主机安全
1、主机分类
- 类Unix主机
- Unix:Solaris,AIX
- Liunx:Redhat,Centos,SUSE等
- Windows主机
- Windows server 2012,server 2008等
- 特殊主机
- IBM iseris,大型机等等
2、主机风险
操作系统风险
- 0day漏洞,操作系统漏洞,黑客可以利用漏洞控制服务器或者发动拒绝服务攻击
- 安装在操作系统的web应用程序后台由于弱密码或被利用其他漏洞上传了一句话木马,连接成功后列出目录,并上传webshell可以对操作系统进行提权,最终控制服务器,安装后门,木马,间谍软件等
操作系统安全设置
- 服务管理
- 配置防火墙
- 管理自动更新
- 补丁管理流程
- 开启日志审计系统
高可用性
- HA,高可用性
- 可以通过冗余、镜像、备份、负载均衡实现高可用性
- 磁盘Raid,负载均衡器,服务器集群,双机热备
- 常见的Raid类型
- Raid0
- Raid1
- Raid0+1
- Raid1+0
- Raid5
- Raid07
- 常见的Raid类型
- 特殊硬件设备(iSeris)故障会直接导致业务中断
3、主机加固实践
-
操作系统加固
- Hardening,加固,安装SUSE等操作系统的时候有类似于Windows patch的加固包可选安装
- 卸载不必要的软件
- 停止不必要的服务,禁用不必要的端口
- 禁用不必要的账号
- 按照补丁管理程序打系统补丁
-
恶意设备检测防御
- 流氓设备检测,802.1X AAA认证
- MAC地址限制过滤
- 端口安全
-
TCB(Trusted Computing Base)可信计算基
- 包括硬件,固件,软件和负责执行安全策略的组合体
- 建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户系统
-
安全基线
- 基线,一种里程碑,基本参照的标准尺,是最低的安全需求的衡量标准
- 元素包括服务应用程序设置、操作系统元素组件的配置、权限和权利分配等等
-
补丁管理程序
- 审批
- 测试
- 提申请
- 报告
-
日志审计
- 操作系统需要开启日志记录功能
- 通过SIEM工具收集日志,分析异常告警
- 保存日志作为证据链的一部分,将来如果发生欺诈,需要完整的未被破坏的日志作为呈堂证供
-
反恶意软件
- 反病毒软件
- 反垃圾软件
- 反间谍软件
- DLP软件(数据防泄漏)
- 阻止弹框的软件
- 基于主机的防火墙
-
虚拟化主机的安全
- 虚拟主机最大的漏洞,资源共享,难以避免DOS攻击
- 信息脱敏
- 补丁管理
- 最小权限
- 虚拟快照的安全
- 虚拟机管理软件的安全
-
云计算环境虚拟主机安全
- 资源共享带来的威胁
- 敏感数据需要加密存储和传输
- 数据脱敏
-
非标准主机
- SCADA工控系统
- 嵌入式操作系统
- 移动设备操作系统,Android,iOS等
- Xbox,PS4等游戏设备
- 物联网,车联网,智能家居设备的用户权限设置
-
非标准主机加固
- 分层安全
- 操作系统手动更新
- 固件版本更新
- 控制冗余和多样性
- 强密码,严格的身份访问认证
-
主机安全
- 实现物理安全控制
- 实现备份和还原计划
- 系统加固后,对其安全强度进行测试
- 使用扫描和审计工具识别漏洞
- 文档修改控制
- 实现强密码策略
- 遵照制造商的建议进行设备的安全配置
- 部署安全的反恶意软件系统
- 停止不必要的服务和端口
- 限制访问
- 实现安全策略
身份认证系统
为何需要身份认证系统?
现实中的问题:
- 非法入侵
- 非法用户登录
- 信息与数据泄露
- 传输过程不安全
- 破坏数据的完整性
当前常用手段存在的问题:
- 有多个应用系统,多套用户管理(OA、ERP、分销)
- 每个用户需要记忆多套系统的用户名,口令和密码
- 所有的用户权限管理都是分散的,由各个应用来实现
- 数据传输都是明文的,容易被窃取、修改
解决方法:
- 以数字证书的形式实现身份认证登录(双因子认证)
- 实现多个应用的统一用户证书管理
- 实现多个应用的统一授权管理
- 实现多个web应用的单点登录
- 实现与各标准CA交叉认证功能(带发证模块)
实现后的意义
- 集中的安全和隐私策略
- 不必对于不同的应用使用不同的安全策略,或者对于不同的应用都需要重复制定一样的安全策略
- 有效的管理
- 有效地管理所有跨应用的用户,包括合作伙伴和客户
- 单一登录,单一注册,个性化
- 使用户的使用操作更为便捷,更为人性化
- 加快实施速度、减少成本
- 不必为每一个电子商务、政务的应用去开发相应的安全代码以及相应的安全规则
主要模块
- CA证书管理
- 功能:
- 签发各种类型证书(个人、服务器、设备、机构证书等)
- 验证签名
- CRL废证书管理
- 证书综合管理
- 支持各种格式证书
- 功能:
- RA证书注册审核
- 功能:
- 建立注册申请证书机制
- 证书申请综合管理
- 分级部署管理
- 支持各种格式证书
- 1024位密钥长度
- 功能:
- PMI授权管理模块
- 功能:
- 灵活的用户管理机制
- 角色与组的自定义分配
- URL模式的灵活策略控制
- 支持第三方标准格式证书
- 实现SSO单点登录
- 功能:
- 审计模块
- 功能:
- 审计各种行为过程
- 审计标准接口调用
- 与应用系统相互调用
- 审计报表定义
- 强大的综合查询功能
- 功能:
- Webfront插件
- 嵌入式插件,无需二次开发
- 支持IIS、websphere、weblogic、tomcat、apache等
- SSL128位传输
- 实现HTTPS过滤模式
- 支持大并发模式运作(10000次并发测试)
身份认证的技术特点
- 标准和多样的证书格式
- 通用的保密性、完整性和不可抵赖性
- 完善的CA管理体系
- 良好的用户界面
- 兼容的单对和双对密钥体制
- 安全的密钥管理体系
- 方便的双证书管理体系
- 灵活的交叉认证
- 支持基于web应用的单点登录
- 支持基于C/S应用的单点登录
- 支持跨域的单点登录
- 支持基于角色的访问控制、角色定义和角色分配功能
- 支持集中化的认证和授权管理
- 支持针对网络实体(用户、资源、服务)的创建、维护和委托管理
- 支持可拓展、可定制的认证方式,直接支持User ID/Password、Digital Certificates、RADIUS、Unix等认证方式
- 支持创建对资源进行保护的策略规则,提供集中化的目录数据库,存储和管理用户、策略和服务信息
PKI
公钥加密是IT安全最基本的保障
PKI是一个用公钥概念和技术来实施和提供安全服务的,具有普适性的安全基础设施
对于PKI而言,最终的信息安全用户无须关心该基础设施的实现,只需要在其上建立自己的安全应用即可
PKI对现实意味着什么?
- 为现有应用和新的应用提供安全保障
- 扩展现有应用的使用范围
- 开发新的应用适应新的电子业务机会
PMI授权管理
- PMI授权管理基础设施是向用户和应用程序提供授权管理服务
- 提供用户身份到应用授权的映射功能
- 提供与实际应用处理模式相对应的、与具体应用系统开发和管理。无关的授权和访问控制机制,简化具体应用系统的开发与维护
PKI和PMI的区别是什么?
- PKI证明用户是谁
- PMI证明这个用户有什么权限,能干什么
- 而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证
PMI授权管理基础设施——4大要素、3大管理
- 身份——是什么人
- 角色——是什么级别的人
- 策略——什么人在什么条件下能做什么事或能看到什么
- 资源——此人想获得的服务或看到的东西
- 用户管理、访问策略管理、资源+资源访问管理
终端安全管理系统
内部威胁问题为首要安全问题
据ISCA统计全球每年仅仅由于信息安全问题导致的损失高达数百亿美元,其中来自于内部的威胁高达60%,来自内部的威胁已经成为企业首要的安全问题
企业内网安全面临的主要威胁
- 企业内外面临复杂多样的威胁
- 现有安全设备难以有效保护网络
- 终端数量大系统复杂、员工行为难以管理
如何确保企业内网安全?解决内网安全威胁问题?
- 必须强化内防内控,从终端入手强化弱点管理
- 终端接入控制:防止非法终端的接入,降低不安全终端的威胁
- 终端访问授权:防止合法终端越权访问,保护企业核心资源
- 终端安全健康性检查与策略管理:帮助企业落实安全管理制度
- 员工行为管理与违规审计:强化行为审计防止恶意终端破坏
-
- 终端安全管理带来的价值
- 保护终端安全更保护业务系统的安全
- 确保企业管理制度的落实
- 提高员工工作效率
- 保障企业信息资产可控可管
- 简化系统维护,降低企业维护成本
- 终端安全管理模型(PDCA)
- P:制定制度和策略
- D:实施和执行策略
- C:检查执行情况
- A:修正违规、持续审计
- 形成一个循环
- 终端安全管理功能
- 策略制定
- 身份认证(阻止非授权用户)
- 安全检查(隔离修复不安全用户)
- 授权访问(授权用户访问范围)
- 监控(监控行为,审计取证)
- 审计
- 安全接入控制为客户解决的问题
- 控制终端网络接入,保障内部网络安全
- 访问权限管理,保护企业核心资源
- 针对不同场景提供灵活的接入控制方式
- 安全策略管理为客户解决的问题
- 人性化的安全策略管理
- 灵活选择实施的安全策略内容
- 可根据企业安全现状选择实施合适安全策略
- 灵活选择策略执行类型为强制或非强制
- 可实现分阶段分类型逐步完善终端安全管理
- 灵活选择策略实施对象
- 可根据终端不同部门不同角色实施不同管理
- 可为用户定制不同的安全策略
- 灵活选择实施的安全策略内容
- 全面的企业安全策略
- 全面提升企业信息安全水平,提高效率
- 人性化的安全策略管理
- 员工行为管理为客户解决的问题
- 记录终端的各种行为举动,作为企业信息安全凭证
- 监控终端的各种行为举动,提高员工的工作效率
- 资产管理为客户解决的问题
- 收集和上报终端的软硬件资产信息
- 明确资产责任人
- 提供丰富的资产统计报表和资产变更报表
- 统一管理企业资产,提高效率,降低维护成本
- 补丁管理为客户解决的问题
- 帮助客户解决系统漏洞修复工作,简化企业系统维护,提高企业终端安全水平
- 软件分发为客户解决的问题
- 用户可以通过软件分发功能将软件手工或按计划分发给相应终端
- 支持部门、按操作系统进行软件分发
- 简易终端信息化维护工作,提供企业核心竞争力
终端安全管理特点
- 实现立体的企业内网安全防护
- 终端认证和安全检查
- 硬件实现网络层访问控制
- 细粒度的授权管理保障业务系统安全
- 帮助企业提升信息安全管理水平
- 全面的安全策略检查和灵活的安全策略管理
- 帮助企业进行员工违规行为审计和员工行为管理
- 为客户提供高可靠的终端管理方案
- 支持双机热备满足电信级可靠标准
- 支持负载均衡保障高可靠性
主机防入侵系统(HIDS)
入侵检测的定义
- 入侵检测的概念最早由安德森在1980年提出,是指对入侵行为的发觉,并对此做出反应的过程
- 入侵检测是防火墙的合理补充、帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计,监视,进攻识别和响应),提高信息安全基础结构的完整性
- 它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测系统的主要功能
- 监视并分析用户和系统的活动
- 检查系统配置和漏洞
- 识别已知的攻击行为并报警
- 异常行为模式的统计分析
- 评估系统关键资源和数据文件的完整性
- 操作系统的审计跟踪管理,并识别用户违反安全策略的行为
基于主机的入侵检测系统
基于主机的入侵检测系统为早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上
- 主机入侵检测系统安装在我们需要保护的设备上,如当一个数据库服务器需要保护时,就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外,它也会带来一些额外的安全问题,安装了主机入侵检测系统后,将本不允许管理员有权力访问的服务器变成他可以访问的了
- 主机的审计信息弱点,如易受攻击,入侵者可通过使用某些系统特权或调用比本身更低级的操作来逃避审计
- 主机入侵检测系统依赖于服务器固有的日志与监视能力,且只能对服务器的特定的用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制。
- 主机入侵检测系统除了监测自身的主机以外,根本不监测网络上的情况,不能通过分析主机审计记录来检测网络攻击(如域名欺骗、端口扫描)
- 全面部署主机入侵检测系统代价较大,企业中很难将所有主机用主机入侵检测系统保护,只能选择部分主机保护,那些未安装主机入侵检测系统的及其将成为保护的盲点,入侵者可利用这些机器达到攻击目标
入侵响应
- 被动响应入侵检测系统
- 被动响应入侵检测系统只会发出告警通知,将发生的异常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动,而由管理员决定是否采取下一步行动,告警和通知、SNMP陷阱和插件是两种常用的被动响应技术
- 主动响应入侵检测系统
- 主动响应系统可以分为两类:对被攻击系统实施控制的系统和对攻击系统实施控制的系统。
- 对攻击系统实施控制比较困难,主要是对被攻击系统实施控制。主动响应有两种形式,一种是由用户驱动的,一种是由系统本身自动执行的。对入侵者采取反击行动,修正系统环境和收集尽可能多的信息是主动响应的基本手段。
- 应急响应组
- 所谓应急响应,通常指一个组织为了应对各种意外时间的发生所做的准备以及在事件发生后所采取的措施。应急响应的开始是因为有“事件”发生。所谓事件或安全事件指的是那些影响计算机系统和网络安全的不当行为。网络安全事件造成的损失往往是巨大的,而且往往是在很短的时间内造成的。因此,应对网络事件的关键是速度与效率。应急响应技术在事件方面的内容包括事件分类、事件描述和事件报告等
- 应急响应计划
- 应急响应计划是指组织为了应对突发/重大信息安全事件而编制的,对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。
入侵检测的分析技术
异常检测技术
- 异常检测技术也称为基于行为的检测技术,是根据用户的行为和系统资源的使用情况判断是否存在网络入侵
- 异常检测基于一个假设,即入侵行为存在于偏离系统正常使用的事件中,异常检测就是要找出偏离正常行为的事件,并从中发现入侵
- 通常将过去观察到的正常行为与收到攻击时的行为加以比较,根据使用者的异常行为或资源的异常使用状况来判断是否发生入侵活动,其原则是任何与已知行为模型不符合的行为都认为是入侵行为
- 异常检测的假设是入侵者活动异常于正常主体的活动。这种活动存在4种可能:
- 入侵性而非异常
- 非入侵性且异常
- 非入侵性且非异常
- 入侵且异常
- 异常检测的优点是:与系统相对无关,通用性比较强,易于实现,,易于自动更新,可以发现未知的入侵行为,同时有一定的学习能力。但单纯的统计异常检测方法对时间发生的次序不够敏感,误报、续保率较高,对没有统计特征的攻击方法难以检测。
- 异常检测的难题在于如何建立系统正常行为的活动轮廓以及如何设计统计算法,基于异常的入侵检测系统通过构造不同的异常模型来实现不同的检测方法,使用观测到的一组测量值偏离度来预测用户行为的变化而做出决策判断。目前基于异常的入侵检测系统主要采用的技术有统计分析,贝叶斯推理、神经网络和数据挖掘等方法。
误用检测技术
- 误用检测技术也称为基于知识的检测或基于特征的检测。无用检测假设所有入侵的行为或手段及其变种都能成为一种模式或特征。误用检测技术通过对已知道的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名。检测时,主要判别主机或者网络中所搜集到的数据特征是否匹配所收集的特征库中的一种,以此判断是否有入侵行为。
- 基于误用检测的入侵检测技术通过收集入侵攻击和系统缺陷的相关知识来构成入侵检测系统中的知识库,然后利用这些知识寻找那些企图利用这些系统缺陷的攻击行为。也就是说基于误用检测的入侵检测技术是通过检测那些与已知的入侵行为模式类似的行为或间接地违背系统安全规则的行为来判断是否有入侵活动。系统中的任何不能确认是攻击的行为都被认为是系统的正常行为。
- 基于误用的入侵检测技术具有良好的精确度,误报率低,但其检测依赖于对入侵攻击和系统缺陷相关知识的不断更新和补充,因此不能检测未知的入侵行为。误用检测的关键是如何表达入侵行为、构建攻击模式,把真正的入侵与正常行为区分开,以及检测过程中的推理模型。
- 在具体实现上,基于误用检测的IDS知识在表示入侵模式的方式以及在系统的审计入侵模式的机制上有所不同。误用检测的主要实现技术有专家系统、状态转换分析、模式匹配等。
- CIDF(通用入侵检测框架)阐述了一个入侵检测系统(IDS)的通用模型,它将一个入侵检测系统分为以下组件:事件产生器,事件分析器,响应单元,事件数据库
分布式入侵检测系统
- 随着网络系统结构的复杂化和大型化,出现了许多新的入侵检测问题:
- 首先,系统的弱点或漏洞分散在网络中的各个主机上,这些弱点问题可能被入侵者一起用来攻击网络,而且仅靠一个主机或网络入侵检测系统难以发现入侵行为;
- 第二,网络入侵行为不再是单一的行为,而是表现出相互协作的入侵特点,例如:分布式拒绝服务
- 第三,入侵检测系统所依靠的数据来源分化,使得收集原始的检测数据变得困难,例如交换型网络使得监听网络数据包受到限制
- 第四,网络速度传输加快,网络的流量大,原始数据的集中处理方式往往造成瓶颈,从而导致漏检
- 分布式IDS的目标是既能检测网络入侵行为,又能检测主机的入侵行为。系统通常由数据采集模块,通信传输模块、入侵检测分析模块、响应处理模块、管理中心模块和安全知识库组成。这些模块可根据不同的情况进行组合,例如数据采集模块和通信模块组合产生出的新模块就能完成数据采集和传输两种任务
- 所有的这些模块组合起来就成为了一个入侵检测系统。需要指出的是,模块按照网络配置情况和检测的需要可以安装在单独的一台主机上或者分散在网络的不同位置,甚至一些模块本身就能够单独地检测本地的入侵,同时将入侵检测系统的局部结果信息提供给入侵检测管理中心
恶意代码防护系统
恶意代码的概念
- 定义
- 指以危害信息安全等不良意图为目的的程序或代码
- 潜伏在受害计算机系统中实施破坏或窃取信息
- 分类
- 恶意代码的主要功能
- 隐藏在主机上的所有活动
- 删除敏感信息
- 监视键盘
- 收集你的相关信息
- 窃取文件
- 诱骗访问恶意网站
- 开启后门(肉鸡)
- 作为网络传播的起点
- 危害
- 攻击系统,造成系统瘫痪或操作异常
- 危害数据文件的安全存储和使用
- 泄露文件、配置或隐私信息
- 肆意占用资源,影响系统或网络的性能
- 攻击应用程序,如影响邮件的收发
计算机病毒
- 定义:计算机病毒能够寻找宿主对象,并且依附于宿主,是一类具有传染、隐蔽、破坏等能力的恶意代码
- 主要特征:
- 宿主性:依附在另一个程序上
- 隐蔽性:长期隐藏,条件出发
- 传染性:自我复制,感染其他程序
- 破坏性:执行恶意的破坏或恶作剧、消耗资源
- 变异性:逃避反病毒程序的检查
宏病毒
- 特点
- 利用word中的“宏”繁殖传染
- 宏是嵌入到字处理文档中的一段可执行程序
- 宏病毒感染文档,而不是可执行代码
- 宏病毒是平台无关的
- 宏病毒容易传染
- 电子邮件
- 不同类型的宏
- 自动执行:normal.dot,启动
- 自动宏:打开/关闭文档、创建、退出
- 宏命令
- 利用word中的“宏”繁殖传染
计算机病毒的结构
- 引导模块
- 设法获得被执行的机会,获取系统的控制权以引导其他模块进行工作
- 传染模块
- 完成计算机病毒的繁殖和传播
- 触发模块
- 是毒破坏行动是否执行的决定者
- 破坏模块
- 具体负责破坏活动的执行
计算机病毒的引导机制
- 基本方法
- 主动型(也称为隐蔽型或技术型)
- 被动型(也称为公开型或欺骗型)
- 计算机病毒的引导过程
- 驻留内存:病毒若要发挥其破坏作用,一般要驻留内存。有的病毒不驻留内存。
- 窃取系统控制权:病毒驻留内存后,必须取代或扩充系统的原有功能,并窃取系统的控制权
- 隐蔽等待触发:此后病毒隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏
计算机病毒的寄生对象
- 磁盘的引导扇区和特定文件(EXE、COM等可执行程序)
- DLL、DOC、HTML等经常使用的文件中
- 替代法
- 病毒程序用自己的部分或全部代码指令直接替换掉磁盘引导扇区或者文件中的原有内容
- 链接法
- 病毒程序将自身插入到原有内容的首部、尾部或者中间和原有内容链接为一个整体
病毒的活动过程
- 潜伏阶段
- 病毒是空闲的
- 触发阶段
- 病毒被某个事件激活
- 包括日期、某个程序运行、中断调用、启动次数等
- 繁殖阶段
- 复制病毒、传染其他程序
- 执行阶段
- 执行某种有害或无害的功能
- 盗窃、破坏数据信息、破坏硬件设备、耗费系统资源、产生视觉/听觉效果等
病毒的防范
- 病毒的防范
- 预防为主、治疗为辅
- 防范措施
- 安装真正有效的防杀计算机病毒软件
- 不要随便直接运行或直接打开电子函件中夹带的附件文件
- 安装网络服务器时应该保证没有计算机病毒存在
- 一定要用硬盘启动网络服务器
- 注意病毒传入途径
- 终端漏洞导致病毒传播
- 邮件接收导致病毒传播
- 外部带有病毒的介质直接接入网络导致病毒传播
- 内部用户绕过边界防护措施,直接接入因特网导致病毒被引入
- 网页中的恶意代码传入
- 特征扫描的方法
- 根据提取的病毒特征,查找计算机中是否有文件存在相同的感染特征
- 内存扫描程序
- 尽管病毒可以毫无觉察的把自己隐藏在程序和文件中,但病毒不能在内存中隐藏自己
- 内存扫描程序可以直接搜索内存,查找病毒代码
- 完整性检查器
- 记录计算机在未感染状态可执行文件和引导记录的信息指纹,将这一信息存放在硬盘的数据库中,并根据需要进行匹配测试,判断文件是否被病毒感染
反病毒技术
- 行为监视器
- 行为监视器又叫行为监视程序,它是内存驻留程序,这种程序静静地在后台工作,等待病毒或其他有恶意的损害活动
- 如果行为监视程序检测到这类活动,它就会通知用户,并让用户决定这一类活动是否继续
- CPU仿真器或虚拟机
- 一个可执行文件中的指令先由仿真器来解释,而不是直接由底层的处理器解释
- 使用虚拟机技术,是目前较为前沿的一种反病毒技术
- 以程序在执行过程是否具有感染行为作为依据来判断该程序是否是病毒,查毒准确率几乎可达百分百
络导致病毒传播
- 内部用户绕过边界防护措施,直接接入因特网导致病毒被引入
- 网页中的恶意代码传入
- 特征扫描的方法
- 根据提取的病毒特征,查找计算机中是否有文件存在相同的感染特征
- 内存扫描程序
- 尽管病毒可以毫无觉察的把自己隐藏在程序和文件中,但病毒不能在内存中隐藏自己
- 内存扫描程序可以直接搜索内存,查找病毒代码
- 完整性检查器
- 记录计算机在未感染状态可执行文件和引导记录的信息指纹,将这一信息存放在硬盘的数据库中,并根据需要进行匹配测试,判断文件是否被病毒感染
反病毒技术
- 行为监视器
- 行为监视器又叫行为监视程序,它是内存驻留程序,这种程序静静地在后台工作,等待病毒或其他有恶意的损害活动
- 如果行为监视程序检测到这类活动,它就会通知用户,并让用户决定这一类活动是否继续
- CPU仿真器或虚拟机
- 一个可执行文件中的指令先由仿真器来解释,而不是直接由底层的处理器解释
- 使用虚拟机技术,是目前较为前沿的一种反病毒技术
- 以程序在执行过程是否具有感染行为作为依据来判断该程序是否是病毒,查毒准确率几乎可达百分百
