iT邦幫忙

2021 iThome 鐵人賽

DAY 13
0
Security

過關斬將,資安面試300題系列 第 13

防毒軟體偵測篇

  • 分享至 

  • xImage
  •  

今天算是以病毒與防毒軟體為主的方向。
這篇不在原本的安排之內,
不過昨天惡意程式分析之後,
發現有些東西好像不適合放在昨天,
可是又覺得好像應該要講一下。

照慣例,每篇文章都會附上第一篇的文章,讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麼是木馬, 蠕蟲, 病毒?

同樣都是惡意程式,木馬通常是透過無害的檔案,但檔案當中帶有惡意的片段程式碼,不會進行自我複製;蠕蟲通常可利用網路進行自我複製擴散傳染;進入資訊設備後未經授權執行,影響使用者正常行為或是造成危害的程式可稱為病毒。

2.甚麼是勒索軟體(Ransomware)?

是一種病毒,會把你電腦裡面的檔案或資料進行加密,然後攻擊者會勒索你要求你付贖金,才會給你解密的金鑰。

3.甚麼是無檔案病毒(Fileless Malware)攻擊?

是一種檔案不落地執行惡意程式碼的病毒攻擊,讓防毒軟體偵測與事後調查的難度都增加。

趨勢科技的部落格,有一些關於Fileless Malware的文章可以參考
https://blog.trendmicro.com.tw/?p=57676

4.防毒軟體有哪些偵測與分析病毒的方法?

特徵比對、信譽平等、啟發式、HIPS、行為分析... (其實就是接下來的題目XDD)

5.甚麼是特徵比對?有甚麼優缺點?

根據已知的條件(例如程式碼、檔案Hash等等)進行比對。優點是誤判率較低,缺點是只能偵測已知的惡意程式,遇到變種病毒就無法。

6.甚麼是信譽評等(Reputation-based)?有甚麼優缺點?

透過對網頁或是檔案進行安全性評分的一種機制,再透過大數據資料庫,來去看這個網頁或是檔案的安全性評分如何。缺點是如果是自行開發的小程式,常有誤判情形。

7.甚麼是啟發式偵測技術(Heuristic)?有甚麼優缺點?

啟發式是用一系列的規則來偵測惡意程式的ㄐ機制,而不是基於病毒資料庫的傳統方式。有靜態與動態啟發式。優點是可以發現到變種的病毒,缺點是誤判率會比較高。

8.甚麼是HIPS主機入侵防禦?有甚麼優缺點?

HIPS機制概念上有點像是防火牆,可以透過預定的規則,來允許或阻擋電腦中的行為。通常會有AD應用程式防護、RD註冊表防護、FD檔案防護。

9.甚麼是行為分析偵測防毒?有甚麼優缺點?

行為分析就是如果有偵測到特定的行為(疑似惡意行為),就會被判定為惡意程式。優點與缺點都是行為必定會存在,例如,今天不管是惡意程式想關閉UAC,或是我自己寫的程式想關閉UAC,都一定會觸發關閉UAC的行為。

10.甚麼是AI人工智慧(或ML機器學習)偵測防毒?有甚麼優缺點?

透過機器學習的技術來找出可能的未知病毒。優點是可以偵測變種惡意程式,但需要大量的Sample。

11.你有知道甚麼樣的覺得特別的防毒技術嗎?是哪一個防毒軟體的?

其實各家廠商的防毒軟體技術,都各有一點特色,有興趣可以多看看一些產品介紹XD
雖然大部分還是都大同小異,技術原理可能差不多(?,
不過使用者體驗或是一些設定細微程度有差,但這個通常才是影響使用者會不會繼續使用的關鍵呀~


然後關於防毒軟體

我自己覺得微軟內建的Windows Defender

還滿夠用的

若有要補充也都歡迎留言


上一篇
惡意程式分析篇
下一篇
ICS/SCADA工業控制系統
系列文
過關斬將,資安面試300題30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言