121 lines
4.4 KiB
Markdown
121 lines
4.4 KiB
Markdown
# 恶意代码防护
|
||
|
||
> **一、恶意代码的预防**<br>
|
||
> <span style="color:green;">了解</span>恶意代码的概念、传播方式及安全策略、减少漏洞和减轻威胁等针对恶意代码的预防措施。
|
||
>
|
||
> **二、恶意代码的检测分析**<br>
|
||
> <span style="color:blue;">理解</span>特征扫描、行为检测的区别及优缺点;<br>
|
||
> <span style="color:green;">了解</span>静态分析、云动态分析的概念及区别。
|
||
>
|
||
> **三、恶意代码的清除**<br>
|
||
> <span style="color:green;">了解</span>感染引导区、感染文件、独立型和嵌入型恶意代码清除的方式。
|
||
>
|
||
> **四、基于互联网的恶意代码防护**<br>
|
||
> <span style="color:green;">了解</span>基于互联网的恶意代码防护概念。
|
||
|
||
### 一、恶意代码预防
|
||
|
||
#### 1、基础概念
|
||
|
||
1. **什么是恶意代码**
|
||
- 《中华人民共和国计算机信息系统安全保护条例》第二十八条:<span style="color:red;">计算机病毒</span>,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能<span style="color:red;">自我复制</span>的一组计算机指令或者程序代码(1994.02.18)。
|
||
- <span style="color:red;">恶意代码</span>,是指能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码,指令。
|
||
2. **类型**:二进制代码、脚本语言、宏语言等。
|
||
3. **表现形式**:病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等。
|
||
|
||
#### <span style="background-color:yellow;">2、恶意代码传播方式</span>
|
||
|
||
1. **文件传播**
|
||
- 感染
|
||
- 移动介质
|
||
2. **网络传播**
|
||
- 网页、电子邮件、即时通讯、共享、漏洞
|
||
3. **软件部署**
|
||
- 逻辑炸弹
|
||
- 预留后门
|
||
- 文件捆绑
|
||
|
||
#### 3、恶意代码的预防技术
|
||
|
||
1. **增强安全策略与意识**
|
||
2. **减少漏洞**
|
||
- 补丁管理
|
||
- 主机加固
|
||
3. **减轻威胁**
|
||
- 防病毒软件
|
||
- 间谍软件检测和删除工具
|
||
- 入侵检测(IDS)/入侵防御(IPS)系统
|
||
- 防火墙
|
||
- 路由器、应用安全设置等
|
||
|
||
### 二、恶意代码检测与分析
|
||
|
||
#### 1、特征码扫描
|
||
|
||
1. **工作机制:<span style="color:red;">特征匹配</span>**
|
||
- 病毒库(恶意代码特征库)
|
||
- 扫描(特征匹配过程)
|
||
2. **优势**
|
||
- 准确(误报率低)
|
||
- 易于管理
|
||
3. **不足**
|
||
- 效率问题(特征库不断庞大、依赖厂商)
|
||
- 滞后(先有病毒后有特征库,需要持续更新)
|
||
|
||
#### 2、行为检测
|
||
|
||
1. **工作机制:<span style="color:red;">基于统计数据</span>**
|
||
- 恶意代码行为有哪些
|
||
- 行为符合度
|
||
2. **优势**
|
||
- 能检测到未知病毒
|
||
3. **不足**
|
||
- 误报率高
|
||
- 难点:病毒不可判定原则
|
||
|
||
#### <span style="background-color:yellow;">3、恶意代码分析技术</span>
|
||
|
||
1. **静态分析**
|
||
- 不实际执行恶意代码,直接对二进制代码进行分析
|
||
- 文件特性,如文件形态、版本、存储位置、长度等。
|
||
- 文件格式,如PE信息、API调用等。
|
||
- 由于不需要运行恶意代码,静态分析方法不会影响运行环境的安全。
|
||
2. **动态分析**
|
||
- 动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分析其执行流程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点。
|
||
- 运行恶意代码并使用监控及测试软件分析
|
||
- 本地行为:文件读写、注册表读写等。
|
||
- 网络行为:远程访问、调用等。
|
||
|
||
### 三、恶意代码的清除
|
||
|
||
#### 1、感染引导区
|
||
|
||
- 修复 / 重建引导区
|
||
|
||
#### 2、感染文件
|
||
|
||
- 附着型:逆向还原(从正常文件中删除恶意代码)
|
||
- 替换型:备份还原(正常文件替换感染文件)
|
||
|
||
#### 3、独立文件
|
||
|
||
- 内存退出,删除文件
|
||
|
||
#### 4、嵌入型
|
||
|
||
- 更新软件或系统
|
||
- 重置系统
|
||
|
||
### 四、基于互联网的恶意代码防护
|
||
|
||
#### 1、恶意代码监测与预警体系
|
||
|
||
- 蜜罐、蜜网
|
||
- 蜜罐:建立有故意漏洞的系统,用于引诱入侵者攻击的诱饵计算机系统。
|
||
- 蜜网:建立有故意漏洞的网络,由多个蜜罐组成的网络为入侵者提供了更复杂的环境。
|
||
|
||
#### 2、恶意代码云查杀
|
||
|
||
- 分布式计算
|
||
|