网工知识角|信息安全入门反病毒技术全面解说5种传播途径

网络工程师 信息安全基础知识普及 CCNA认证 CISP-PTE认证必备

在互联网早期的时候，病毒比较流行（蠕虫和木马等则相对较少），因此就有了反病毒技术 。现在的病毒、木马、蠕虫等执行恶意任务的程序被统称为恶意软件。

现在的反病毒技术则被统称为反恶意软件。

病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽，有些病毒会控制主机权限、窃取用户数据，有些病毒甚至会对主机硬件造成破坏。

反病毒是一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。

反病毒功能可以凭借庞大且不断更新的病毒特征库有效地保护网络安全，防止病毒文件侵害系统数据。将病毒检测设备部署在企业网的入口，可以真正将病毒抵御于网络之外。

常见的病毒传播途径：

1、电子邮件：

(1)HTTP文中可能会被嵌入恶意脚本；

(2)邮件附件携带病毒

2、网络共享：

病毒会搜索本地网络中存在的共享，通过空口令或者口令猜测，获取到完全的访问权限，然后将自身复制到共享文件之中。

3、系统漏洞：

由于操作系统固有的设计缺陷，导致被恶意利用。病毒往往利用系统漏洞进入系统，进行传播。

4、广告软件：

流氓软件，本身并不是病毒木马，但是却会对用户的计算机造成负面影响。多为绑定安装。

病毒分类：

1、依附的媒体类型分类

（1）网络病毒：通过计算机网络感染可执行文件的计算机病毒。

（2）文件病毒：主攻计算机内文件的病毒。

（3）引导型病毒：是一种主攻感染驱动扇区和硬盘系统引导扇区的病毒。

2、计算机特定算法分类

（1）附带型病毒：通常附带于一个EXE文件上，其名称与EXE文件名相同，但扩展是不同的，一般不会破坏更改文件本身，但在DOS读取时首先激活的就是这类病毒。

（2）蠕虫病毒：它不会损害计算机文件和数据，它的破坏性主要取决于计算机网络的部署，可以使用计算机网络从一个计算机存储切换到另一个计算机存储来计算网络地址来感染病毒。

（3）可变病毒：可以自行应用复杂的算法，很难发现，因为在另一个地方表现的内容和长度是不同的。

反病毒技术：

检测工具：

通常可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，个别检测软件也会提供修复的功能。

常见的病毒检测工具：TCP View 、 Regmon 、 Filemon 、Process Explorer 、IceSword 、Process Monitor 、Wsyscheck 等。

杀毒软件一般通过一些引擎技术来实现病毒的查杀：

特征码技术：

杀毒软件存在病毒特征库，包含各种病毒的特征码，特征码一般从病毒样本中获取得到。把被扫描的信息与特征库进行对比，如果匹配成功，则认为被扫描信息为病毒。

行为查杀：

病毒在运行之中会有各种行为特征，如增加特定后缀文件，监控用户行为等。如果被检测信息有如上动作特征时，则被认为是病毒。

常见的杀毒软件：360、卡巴斯基、瑞星、毒霸、赛门铁克等。

还有一种反病毒技术就是网关反病毒技术：

我们需要去访问外网，需要从外部网络下载文件等，那么我们就可以在内部网关部署反病毒功能，当包含病毒的文件被检测出来后，会采取阻断或者告警的方式进行干预。常见的则为防火墙技术。

防火墙引擎通过不同的检测技术来发现病毒：

1、首包检测技术

通过提取PE（Portable Execute，Windows系统下可移植的执行体，包括exe、dll、sys等文件类型）文件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为反病毒。

2、启发式检测技术：

启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如说文件加密来改变自身特征码数据来躲避查杀，或者企图关闭杀毒软件等高危行为，则认为该文件是病毒。

3、文件信誉检测技术：

文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行简检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。

今天的知识角内容很饱满，大家慢慢消化着，CISP-PTE认证6月开班，现火热招生中~

课程大纲预览

CISP-PTE认证课程课表详情见下表：

时间

培训内容

第一天

CISP-PTE考试大纲内容讲解及考试重点

信息安全基础

HTTP协议基础

WEB安全知识体系介绍

信息收集（端口扫描、目录扫描、敏感文件泄漏）

SQL注入漏洞原理、类型（整型、字符型、cookie、时间延时注入、盲注等类型）

第二天

SQL注入漏洞原理、类型（整型、字符型、cookie、时间延时注入、盲注等类型）

数据库基础（数据库结构、数据库权限、常见的查询语句、增删改查语句）

SQL注入，手工注入实战（配合刚学的数据库查询语句）

SQL注入工具SQLMap的使用（tamper的使用、文件读写等方法）

第三天

SQL注入工具SQLMap的使用（tamper的使用、文件读写等方法）

XSS漏洞（存储型、反射型、DOM型）原理、XSS漏洞实战、XSS漏洞绕过方式

XSS漏洞防御与修复

SSRF原理与实战、CSRF原理与实战、SSRF、CSRF漏洞防御与修复

第四天

文件上传漏洞原理、实战；文件上传类型、文件上传绕过（Type、扩展名、JS等）

文件上传漏洞的防御与修复

任意文件下载漏洞原理、实战

任意文件下载防御与修复

第五天

文件包含漏洞原理、PHP中的文件包含（本地包含、远程包含）

文件包含漏洞的防御与修复

命令执行漏洞原理、远程命令执行漏洞防御

远程代码执行漏洞原理、防御

Java反序列化漏洞、防御（Jboss、webLogic等）

第六天

弱口令漏洞实战与防御

中间件弱口令部署木马（Tomcat、WebLogic、JBoss）

中间件解析漏洞（IIS解析漏洞、Nginx解析漏洞、Apache解析漏洞等）

中间件的目录遍历

中间件目录遍历漏洞的修复

第七天

访问控制漏洞（横向越权、垂直越权漏洞的原理与修复）

会话劫持漏洞（Session的原理、HttpOnly）、会话劫持漏洞修复

常见木马的使用（PHP木马、ASP木马、ASPX木马）

Web扫描器的使用（WVS、AppScan等）

提权（简单提权、win2003提权、win2008提权、linux提权）

第八天

提权（简单提权、win2003提权、win2008提权、linux提权）

中间件日志、数据库日志、系统日志分析，定位攻击者的攻击方式和IP

本期培训知识点汇总

*课程为线上培训课程，线下考试仅半天时间即可，具体开课时间和考试相关详情后台索取。