查看: 12246|回复: 51
收起左侧

[其他相关] 【新手指南】样本区常用词汇简单解析:2017/4/5最后修改

  [复制链接]
root1605
发表于 2017-2-10 15:13:48 | 显示全部楼层 |阅读模式
本帖最后由 root1605 于 2017-4-5 18:04 编辑

【新手指南】
样本区常用词汇简单解析


2楼 样本区词汇简单解析
(按照首字母排序:A=>Z)
3楼 安软及常用工具的简称
4楼 其他问题

[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
•“使用场景”为一般情况
•解析仅作适合新手理解的介绍
•介绍安软,常用工具,其他问题为附加内容
•使用所介绍ARK工具有一定风险,务必清楚每一步操作的目的和后果
•非论坛官方教程
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
•本帖主要对象为初来样本区的童鞋
若对样本区一些常见的词汇不太清楚而查资料又难以理解时可以参考此贴。
•Ctrl+Z快速查询
•本帖将不定时维护:
Last Update:2017/4/5
•By root1605

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 15经验 +20 原创 +1 人气 +14 收起 理由
绯色鎏金 + 20 感谢更新: )
275751198 + 1 版区有你更精彩: )
Virus4 + 1 精品文章
bayern + 1 多年未见好帖子
翼风Fly + 1 版区有你更精彩: )

查看全部评分

root1605
 楼主| 发表于 2017-2-10 15:13:49 | 显示全部楼层
本帖最后由 root1605 于 2017-4-5 18:04 编辑

①APT
使用场景:样本来源说明
解析:
      


      APT,为Advanced Persistent Threat的缩写,意味高级持续性威胁。如果你的个人电脑经常受到恶意软件的威胁,并非“高级持续性威胁”,它一般指用先进的攻击手段长期地对某一个目标进行长时间的攻击,这些手段包括使用垃圾邮件,DDoS(稍后介绍),恶意软件等。它的目的一般为盗取核心资料,获取商业利益等等。有能力发动APT攻击的组织一般为国际性的网络犯罪集团,它们总是预先获得目标的大量情报信息再进行攻击,特点可概括为:破坏力强,危害大,持续时间长。
      实际上来说,攻/防是成本的较量,没有攻击是完全无法防御的,也没有防御是完美的。一般APT攻击的对象不会是个人,但个人可能受到影响,比如APT组织的一些恶意工具可能在地下论坛被二次修改转给其他人使用。
      目前流行的防御APT思路有三种:
1、采用高级检测技术和数据分析来发现APT攻击行为,举例:FireEye。
2、采用数据加密和数据防泄密防止机密外泄,举例:赛门铁克。
3、采用严格的身份认证和用户权限管理,严密控制内网对核心数据和业务的访问(也就是注重权限),举例:RSA。
      典型的APT组织如:Metel,GCMAN,Angler-EK,Waterbug(据说是受政府组织支持的APT组织)。




②ARK工具:
使用场景:样本分析
解析:

      ARK为Anti-Rootkit的缩写,为对抗Rootkit(稍后介绍)的一种工具,或者叫反内核工具。但不只是只能对抗Rootkit,其中的一些功能是十分有用的,比如杀进程,强制删除文件等。一般来说,此类工具(运行时)具有最高的系统权限,有些人用它来辅助手工杀毒。如果对一些内容不了解不要随意操作。
      常见的ARK工具(中文)有PCHunter,PowerTool等。


①动态启发
使用场景:回帖说明测试情况
解析:
   
可疑程序运行前将其放入一个虚拟环境(这个环境与系统隔开,通常情况下不会影响到系统安全),提取这个可疑程序的行为和启发特征库匹配,再行判断。这种手段资源占用较大,还让用户有一种延迟的感觉,影响体验,并且虚拟环境非真实Windows系统环境,恶意软件的行为并不总能表现出来,更有甚者能够绕过这个检测。
    具体什么程序被认为是可疑程序应该放入虚拟环境,各个杀毒及同一个杀软不同防御等级都不一样。
    典型的动态启发:Avast的“代码模拟”:




②DDoS
使用场景:样本来源分析
解析:
    DDoS,为Distributed Denial of Service的缩写,意味分布式拒绝服务攻击。其一般定义为
分布式拒绝服务攻击,是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。

   使用DDoS攻击手段并不一定是组织,也有可能是个人。自己可以发展僵尸网络,也可以去购买DDoS服务去攻击其他网站达到某些目的。并且使对方的服务器瘫痪不一定是最终目的,也有可能是破坏性更大的攻击的掩护,比如盗取数据(趁火打劫),植入木马等。
     以下的介绍可以表明DDoS攻击的广泛性:     
     黑客在地下黑客市场一直提供DDoS攻击服务,包括俄罗斯的一些黑市上。一个黑客在论坛上售卖他的DDoS服务,说“能够利用DDoS攻击你的竞争对手的网站,论坛等,我们采取一切手段,可攻击防护很弱的站点到有很高安全性能的站点快速干掉您的对手!”另一些黑客提供完全匿名攻击客户指定的计算机的服务。黑客们还承诺“长期客户,订购大量服务的购买者会得到较大的折扣”,提供7*24服务支持,并且客户花最少的钱起到最大的效果,如果客户有不满还可以退款,甚至他们还承诺这项黑客服务不违反国家法律,让购买者放心,看到这里,我们的安全分析专家觉得很搞笑。
       我们的安全专家(指Dell SecureWorks的分析人员)发现了大多数提供DDoS攻击服务的俄罗斯黑客都提供了5~10分钟时间的免费使用服务的时间。我们的安全专家发现了在大多数俄罗斯地下市场的DDoS服务标价,如下:
       •5美元1小时
       •50美元1天
       •200美元到350美元1周(如果你要攻击的网站有防DDoS攻击的措施,价格是较高的)
       •1000美元1个月
       黑客主要使用以下方式进行攻击
       • UDP Flood
        • TCP Flood
        • HTTP/HTTPS Flood
        • SYN Flood
      





③DLL
使用场景:样本分享贴,样本分析
解析:
    DLL,为Dynamic Link Library的缩写,意味动态链接库,这些DLL文件中包含着一些代码,其他程序运行时可以调用这个DLL中的函数(这里可以简单理解为“功能”)。后缀名是.dll的文件一定有一个PE文件头,表示它以被Windows解析并使用(任何一个可直接或间接执行的文件,要想让Windows执行,必须告诉一声Winsows“我是可以被执行的”),但其中包含的代码并非一定是本机代码。
      任何调用了DLL文件中“功能”的程序都不能独立完整地运行,在程序执行需要实时调用DLL文件中的“功能”时,程序会自动从
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
应用程序所在目录
Windows系统目录
Windows目录
系统环境变量指定目录

      寻找在编写程序时链接了的DLL文件,如果没有找到,程序将无法执行相关任务。
      病毒木马可能会使用Windows的一些DLL,有些DLL中封装有敏感的“功能”,如kernel32.dll,其包含了内存管理,任务管理,资源控制的“功能”(写外.挂之类的程序可能会调用这个DLL)。也可以自己写DLL文再由主程序调用,目的是方便维护(升级时只用替换.dll文件不用替换程序文件),减小体积等。

      样本区的样本若为.dll文件,通常只能对其扫描测试,或者使用http://bbs.kafan.cn/thread-2055693-1-1.html调用.dll文件中的函数。



①Hook/钩子
使用场景:样本分享贴,样本分析

解析:
       这里可把Hook当作一个“监听器”,它能够监听Windows系统的各种事件和消息,在监听到这个事件/消息后能够执行预先设定好的代码段(下称“函数”)。如果使用传统的Windows API编程,这是很重要的概念。
       比如单击一下窗口上的一个按钮Button1,就产生一个“消息”:“被按住”,而一个Hook在监听这个消息,随后便调用处理这个消息的函数。(此过程可称为“回调”,即低层函数[系统级]调用高层函数[一般是自定义的消息/事件处理函数])。
       经常看到安全软件提示的“加载全局钩子”,意思就是“全局监控”,这类钩子可以捕获整个系统的“一举一动”,对于不认识的程序应该禁止,在正常程序中,一般安全软件/工具,广告过滤器,甚至是某些游戏会加载全局钩子。

       以后在看样本区回帖分析时提到的“Hook”“回调”,就不会完全陌生了。



②互斥体
使用场景:样本分析
解析:

在任意时刻,只有一个线程被允许进入代码保护区。任何线程在进入临界区之前,必须获取与此区域相关联的互斥体的所有权。如果已有另一线程拥有了临界区的互斥体,其他线程就不能再进入其中。这些线程必须等待,直到当前的属主线程释放(release)该互斥体。什么时候需要使用互斥体呢?互斥体用于保护共享的易变代码,也就是,全局或静态数据。这样的数据必须通过互斥体进行保护,以防止它们在多个线程同时访问时损坏。

      其实简单来说,创建互斥体的目的就是:为了防止一个程序运行多个“实例”(同一个程序,运行着几个就是一个“实例”),即一个程序不能多开。病毒创建互斥体,可能是检测自身是否已经运行,如果是将不再创建一个新“实例”。实现这个功能并不难,Windows提供了相关接口。以下仅为示例:病毒创建互斥体的的行为与这个类似:
  1. //cpp
  2. #include <windows.h>
  3. #include <iostream>
  4. int main()
  5. {
  6.        HANDLE hMutex = CreateMutex(NULL, FALSE, "ONLY_ONE_PROCESS");
  7.        if (NULL == hMutex)
  8.       {
  9.               std::cout << "创建互斥体失败!" <<std::endl;
  10.               system("pause");
  11.               return -1;//创建互斥体失败则退出
  12.        }
  13.        if (hMutex && ERROR_ALREADY_EXISTS == GetLastError())
  14.        {
  15.               std::cout<<"程序已经在运行之中!"<<std::endl;
  16.               return -1;//程序已经有实例运行则退出
  17.        }
  18.        system("pause");
  19.        ReleaseMutex(hMutex);
  20.        std::cout<<"互斥体持有权已释放!"<<std::endl;
  21.        CloseHandle(hMutex);   
  22.        return 0;//正常退出
  23. }
复制代码




①加驱
使用场景:样本分享贴,样本分析
解析:

        一个程序要才能获得ring0(允许直接访问内核)的运行级别,可以通过安装“驱动”来实现。加载驱动后软件拥有最高权限,同时也十分危险,程序的一点小错误也可能引起蓝屏。加驱还可能绕过杀毒软件的防御,或者阻止杀毒软件的驱动加载甚至使其失效。(具体原因篇幅限制,有时间专门开贴说明,涉及NT内核的一些东西)
       对于一些软件的无意义加驱是没必要的,尤其是各种小众软件,要注意系统的稳定性了。若是病毒加驱,一定要阻止。
      



②加壳/脱壳
使用场景:样本分析
解析:

      加壳本身不一定是什么恶意行为,不要误解了。加壳,就是通过某种算法,改变exe文件或dll文件(参见前文“DLL”)的编码,为了缩小文件的体积(类似于“压缩”,这种叫“压缩壳”)或加密程序编码(防止被破解等,这种叫“加密“)。就像使用zip文件一样,一般来说对程序加壳不会破坏程序的运行,在程序被打开后,这个“壳”先把原来的程序“解压缩”出来再运行,这个时候壳内的程序即可运行了,这种动作是自动完成的。这样一定程度上隐藏了程序内部。如果仅仅是基于特征码分析而不对文件脱壳,一个恶意程序被加了不同的壳,就无法鉴别了,更何况壳也可以嵌套。为什么有些杀毒软件会报壳而不指明恶意软件类型,比如
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
a variant of Win32/Packed.Themida
TR/Crypt.XPACK.Gen
Mal/EncPk-BL

可能是无法脱壳或者判定此时脱壳会严重影响性能等原因,然后就直接“报壳”了。当然杀软一般也不是见壳就报,一个已经发布的文件被加壳,可疑度是比较高的。
       常见的脱壳有两种,一种被称为“硬脱壳”,即将加壳的加密算法进行逆向运算,但一般成功率不高,恶意软件用的“壳”均带有变形,加密的特点,同一个程序加壳生成的代码都不一样。另一种是“动态脱壳”,捕获程序运行后自行脱壳的“镜像”(就是程序原型),相对来说更为可靠。


③脚本
使用场景:样本分享贴
解析:

       简单来说,脚本是一系列控制计算机的(由人直接写的)语句。有人问了,像C语言,C++等不也是一系列的语句组成的吗,比如上文的"std::cout << "创建互斥体失败!" <<std::endl;"。其实这些语言的一系列语句经过编译器会生成一系列的二进制指令,不需要解释器(或者说这个“解释器”就是你的计算机)。而脚本语言不直接编译为二进制指令,而是由这类脚本专用解释器(通常是“软件”)去完成动作。脚本语言有很多,比如Javascript,Perl,PHP等。
       网页中可以嵌入脚本,这些脚本由浏览器的解释器执行,可能会产生有害的动作。而脚本也可以不由浏览器执行,在系统上由专用解释器执行。下图是Windows自带的VBS脚本解释器(执行错误)。



      

④进程/线程
使用场景:样本分析
解析:
      
当你打开你的Microsoft Word程序时,这个Word的实例就是一个“进程”,要在打印Word文档的同时还要编辑文档,打印文档和编辑文档就是两个线程。严格的来说:
进程是一个具有一定独立功能的程序在一个数据集上的一次动态执行的过程

      进程就是一个程序执行的框架,进程会被分配资源,即“系统资源分配的单位”,而线程是这个程序中的各个任务。一个程序可以由多个线程,也可以没有(一般不会),即代表程序的并行任务有多少。如果一个程序是单线程,在同一个时间只能干一件事。
       如果你有一点点编程基础,更有助于理解线程和进程。以下的例子示范了线程的使用。(选看)
  1. using System;
  2. using System.Threading;
  3. class Test
  4. {
  5. static void Main(string[] args)//C#
  6.   {
  7.    new Thread(() => {for(int i=0 ;i<20;++i)  Console.WriteLine("Hello!");}).Start();
  8.    new Thread(() => {for(int i=0 ;i<20;++i)  Console.WriteLine("你好");}).Start();
  9.    Console.ReadKey();
  10.   }
  11. //这里的例子是托管线程,与一般线程略有不同。但这里可以忽略差别。
  12. }
复制代码

      在现在的计算机上,一般以上输出“Hello!”和输出“你好”的线程会同时工作。
      病毒也可能用多线程技术,为了同时执行不同任务。经常见到的“进程注入”,“父进程”,“子进程”等请在下文查找。



⑤静态启发
使用场景:回帖说明测试情况
解析:

      当病毒程序没有执行之前,通过反编译器(和上文说的“编译”相反,即把二进制代码再近似还原到人写的语句)分析出程序要执行的命令,通过这些命令和行为特征库的对比,得出结论。反编译很难,不可能解析出所有指令。形象的比喻:(看见一个文质彬彬的人,再怎么看面相,也许是一个坏人呢?)

      
⑥JRE
使用场景:Android样本分析
解析:

      JRE,Java Runtime Environment的简称,意味Java程序运行环境。参见上文的“编译”,人用Java写的代码不同,其会被编译器转译为中间代码(IL),在运行程序时,JRE负责将IL解析成二进制代码,因为不论怎么样计算机执行的是二进制代码。至于更多细节,参考下文的“.NET Framework”,两者的原理类似。

      分析一些运行于Java虚拟机环境的病毒(相对很少),Android病毒(这两个概念不是严格的没有交集,此处忽略),JRE一般是必备的。如@慕容曦 的: http://bbs.kafan.cn/thread-2069104-1-1.html


①勒索/敲竹杠/Ransom
使用场景:样本分享贴,样本分析
解析:

      一般本区说的“敲竹杠”指的是锁机木马之类的东西,如下图。加密用户文件,锁磁盘后需要赎金的,叫勒索/Ransom。但实际上勒索软件的一半定义是:
勒索软件是以通过各种手段来拒绝人们访问用户数据并要求支付赎金作为最终目标的一类恶意软件。


      勒索软件,一般会用高强度的加密算法加密用户文件,甚至加密整个磁盘,是无法破解的(除非算法有漏洞)。对于大公司来说防范勒索软件尤其重要。具体细节可参考(
http://bbs.kafan.cn/thread-2046421-1-1.html
http://bbs.kafan.cn/thread-2039496-1-1.html )等相关内容。
      典型的勒索软件有,Petya,Locky,CryptoWall等。

      防范勒索软件的方法有:(来自@飘摇的紫微星 )
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
安装并使用一款或多款安全软件组合;
 定期进行端口扫描;
 定期/不定期进行漏洞扫描/安装/更新/补救;
 需要身份验证的所有公开系统/服务都应当使用非重复的强密码,并可以考虑开启双重认证(如果可能);
 限制甚至禁用office的宏;
 禁用PDF上不必要的功能,如 JavaScript;
 如非必要,不要安装 USB 驱动器;
 带有附件的邮件硬经过验证;
 善用虚拟机测试位置软件“




②MD5
使用场景:样本分享贴
解析:

      MD5值就相当一个文件的“指纹”,正常使用计算机时,两个不同的文件不会有相同的MD5值。如果样本区有两个样本MD5值相同,那么基本上就是重复了。但是MD5值不一样不代表不是行为不同的样本,因为文件发生任何改变MD5值随之改变,所以各种随机加壳,或者编译病毒时多写一些无关指令等也会造成MD5值不一样。
      MD5值是通过算法算出来的,文件本身不包含自己的MD5。



①.NET Framework
使用场景:样本分析
解析:
      有少量样本是.NET平台的,对于这一部分的内容,参见:
http://bbs.kafan.cn/thread-2073476-1-1.html)有详细的描述。


②逆向工程
使用场景:样本分析
解析:
      本区所提的一般为软件逆向工程。就是根据已有的东西,推导出这些功能的具体实现方法。可以反汇编,反编译,动态跟踪等等。同理也可以用来分析病毒。




①PID
使用场景:样本分析
解析:

      PID是系统给进程的标号,是动态的,由系统分配。相同进程,第一次运行和第二次运行所得的PID号不同。每一个进程的PID也是不同的。根据PID,可以结束进程(当然这不是唯一方法。
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T


②PUP/PUA
使用场景:样本分享贴,样本分析,回帖说明测试情况
解析:
      Potentially Unwanted Program/Potentially Unwanted Application
      指的是“不需要的程序”,一般是一些捆绑类广告程序被识别为这个类型,有些杀软报毒名中没有这个。它和Adware,RiskTool等没有严格界限。如图:





①R0/R1/R2/R3
使用场景:样本分析
解析:
     Intel的CPU为了实现访问控制,分了四个访问等级R0~R3,但是Windows只使用了两个(R0和R3)。R0的权限最大,它可以调用所有的CPU指令和访问所有的内存块,CPU将指令分为特权指令和非特权指令,那些特权指令比如清内存,设置时钟之类的,恶意调用会造成崩溃,所以一般是系统及部分软件才会有R0的权限,其他软件都只有R3的权限,如果没有R0的权限而发出特权指令,Windows会提示“非法/无效指令”并禁止执行。




②RAT/远控
使用场景:样本分享贴,样本分析
解析:

      RAT,为Remote Access Tool的缩写,意味远控工具,顾名即可思义,这种工具能够远程控制其他受感染的计算机。欣赏一下某RAT的控制台:



③Rootkit
使用场景:样本分享贴,样本分析
解析:

      Rootkit级病毒木马由于进入了系统底层(R0),通常难以检测难以清除,像幽灵一样。(具体原因涉及NT内核,有时间单独开贴)。如图为ZeroAccess Rootkit。图片来自http://bbs.kafan.cn/thread-1842289-1-1.html
      APT组织经常使用Rootkit木马窃取资料。




④RiskTool/Riskware
使用场景:样本分享贴
解析:
      一般注册机,破解补丁,拨号器之类的程序是“风险工具”。一般出现在杀软的报毒名或者英文安全报告中。





①扫描器
使用场景:回帖说明测试情况
解析:
   
指一类只有扫描功能,没有实时监控功能的工具。通常不会与已经运行的杀毒软件冲突。常见的有http://s.kafan.cn/ (绿色扫描器一栏)
    这里提供Dr.web CureIt和Kaspersky Virus Remove Tool的完整包下载地址(不能更新病毒库,只能每天下载最新版本,其附带有最新病毒库):
https://www.freedrweb.com/download+cureit/gr/?lng=en
http://devbuilds.kaspersky-labs. ... atest/full/KVRT.exe
     其他的如Eset Online Scanner不需要总是下载扫描器。



②SHA256
使用场景:样本分享贴
解析:
同“MD5”,只是算法不一样。



③沙盒/沙盘/沙箱
使用场景:样本分析
解析:
     杀盒是一个虚拟系统程序,可以在这个虚拟环境下运行程序,如果不漏沙(即沙箱的虚拟环境被穿透,里面的程序影响到外界系统)是安全的。有的时候沙箱可以用来快速测试可疑程序。后文会介绍几个常用的沙盒。

      程序运行在沙箱里会略微对性能有影响,并且不是所有程序在沙箱中都能正常运行,有些病毒软件为了隐藏自身,在检测到自身在沙箱中时不会有可疑行为产生。






①Windows API
使用场景:样本分析
解析:

      API,Application Programming Interface,应用程序编程接口。Windows API是用户模式(R3)系统编程接口。
      编写程序时要想让系统完成某些动作,就要通过特定的API来实现,接口就好比一个USB插口,通过这个插口可以让鼠标控制电脑操作。通过调用API可以完成一些任务,你无需关注内部是如何实现的,就像使用USB插口时不必关注鼠标是怎么控制电脑的。调用API是一个“层层相下”的过程,最终任务会由具体硬件完成。
      如果没有API,一些任务将无法完成。比如从样本区下载样本到本地磁盘,你就需要直接去控制硬件。
文件转成2进制=>计算当前可用的空间开始于磁盘的第几柱面/第几扇区之类的详细信息=>检查分区的文件系统=>针对相应的文件系统采用不同的记录方式=>使用对应的控制电流来让硬盘将指定区域的小磁块磁化成"1"或者"0"

      上述过程并不完整,实际上更复杂,不同硬盘也有不同的记录方式。实际上你一般也没办法这么做,在R3下是没有直接访问硬件的权限的。
      
Windows API函数(函数就是完成一个动作特定的代码段)多如牛毛,主要涉及以下几个方面:
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
•基本服务
•组件服务
•用户界面服务
•图形与多媒体协作
•网络
•Web服务




①虚拟机
使用场景:样本分析
解析:

      虚拟机是一个完全仿真的计算机,由软件实现,你在这一台仿真计算机上的操作通常不会破坏到实体机,因此本区经常用来测试病毒。你在普通计算机上能干的事,比如格式化磁盘,装系统等都可以在虚拟机里做。常见的虚拟机有VirtualBox,VMware(收费)等。



②注入
使用场景:样本分析
解析:

     当一个进程运行时,把自己的可执行代码注入到其他进程。注入不总是坏事,杀毒软件可能把自己的进程注入到其他进程中,所以说从任务管理器看到的杀软内存占用不是准确的!病毒使用此手段来感染系统,窃取信息等。一些外{过}{滤}挂也要注入目标进程修改数据。
     启动宿主进程的意思是:启动一个程序(通常是加入白名单的可信程序),并把自己附属在这个进程下面,当它的子进程或者把代码注入到父进程,然后自己再执行恶意代码,目的是绕过杀毒软件的检测。
     通常使用子进程,父进程的目的:
为保护内存中的数据,需要对内存中的数据进行访问的部分放到另外一个进程的内存空间中运行,并且只允许其访问原进程内存中的数据(这样不是必须的)。子进程在处理过程中只对父进程内存空间中的相关数据进行访问(保护父进程地址空间中与当前子进程执行任务无关的全部数据)。
*上段的内存空间实际指的是虚拟地址空间,这里不做介绍。




③“主防”
使用场景:样本分析
解析:
      
“主防”这个概念也是各大区经常争吵的话题,它不像前面的JRE,PID等术语有严格的定义。鄙人认为:凡是能够通过各种手段分析已经运行的程序的行为特征并因此对其安全性作出判断的模块都可以叫“主防”。
         
更多内容参见:http://bbs.kafan.cn/thread-2059441-1-1.html
                              http://bbs.kafan.cn/thread-2070656-1-1.html
         这里不再赘述。下图为AVG的“主防”IDP(旧版)。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +3 收起 理由
KK院长 + 1 老司机带路!
windows7爱好者 + 1 感谢老司机科普
ericdj + 1 赞一个!

查看全部评分

root1605
 楼主| 发表于 2017-2-10 15:13:50 | 显示全部楼层
本帖最后由 root1605 于 2017-3-15 18:13 编辑

①Avira:
     
1.因其托盘图标是一个“小红伞”,所以把它叫做“小红伞”,来自德国,提供了免费的个人版。
        2.Avira在中国的官方代'理是爱红伞
        3.免费版离线包的下载地址
        4.按照上文“主防”的定义,它的“主防”是“APC",详情见简译Avira Protection Cloud官方白皮书
        5.入门贴参考:->Avira概述(Every aspect of Avira)
                            ->Avira 免费版VS ZeroAccess病毒
                            ->小红伞镜像升级服务器再现江湖!!!
                            ->解决小红伞开启Web Protection卡网现象



②Avast:
   
1.Avast来自捷克,同样提供免费版,且带网页防护。有一个不怎么出名的中文名字“爱维士”,但经常被叫做“小a”。
      2.按照官方说法=>“AVAST”指法律上的“AVAST责任有限公司”“avast!”作为图标而存在,书面文本上不用。“Avast”指产品和公司。
      3.入门贴参考->AVAST!12 疑难问题指南 V3.1
                         ->轻轻松松5分钟设置好AVAST 中文防火墙
                         ->Avast个人版FAQ-反复提及的问题~~~~~
                         ->Avast Business Security控制端使用参考手册
                         ->Avast CyberCapture技术完全解析
                         ->Avast:我们如何分析新生威胁?


③BitDefender:
   
1.总部位于罗马尼亚,有免费个人版并且带有“主防”。
      2.目前无正式的中国区代{过}{滤}理,所谓汉化版并不是官方版本。
      3.入门贴参靠->Bitdefender互联网安全套装 2017 英文版简单介绍及设置示例
                          ->比特梵德目前所使用技术的详细说明


④Comodo:
      1.提供免费的互联网安全套装,但单就其杀毒模块来说不强。
      2.入门贴参考-><小白教程>大众如何使用新版comodo?
                          ->新手装CIS10的注意点



⑤Dr.Web
      1.来自俄罗斯,也称作“大蜘蛛”。
      2.脱壳强劲,但不要迷信所谓“军工产品”之类的说法。
      3.有8元/年的反病毒版(无技术支持)且反病毒版带有防火墙。
      4.入门贴参考->Dr.Web(大蜘蛛)新手使用教程
                          ->Dr.Web(大蜘蛛)百科全书


⑥ESET NOD32
      
1.没有惯用的中文名字,来自斯洛伐克。与“趋势科技”,“诺顿”没有任何关系。
       2.入门参考贴->ESET区FAQ
                           ->ESET使用指南1——基本知识
                           ->ESET使用指南2——进阶知识
                           ->ESET使用指南3——网络防护[个人防火墙]


⑦F-Secure
      
1.来自芬兰,有免费使用的(常年都有的)测试版。有可以变相免费试用的企业客户端产品FSCS。无惯用中文名。
       2.有主防“DeepGuard”,详情见F-secure Deepguard 技术简要介绍
       3.入门参考贴->新人用F-Secure Protection 全教程
                           ->新手用FSCS12教程
                        



⑧卡巴斯基
       1.来自俄罗斯,目前有免费的反病毒版本,但只针对中国和俄罗斯用户。
       2.不要想当然地认为“卡巴死机”,谨慎看待百度知道上的消息。
       3.软件的UI基于.NET4,关于.NET,参照上文。
       2.入门贴参考->•Kaspersky个人版FAQ~被反复提及的问题•
                           ->走近卡巴斯基(一)Anti-Phishing/Anti-Rootkit/Anti-Blocker/HIPS                  

                           ->走近卡巴斯基(二)KSN/系统监控/漏洞防护/反垃圾邮件
                           ->走近卡巴斯基(三)反加密勒索/安全支付/受信任程序模式/加密技术                  

                           ->【福利】卡巴斯基2016完全食用指南!!
                           ->卡巴斯基各个产品制作离线更新包的方法
                           ->卡巴智能信誉云防火墙KES10
                           ->科普卡巴斯基数据库结构。你的卡巴能杀多少毒?




其他安全工具:
       1.ARK类:推荐PCHunter,PowerTool。另外推荐@翼风Fly 的【科普向】常用辅助工具推荐,有详尽的说明。
       2.虚拟机/沙盒类:VMware,VirtualBox,SandBoxie。
       3.在线工具:VirusTotalVirusBook,Jotti
                        哈勃,魔盾,CIMA

评分

参与人数 1人气 +1 收起 理由
翼风Fly + 1 版区有你更精彩: )

查看全部评分

root1605
 楼主| 发表于 2017-2-10 15:13:51 | 显示全部楼层
本帖最后由 root1605 于 2017-3-15 18:14 编辑

①哪里找样本
   1.http://bbs.kafan.cn/thread-1961624-1-1.html
   2.安全厂商的病毒分析文章中通常会给出样本的MD5值,用MD5值在上述网站搜寻。
②发帖有什么规范
   本区无明确规定,以下仅为个人意见。
    1.标题最好说明样本种类,不要以“一个样本”“分享样本”等为标题。
    2.样本有特殊运行条件请指明。
    3.不要发布V P N类软件,即使它是有毒的。同时发布毒网也应注意里面是否有管制内容。
    4.本区的主题贴必须有样本存在(一般来说)。
    5.如果要将样本压缩包加密,请将密码设置为"infected"(不包含引号)或是"virus"。如果样本过大(超过1M),可以上传网盘(无需注册即可下载的非广告性质的)或分卷。
③回帖/测试注意事项
    ①不要直接贴杀软扫描记录,可使用代码折叠功能:



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
j2016
发表于 2017-2-10 15:18:48 | 显示全部楼层
好高深
学雷锋做人
发表于 2017-2-10 15:33:48 | 显示全部楼层
这样的帖子写出来很有意义,内容简单易懂,适合新人阅读,应该置顶!
cwl12315
发表于 2017-2-10 16:03:48 | 显示全部楼层
学习中
qwe12301
发表于 2017-2-10 16:07:53 | 显示全部楼层
好贴
月影天心
发表于 2017-2-10 16:22:03 | 显示全部楼层
不错,入门的好帖,形象生动
houtiancheng
发表于 2017-2-10 16:32:24 | 显示全部楼层
简单易懂,人工置顶~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-4-27 03:47 , Processed in 0.110403 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表