恶意软件与APT

1.什么是恶意软件？

      把未经授权便干扰或破坏计算机系统/网络功能的程序或代码(一组指令)称之为恶意程序

2. 恶意软件有哪些特征？

1、强制安装;2、难卸载;3、浏览器劫持;4、广告弹窗;5、恶意收集用户信息; 6、恶意卸载其他软件;7、恶意捆绑;8、其他侵犯用户知情权和选择权的恶意行为。

3. 恶意软件的可分为那几类？

1，病毒；2，蠕虫；3，木马；4，间谍软件；5，广告软件

按照功能可分为，后门，勒索，挖矿

4. 恶意软件的免杀技术有哪些？

1，修改文件特征码；

       修改特征码免杀：是通过修改恶意代码的特征码，使其不被杀毒软件所识别。

      花指令免杀：指恶意软件被设计加入大量的无实际作用的指令，从而使其代码变的冗长、复杂，以达到免杀的目的。

       加壳免杀：是指将恶意软件通过加密、压缩等方式进行加壳处理，以此来绕过杀毒软件的检测和查杀。

2，修改内存特征码；

       是指恶意软件在运行时，动态地修改自身的特征码和行为特征

3，行为免杀技术；

     通过控制恶意程序的行为，使其不触发杀毒软件的检测器

5. 反病毒技术有哪些？

单机反病毒

     是指通过杀毒软件进行病毒的防御工作，杀毒软件的主流技术有特征码技术和行为查杀技术

网关反病毒

     通常利用防火墙的反病毒特性来保证网络安全。

   

6. 反病毒网关的工作原理是什么？

首包检测技术

通过提取PE文件头部特征判断文件是否是病毒文件，使用hash算法生成头部的签名，与反病毒首包规则签名进行比较。

启发式检测技术

       对传输文件进行反病毒检测，若发现文件存在风险，或根据以往经验判断有反常行为的文件进行删除（容易误删文件）

文件信誉检测技术

       计算全文的MD5值，并通过MD5值与文件信誉特征库（该库中存在大量的知名病毒的MD5值）进行匹配来进行检测

7. 反病毒网关的工作过程是什么？

 

 

       1.网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类 型和文件传输的方向。

       2.判断文件传输使用的协议和文件传输的方向是否支持病毒检测。

       3.判断是否命中白名单，命中白名单后FW将不对文件做病毒检测

       4.针对域名和URL，白名单的匹配方式：前缀匹配，后缀匹配，关键字匹配，精准匹配

5.病毒检测

6.NGFW检测

NGFW（Next Generation Firewall）是一种集成了应用和用户识别、入侵防御（IPS）、威胁情报和实时流量监测等高级安全能力的防火墙。

NGFW支持对使用以下协议传输的文件进行病毒检测。

           FTP（File Transfer Protocol）：文件传输协议

        HTTP（Hypertext Transfer Protocol）：超文本传输协议

        POP3（Post Office Protocol - Version 3）：邮局协议的第3个版本

        SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议

        IMAP（Internet Message Access Protocol）：因特网信息访问协议

        NFS（Network File System）：网络文件系统

        SMB（Server Message Block）：文件共享服务器

        NGFW支持对不同传输方向上的文件进行病毒检测。

                上传：指客户端向服务器发送文件。

                下载：指服务器向客户端发送文件。

8. 反病毒网关的配置流程是什么？

1，新建策略

2，新建反病毒配置文件

3，全局配置

1. 什么是APT？

           APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商 业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿 自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情 报的行为，就是一种“网络间谍”的行为。

2. APT 的攻击过程？

第一阶段：扫描探测

第二阶段：工具投送

第四阶段：木马植入

第五阶段：远程控制

第六阶段：横向渗透

第七阶段：目标活动

3. 详细说明APT的防御技术

        目前，防御APT攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，则可以通知FW实施阻断。

针对APT攻击的防御过程如下∶

         黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型。

         FW将攻击流量还原成文件送入沙箱进行威胁分析。

           沙箱通过对文件进行威胁检测，然后将检测结果返回给FW。

         FW获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW侧可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击

 

4. 什么是对称加密？

其加密和解密过程使用相同的密钥

5. 什么是非对称加密？

         它使用公钥和私钥两个不同的密钥进行加密和解密。发送者将信息使用接收者的公钥进行加密，只有接收者才能使用自己的私钥对信息进行解密

6. 私密性的密码学应用？

身份认证技术的应用

       身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。

       身份认证技术：在网络总确认操作者身份的过程而产生的有效解决方法。

7. 非对称加密如何解决身份认证问题？

        非对称加密可以用于身份认证，其核心是数字证书机制。数字证书是由权威CA机构（Certificate Authority）颁发的，包含了公钥信息以及证书持有者的身份信息，用于确保通信双方的身份可信、通信内容可靠。

       在数字证书机制中，数据发送方使用接收方的公钥进行加密，并将加密后的数据和数字证书一起传输给接收方。接收方根据数字证书获取到发送方的公钥，然后使用自己的私钥进行解密，从而获取到真实的明文消息。

       在这个过程中，通过检查数字证书的合法性，接收方能够确认消息发送方的身份。因为数字证书是由可信的CA机构颁发的，所以能够保证身份认证的可靠性和安全性

8. 如何解决公钥身份认证问题？

1.基于PKI的公钥密码体制

2.基于身份的公钥密码体制

3.基于自证明的公钥密码体制

9. 简述SSL工作过程

无客户端认证握手

 

有客服端认证握手

SSL的俩个概念

          SSL连接（connection)一个连接是一个提供一种合适类型服务的传输（OSI分层的定义）。SSL的连接是 点对点的关系。连接是暂时的，每一个连接和一个会话关联。

          SSL会话（session）一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创 建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数 所需昂贵的协商代价