2017年的勒索病毒事件爆发到网络安全法的发布,终端安全已经成为了安全领域最核心的部分,也俨然成为了信息技术发展的下一个风口,但终端安全产品与简单家庭计算机保护的区别在于,终端上的安全工具由企业IT集中管理。安全措施在两个层上运行:有在终端上运行的软件代理,以及监视和控制代理的集中式终端安全管理系统。 终端安全产品化聚焦点在于威胁事件事前、事中和事后三个方面事前:1.复杂攻击的防御与响应当前的网络环境黑客...
303
反病毒软件中最常见的不依赖与特定特征码进行检测的模块是启发式引擎。与通用侦测程序或基于特征码的常见病毒扫描侦测方案不同,启发式引擎一局文件通用行为做出判断。1.绕过静态启发式引擎静态启发式引擎依据部署目标的不同,执行方式也有所不同。比如,一种常见的情况是使用基于机器学习算法(例如贝叶斯神经网络算法或通用学习算法)的启发式引擎,因为它们需要针对有集群工具包创建的最大的恶意软件家族,找出不同变种间的相似...
13
PE文件有很多编发可以用来修改PE文件而不变更其行为或对其进行很大的改动,简单列举如下(还有很多):区段名称 对于一些特殊的文件壳或者压缩器来说,区段的名称没有实际意义。只要保持区块大小 (最多为8个字符) 恒定,你就可以随意变更区段的名称。一些反病毒软件的通用扫描器会匹配文件的区段来判断文件是否是某一类恶意软件的变种。时间戳 在某些情况下,某一类恶意软件的变种会带有相同的时间戳 (编译文件的时间 ),有一些反病...
62
1.用于侦测恶意软件的老把戏:分治算法绕过基于静态特征码(如CRC或简单模式匹配算法) 的反病毒扫描器的最古老技巧是: 把文件分成细小的若干部分,然后对这些部分逐一分析。将样本文件分成若干部分以后,其中仍然会触发反病毒扫描器的检测告警的部分,就是接下来为了绕过反病毒软件需要修改的部分。虽然这听起来十分幼稚,而且大多数情况下可能都不管用,但是如果反病毒软件使用的是基于校验和的特征码算法或是简单特征匹配检测算法...
47
在反病毒引擎中,特征码扮演着至关重要的角色。特征码一般是用于判定文件或缓冲区是否包含恶意代码的一串散列值或字节码。所有反病毒引擎自始至终都在使用特征码技术。尽管具体形式多种多样,但特征码一般是一串包含判断文件或缓冲区中是否存在已知恶意文件特征的短小散列值或字节码。散列通过特定的算法(比如CRC或MD5 )生成散列值,以作为特征码使用。这类算法计算速度快,可以在每秒内计算许多次,且不会消耗大量资源。因为特征...
390
小时候,还没有手机,隐私只是小小的心思,因为,秘密在屋里头,威胁在屋外头;长大后,出现了网络,隐私变成了风中的飘絮,因为,隐私在网这头,黑客在网那头;现如今,有了大数据,隐私已是倒悬的利剑,因为,秘密在云里头,我也在云里头;看未来,万物互联了,隐私早已是网络的仆人,因为,秘密虽然在屋外头,我却安然地藏在屋里头。改编自《安全简史》的一段陈述,深刻描述了当今社会网络安全带给人们、家庭和社会的影响,安全...
26
红包分享
钱包管理
