例。
智能感知引擎(IAE)
核心技术。FW利用专业的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理。
传统UTM是把多个盒子的功能,放在了一个盒子里面,物理上,盒子少了,但是逻辑上仍然是全串行处理,一个盒子里面还是多个盒子的处理流程,每一个安全检测都由一个单独的引擎来处理,每一个报文流都要经过多次检测,每一次检测都必然增加了网络延迟。另外病毒可以通过拆分成多个部分,可以逃离检测。
NGFW使用高性能的智能感知引擎(IAE),实现一体化检测,一体化处理。(即一次解包,全面检测)对于上送的流量,IAE引擎会识别出准确的协议和应用,然后由对应的协议解码模块深度解码,并把解码以后的各个字段和内容分类送给后续的环节,不同类型的内容,检测项也不尽相同,但是多种检测是并行的,速度更快。
基于流的文件检测
能够接收文件片段并执行安全检测,IAE引擎的安全检测是并行的,这样,文件传输时延小,整体性能更高,用户体验也比较好。
反病毒检测技术
首包规则检测技术
高危特征检测技术
反病毒处理流程
FW的病毒检测是依靠智能感知引擎来进行的。流量进入智能感知引擎后:
1、首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向;
2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测;
FW支持对使用以下协议传输的文件进行病毒检测(7种):
- FTP(File Transfer Protocol):文件传输协议
- HTTP(Hypertext Transfer Protocol):超文本传输协议
- POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
- SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
- IMAP(Internet Message Access Protocol):因特网信息访问协议
- NFS(Network File System):网络文件系统
- SMB(Server Message Block):文件共享服务器
FW支持对不同传输方向上的文件进行病毒检测。
- 上传:指客户端向服务器发送文件。
- 下载:指服务器向客户端发送文件。
由于协议的连接请求均由客户端发起,为了使连接可以成功建立,用户在配置安全策略时需要确保将源区域设置为客户端所在的安全区域、将目的区域设置为服务器所在的安全区域。
举例1:trust区域的用户需要从untrust区域的FTP服务器下载文件,此时需要在安全策略配置界面中将trust区域设置为源安全区域,untrust区域设置为目的安全区域,在反病毒配置界面中选择FTP协议的检测方向为下载。
举例2:trust区域的用户需要向dmz区域的SMTP服务器上传邮件,此时需要在安全策略配置界面中将trust区域设置为源安全区域,dmz区域设置为目的安全区域,在反病毒配置界面中选择SMTP协议的检测方向为上传。
即文件从源到目的是上传,而文件从目的到源是下载。
3、判断是否命中白名单。
命中白名单后,FW将不对文件做病毒检测。白名单只能通过命令行方式配置,不能在Web界面上配置。
白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。
针对域名和URL,白名单规则有以下4种匹配方式:
- 前缀匹配:host-text或url-text配置为“example*”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
- 后缀匹配:host-text或url-text配置为“*example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
- 关键字匹配:host-text或url-text配置为“*example*”的形式,即只要域名或URL中包含“example”就命中白名单规则。
- 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
4、病毒检测。
智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从升级中心进行升级。病毒特征库的升级服务需要购买相关的License后才能正常使用。此外,在全文扫描模式下,设备支持将检测到的病毒文件上送云沙箱进行进一步分析溯源。该功能通过命令开关控制,缺省处于关闭状态。
反病毒处理
当FW检测出传输文件为病毒文件时,需要进行如下处理:
1、判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则该文件的响应动作为放行。
2、如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。例如,HTTP协议上可以承载163.com的应用,也可以承载yahoo.com的应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
- 如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
- 如果协议和应用都配置了响应动作,则以应用的响应动作为准。
例如,HTTP协议上承载了“163.com”和“yahoo.com”两种应用:
- 如果只配置了HTTP协议的响应动作为“阻断”,则“163.com”和“yahoo.com”的响应动作也都继承为“阻断”。
- 如果用户希望对“163.com”这个应用做区分处理,则可以将“163.com”添加为“应用例外”,其响应动作为“告警”。此时,“yahoo.com”的响应动作仍然继承HTTP协议的响应动作“阻断”,而“163.com”的响应动作将使用应用例外的响应动作“告警”。
3、如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
FW对不同协议在不同的文件传输方向上支持不同的响应动作,如下所示。
| 协议 | 传输方向 | 响应动作 | 说明 |
| HTTP | 上传/下载 | 告警/阻断,默认为阻断。 |
|
| FTP | 上传/下载 | 告警/阻断,默认为阻断。 | |
| NFS | 上传/下载 | 告警 | |
| SMB | 上传/下载 | 告警/阻断,默认为阻断。 | |
| SMTP | 上传 | 告警/宣告/删除附件,默认为告警。 | |
| POP3 | 下载 | 告警/宣告/删除附件,默认为告警。 | |
| IMAP | 上传/下载 | 告警/宣告/删除附件,默认为告警。 |
应用例外和病毒例外
如果要为协议种的某个应用配置不同的响应动作,可以在应用例外中完成。
有两种方法可以添加应用,两者选其一即可,两者重复配置时新配置的动作生效。
- 在“应用例外”界面中的下拉菜单中,选择应用名称,单击“添加”。
- 在“协议”界面中,单击协议名称的链接,在弹出的窗口中选择应用的动作。
如果用户认为某个病毒为误报,可以在日志中获取病毒ID,并在“病毒例外”界面中的文本框中输入病毒ID,单击“添加”将该病毒设置为病毒例外。添加后,再检测到包含此病毒的文件通过时,系统将放行该文件。