惡意代碼分析課件

惡意代碼分析與深層防護(hù)安全模型

雖然許多組織已經(jīng)開發(fā)了防病毒軟件，但惡意軟件（病毒、蠕蟲和特洛伊木馬）仍在繼續(xù)感染著世界各地的計(jì)算機(jī)系統(tǒng)。這表明，在每臺(tái)計(jì)算機(jī)上部署防病毒軟件的標(biāo)準(zhǔn)方法可能不足以應(yīng)對(duì)惡意軟件?！?惡意軟件一、什么是惡意軟件“惡意軟件”指故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬。1、特洛伊木馬（1）遠(yuǎn)程訪問(wèn)特洛伊（2）Rootkit2、蠕蟲3、病毒二、惡意軟件的特征1、目標(biāo)環(huán)境（1）設(shè)備。（2）操作系統(tǒng)。（3）應(yīng)用程序。2、攜帶者對(duì)象（1）可執(zhí)行文件。（2）腳本。（3）宏。（4）啟動(dòng)扇區(qū)。3、傳輸機(jī)制（1）可移動(dòng)媒體。（2）網(wǎng)絡(luò)共享。（3）網(wǎng)絡(luò)掃描。（4）對(duì)等(P2P)網(wǎng)絡(luò)。（5）電子郵件。（6）遠(yuǎn)程利用。4、負(fù)載一旦惡意軟件通過(guò)傳輸?shù)竭_(dá)了宿主計(jì)算機(jī)，它通常會(huì)執(zhí)行一個(gè)稱為“負(fù)載”的操作，負(fù)載可以采用許多形式。常見負(fù)載類型包括：（1）后門。（2）數(shù)據(jù)損壞或刪除。（3）信息竊取。（4）拒絕服務(wù)(DoS)5、觸發(fā)機(jī)制觸發(fā)機(jī)制是惡意軟件的一個(gè)特征，惡意軟件使用此機(jī)制啟動(dòng)復(fù)制或負(fù)載傳遞。典型的觸發(fā)機(jī)制包括以下內(nèi)容：（1）手動(dòng)執(zhí)行。（2）社會(huì)工程。（3）半自動(dòng)執(zhí)行。（4）自動(dòng)執(zhí)行。（5）定時(shí)炸彈。（6）條件。6、防護(hù)機(jī)制許多惡意軟件示例使用某種類型的防護(hù)機(jī)制，來(lái)降低被發(fā)現(xiàn)和刪除的可能性。以下列表提供了一些已被使用的技術(shù)的示例：（1）裝甲。（2）竊?。?）加密。（4）寡態(tài)。（5）多態(tài)。三、防病毒軟件原理防病毒軟件專門用于防護(hù)系統(tǒng)，使其免受來(lái)自任何形式的惡意軟件（而不僅僅是病毒）的侵害。防病毒軟件可以使用許多技術(shù)來(lái)檢測(cè)惡意軟件。其技術(shù)工作原理包括：1、簽名掃描搜索目標(biāo)來(lái)查找表示惡意軟件的模式。這些模式通常存儲(chǔ)在被稱為“簽名文件”的文件中，簽名文件由軟件供應(yīng)商定期更新，以確保防病毒掃描器能夠盡可能多地識(shí)別已知的惡意軟件攻擊。主要問(wèn)題：防病毒軟件必須已更新為應(yīng)對(duì)惡意軟件。2、啟發(fā)式掃描此技術(shù)通過(guò)查找通用的惡意軟件特征，來(lái)嘗試檢測(cè)新形式和已知形式的惡意軟件。此技術(shù)的主要優(yōu)點(diǎn)是，它并不依賴于簽名文件來(lái)識(shí)別和應(yīng)對(duì)惡意軟件。

啟發(fā)式掃描的問(wèn)題：（1）錯(cuò)誤警報(bào)。（2）慢速掃描。（3）新特征可能被遺漏。3、行為阻止著重于惡意軟件攻擊的行為，而不是代碼本身?！?惡意軟件分析

對(duì)惡意軟件進(jìn)行分析，了解其工作方式可以確保系統(tǒng)已被清理干凈并減少再次感染和攻擊的可能性。一、檢查活動(dòng)進(jìn)程和服務(wù)二、檢查啟動(dòng)文件夾惡意軟件可以嘗試通過(guò)修改系統(tǒng)的啟動(dòng)文件夾來(lái)自行啟動(dòng)。檢查每個(gè)啟動(dòng)文件夾中的條目，以確保在系統(tǒng)啟動(dòng)過(guò)程中沒(méi)有惡意軟件嘗試啟動(dòng)。三、檢查計(jì)劃的應(yīng)用程序惡意軟件還可能（但很少見）嘗試使用Windows計(jì)劃程序服務(wù)啟動(dòng)未授權(quán)的應(yīng)用程序。四、分析本地注冊(cè)表備份和恢復(fù)注冊(cè)表。成功備份注冊(cè)表后，在以下區(qū)域中檢查任何異常的文件引用。（參見書上示例）五、檢查惡意軟件和損壞的文件1、對(duì)比大多數(shù)惡意軟件將修改計(jì)算機(jī)硬盤上的一個(gè)或多個(gè)文件，而查找已受到影響的文件可能是一個(gè)很困難的過(guò)程。如果通過(guò)映像創(chuàng)建了系統(tǒng)，則可以將受到感染的系統(tǒng)直接與通過(guò)該映像創(chuàng)建的全新系統(tǒng)進(jìn)行比較。2、搜索可以使用Windows搜索工具，對(duì)自從惡意軟件首次引入系統(tǒng)時(shí)更改的所有文件進(jìn)行系統(tǒng)范圍的搜索，以確定哪些文件已被更改。3、檢查常用的隱藏區(qū)域某些惡意軟件攻擊已經(jīng)使用了有效的系統(tǒng)文件名，但將該文件置于其他文件夾中，以免被Windows文件保護(hù)服務(wù)檢測(cè)到。例如，惡意軟件曾使用一個(gè)名為Svchost.exe的文件，該文件通常安裝在%WINDIR%\System32文件夾中并在該文件夾中受到保護(hù)。直接在%WINDIR%文件夾中創(chuàng)建同名文件的惡意軟件示例已被看到，因此必須檢查完整路徑和文件名。

惡意軟件攻擊用于放置和修改文件的某些常見目標(biāo)區(qū)域包括：%Windir%。%System%。%Temp%。%TemporaryInternetFiles%。六、檢查用戶和組某些惡意軟件攻擊將嘗試評(píng)估系統(tǒng)上現(xiàn)有用戶的特權(quán)，或在擁有管理員特權(quán)的組中添加新新帳戶。檢查以下異常設(shè)置：舊用戶帳戶和組。不適合的用戶名。包含無(wú)效用戶成員身份的組。無(wú)效的用戶權(quán)限。最近提升的任何用戶或組帳戶的特權(quán)。確認(rèn)所有管理器組成員均有效。

七、檢查共享文件夾惡意軟件的另一個(gè)常見癥狀是使用共享文件夾傳播感染。使用計(jì)算機(jī)管理MMC管理單元，或通過(guò)命令行使用NetShare命令檢查受感染系統(tǒng)上的共享文件夾的狀態(tài)。八、檢查打開的網(wǎng)絡(luò)端口許多惡意軟件一個(gè)常使用的技術(shù)是打開主機(jī)上的網(wǎng)絡(luò)端口，使用這些端口獲取該主機(jī)的訪問(wèn)。Netstat-an九、使用網(wǎng)絡(luò)協(xié)議分析器網(wǎng)絡(luò)協(xié)議分析器工具可用于創(chuàng)建受感染主機(jī)傳入和傳出的數(shù)據(jù)的網(wǎng)絡(luò)流量日志。十、檢查和導(dǎo)出系統(tǒng)事件日志可以使用Windows系統(tǒng)事件日志識(shí)別各種異常行為。使用事件查看器管理控制臺(tái)將每種類型的事件日志文件（應(yīng)用程序、安全和系統(tǒng)）保存到可移動(dòng)媒體，以便進(jìn)一步分析。默認(rèn)情況下，這些文件存儲(chǔ)在C:\Winnt\System32\Config\目錄中，并分別稱為AppEvent.evt、SecEvent.evt和SysEvent.evt。然而，當(dāng)系統(tǒng)處于活動(dòng)狀態(tài)時(shí)，這些文件將被鎖定，因此應(yīng)使用事件查看器管理工具導(dǎo)出。§3深層惡意代碼防護(hù)

許多組織在安裝了防病毒軟件后仍然感染了病毒。與網(wǎng)絡(luò)安全設(shè)計(jì)一樣，設(shè)計(jì)防病毒解決方案時(shí)采用深層防護(hù)方法，了解防護(hù)模型的每個(gè)層以及對(duì)應(yīng)于每個(gè)層的特定威脅，以便在實(shí)施自己的防病毒措施時(shí)使用此信息，確保在設(shè)計(jì)時(shí)采用的安全措施將得到可能的維護(hù)。一、惡意軟件的威脅方法惡意軟件可以通過(guò)許多方法來(lái)?yè)p害目標(biāo)，下面是最容易受到惡意軟件攻擊的區(qū)域：外部網(wǎng)絡(luò)來(lái)賓客戶端可執(zhí)行文件文檔電子郵件可移動(dòng)媒體二、深層防護(hù)安全模型在發(fā)現(xiàn)并記錄了組織所面臨的風(fēng)險(xiǎn)后，下一步就是檢查和組織將用來(lái)提供防病毒解決方案的防護(hù)措施。深層防護(hù)安全模型是此過(guò)程的極好起點(diǎn)。此模型識(shí)別出七級(jí)安全防護(hù)，它們旨在確保損害組織安全的嘗試將遇到一組強(qiáng)大的防護(hù)措施。每組防護(hù)措施都能夠阻擋多種不同級(jí)別的攻擊。圖所示為深層防護(hù)安全模型定義的各層。（1）數(shù)據(jù)層攻擊者有可能利用它們獲得對(duì)配置數(shù)據(jù)、組織數(shù)據(jù)或組織所用設(shè)備獨(dú)有的任何數(shù)據(jù)的訪問(wèn)。（2）應(yīng)用程序?qū)庸粽哂锌赡芾盟鼈冊(cè)L問(wèn)運(yùn)行的應(yīng)用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都可能用來(lái)攻擊系統(tǒng)。（3）主機(jī)層該層上的風(fēng)險(xiǎn)源自利用主機(jī)或服務(wù)中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動(dòng)攻擊。例如：緩沖區(qū)溢出。

ServicePack和修復(fù)程序通常是針對(duì)此層。（4）內(nèi)部網(wǎng)絡(luò)層內(nèi)部網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)主要與通過(guò)網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)有關(guān)。（5）外圍網(wǎng)絡(luò)層與外圍網(wǎng)絡(luò)層（也稱為DMZ）關(guān)聯(lián)的風(fēng)險(xiǎn)源自可以訪問(wèn)廣域網(wǎng)(WAN)以及它們所連接的網(wǎng)絡(luò)層的攻擊者。模型此層上的主要風(fēng)險(xiǎn)集中于網(wǎng)絡(luò)可以使用的傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口。（6）物理安全層物理層上的風(fēng)險(xiǎn)源自可以物理訪問(wèn)物理資產(chǎn)的攻擊者。（7）策略、過(guò)程和意識(shí)層圍繞安全模型所有層的是為滿足和支持每個(gè)級(jí)別的要求所制定的策略和過(guò)程。提高組織中對(duì)所有相關(guān)方的安全意識(shí)很重要，許多情況下，忽視風(fēng)險(xiǎn)可以導(dǎo)致安全違反。因此，培訓(xùn)也應(yīng)該是任何安全模型的不可缺少的部分。根據(jù)實(shí)際需要，可將深層防護(hù)安全模型細(xì)化。細(xì)化的深層病毒防護(hù)視圖：可以將數(shù)據(jù)層、應(yīng)用程序?qū)雍椭鳈C(jī)層防護(hù)策略組合，作為客戶端和服務(wù)器防護(hù)策略。雖然這些防護(hù)共享許多公共策略，但是實(shí)施客戶端和服務(wù)器防護(hù)方面還是有一定的差異的。因此，應(yīng)將客戶端和服務(wù)器防護(hù)策略分開考慮和實(shí)施。內(nèi)部網(wǎng)絡(luò)層和外圍層也可以組合到一個(gè)公共網(wǎng)絡(luò)防護(hù)策略中，因?yàn)檫@兩個(gè)層所涉及的技術(shù)是相同的。每個(gè)層中的實(shí)施細(xì)節(jié)將是不同的，具體取決于組織基礎(chǔ)結(jié)構(gòu)中的設(shè)備位置和技術(shù)。三、客戶端防護(hù)假定惡意軟件已經(jīng)通過(guò)前面的所有防護(hù)層，當(dāng)其到達(dá)主機(jī)時(shí)，防護(hù)系統(tǒng)必須集中于保護(hù)主機(jī)系統(tǒng)及其數(shù)據(jù)，并停止感染的傳播。1、減小攻擊面應(yīng)用程序?qū)由系牡谝坏婪雷o(hù)是減小計(jì)算機(jī)的攻擊面。應(yīng)在計(jì)算機(jī)上刪除或禁用所有不需要的應(yīng)用程序或服務(wù)，最大限度地減少攻擊者可以利用系統(tǒng)的方法數(shù)。2、應(yīng)用安全更新可能連接到組織網(wǎng)絡(luò)的客戶端計(jì)算機(jī)數(shù)量很大，而且種類很多，僅這一點(diǎn)就可以導(dǎo)致很難提供快速而可靠的安全更新管理服務(wù)。Microsoft和其他軟件公司已經(jīng)開發(fā)了許多可用來(lái)幫助解決此問(wèn)題的工具。3、啟用基于主機(jī)的防火墻基于主機(jī)的防火墻或個(gè)人防火墻是應(yīng)該啟用的重要客戶端防護(hù)層。WindowsXP包括名為“Internet連接防火墻”(ICF)的簡(jiǎn)單個(gè)人防火墻。ICF在被啟用后將監(jiān)視通過(guò)它的通信的所有方面。ICF還檢查它處理的每個(gè)數(shù)據(jù)包的源地址和目標(biāo)地址，以確保每個(gè)通信都是允許的通信。強(qiáng)烈建議啟用ICF。4、安裝防病毒軟件許多公司推出防病毒應(yīng)用程序，其中的大多數(shù)在提供此保護(hù)方面都是很有效的，但是它們都要求經(jīng)常更新以應(yīng)對(duì)新的惡意軟件。

5、測(cè)試漏洞掃描程序在配置系統(tǒng)之后，應(yīng)該定期檢查它以確保沒(méi)有留下安全漏洞。許多掃描軟件來(lái)查找惡意軟件和黑客可能試圖利用的漏洞，其中的多數(shù)工具更新自己的掃描例程以保護(hù)系統(tǒng)免受最新漏洞的攻擊。6、使用最少特權(quán)策略在客戶端防護(hù)中不應(yīng)忽視的是在正常操作下分配給用戶的特權(quán)。Microsoft建議采用這樣的策略：提供最少可能的特權(quán)，以便使得受到因利用用戶特權(quán)的惡意軟件的影響減到最小。對(duì)于通常具有本地管理特權(quán)的用戶，這樣的策略尤其重要。7、限制未授權(quán)的應(yīng)用程序如果應(yīng)用程序?yàn)榫W(wǎng)絡(luò)提供一種服務(wù)，如MicrosoftInstantMessenger或Web服務(wù)，則在理論上它可能成為惡意軟件攻擊的目標(biāo)。四、客戶端應(yīng)用程序的防護(hù)這里提供惡意軟件可能作為攻擊目標(biāo)的特定客戶端應(yīng)用程序的配置準(zhǔn)則。1、電子郵件客戶端如果惡意軟件設(shè)法通過(guò)了網(wǎng)絡(luò)和電子郵件服務(wù)器級(jí)別上的病毒防護(hù)，則可以進(jìn)行一些配置以便為電子郵件客戶端提供額外保護(hù)。通常，用戶打開電子郵件的附件是惡意軟件在客戶端上傳播是主要方式之一。因此，可電子郵件客戶端必須配置額外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。

例如，在MicrosoftOutlook和OutlookExpress中可以：使用InternetExplorer安全區(qū)域禁用HTML電子郵件中的活動(dòng)內(nèi)容。啟用一項(xiàng)設(shè)置以便用戶只能以純文本格式查看電子郵件。阻止程序在未經(jīng)特定用戶確認(rèn)的情況下發(fā)送電子郵件。阻止不安全的電子郵件附件。2、桌面應(yīng)用程序隨著桌面辦公應(yīng)用程序的日益強(qiáng)大，它們也成為惡意軟件的攻擊目標(biāo)。宏病毒使用字處理器、電子表格或其他支持宏的應(yīng)用程序創(chuàng)建的文件復(fù)制自身。應(yīng)該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應(yīng)用程序上啟用最合適的安全設(shè)置。3、即時(shí)消息應(yīng)用程序雖然文本消息不會(huì)構(gòu)成直接的惡意軟件威脅，但是大多數(shù)即時(shí)消息（InstantMessenger）客戶端提供另外的文件傳輸功能以提高用戶的通信能力。允許文件傳輸就提供了進(jìn)入組織網(wǎng)絡(luò)的直接路由，因而有可能受到惡意軟件的攻擊。網(wǎng)絡(luò)防火墻只需篩選用于此通信的端口，即可阻止這些文件傳輸。如果文件傳輸而無(wú)法應(yīng)用防火墻阻止這些端口，則應(yīng)該確保在傳輸所有文件之前對(duì)其掃描以確定是否存在惡意軟件。應(yīng)該將即時(shí)消息應(yīng)用程序配置為：一收到文件，就自動(dòng)將傳輸?shù)奈募鬟f到防病毒應(yīng)用程序進(jìn)行掃描。例如，可以將MSNMessenger配置為自動(dòng)掃描傳輸?shù)奈募?、Web瀏覽器從Internet下載或執(zhí)行代碼之前，希望確保知道它來(lái)自已知的、可靠的來(lái)源。用戶不應(yīng)該僅依賴于站點(diǎn)外觀或站點(diǎn)地址，因?yàn)榫W(wǎng)頁(yè)和網(wǎng)址都可以是偽造的。已經(jīng)有許多方法和技術(shù)來(lái)幫助用戶的Web瀏覽器應(yīng)用程序確定用戶所瀏覽網(wǎng)站的可靠性。例如，IE使用Authenticode技術(shù)（證書）驗(yàn)證已下載代碼的身份。5、對(duì)等應(yīng)用程序

P2P應(yīng)用程序便利了文件查找和交換。但是，許多惡意軟件試圖使用這些應(yīng)用程序?qū)⑽募?fù)制到其他用戶的計(jì)算機(jī)。蠕蟲（如W32.HLLW.Sanker）已經(jīng)將P2P應(yīng)用程序（如Kazaa）作為攻擊目標(biāo)以達(dá)到復(fù)制目的。建議使用前面所述的Windows軟件限制策略阻止用戶運(yùn)行對(duì)等應(yīng)用程序?！?服務(wù)器防護(hù)

環(huán)境中的服務(wù)器防護(hù)與客戶端防護(hù)有許多共同之處，二者都試圖保護(hù)單個(gè)計(jì)算機(jī)環(huán)境。兩者的主要差異在于：服務(wù)器防護(hù)在可靠性和性能方面的預(yù)期級(jí)別通常高得多。此外，許多服務(wù)器在組織基礎(chǔ)結(jié)構(gòu)中起到的專門作用，通常需要制定專門的防護(hù)方案。1、減小攻擊面。從服務(wù)器中刪除不需要的服務(wù)和應(yīng)用程序，將其攻擊面減到最小。2、應(yīng)用安全更新。如有可能，確保服務(wù)器運(yùn)行的都是最新的安全更新。3、啟用基于主機(jī)的防火墻。4、使用漏洞掃描程序進(jìn)行測(cè)試。使用WindowsServer2003上的MBSA幫助識(shí)別服務(wù)器配置中可能存在的漏洞。5、一般的服務(wù)器防病毒軟件為客戶端環(huán)境（如XP）設(shè)計(jì)的防病毒應(yīng)用程序和為服務(wù)器環(huán)境（如2003）設(shè)計(jì)的防病毒應(yīng)用程序之間的主要差異在于：基于服務(wù)器的掃描程序和任何基于服務(wù)器的服務(wù)（如消息服務(wù)或數(shù)據(jù)庫(kù)服務(wù)）之間的集成級(jí)別。許多基于服務(wù)器的防病毒應(yīng)用程序還提供了遠(yuǎn)程管理功能，以最大限度地減少物理訪問(wèn)服務(wù)器控制臺(tái)的需要。。

在為服務(wù)器環(huán)境評(píng)估防病毒軟件時(shí)應(yīng)該考慮的其他重要問(wèn)題包括：掃描期間的CPU使用率。應(yīng)用程序可靠性。管理開銷。應(yīng)用程序互操作性。2、角色特定的防病毒配置和軟件現(xiàn)在，有許多可用于企業(yè)中特定服務(wù)器角色的專用防病毒配置、工具和應(yīng)用程序。應(yīng)用程序特定的防病毒解決方案通常提供更佳的保護(hù)和性能，因?yàn)樗鼈冊(cè)O(shè)計(jì)用于與特定服務(wù)集成在一起，而不是試圖在文件系統(tǒng)級(jí)服務(wù)的下面起作用。Web服務(wù)器所有類型的組織中的Web服務(wù)器（如IIS）都是安全攻擊的目標(biāo)。不管攻擊來(lái)自惡意軟件（如CodeRed）還是來(lái)自試圖破壞組織網(wǎng)站的黑客，充分配置Web服務(wù)器上的安全設(shè)置以最大限度地防御這些攻擊都是很重要的。除了此指導(dǎo)外，還可以下載某些免費(fèi)工具，它們將在IIS上自動(dòng)執(zhí)行許多安全配置。例如，IISLockdownTool和UrlScan。消息服務(wù)器為組織中的電子郵件服務(wù)器設(shè)計(jì)有效的防病毒解決方案時(shí)，要牢記兩個(gè)目標(biāo)。一是防止服務(wù)器本身受到惡意軟件的攻擊。二是阻止任何惡意軟件通過(guò)電子郵件系統(tǒng)進(jìn)入組織中用戶的郵箱。一般來(lái)說(shuō)，標(biāo)準(zhǔn)文件掃描防病毒解決方案無(wú)法阻止電子郵件服務(wù)器將惡意軟件作為附件傳遞到客戶端。但是以下兩種基本類型的電子郵件防病毒解決方案通常是可用的：SMTP網(wǎng)關(guān)掃描程序。這些基于簡(jiǎn)單郵件傳輸協(xié)議(SMTP)的電子郵件掃描解決方案通常稱為防病毒“網(wǎng)關(guān)”解決方案。優(yōu)點(diǎn)：可以用于所有的SMTP電子郵件服務(wù)，而不是僅用于特定電子郵件服務(wù)器產(chǎn)品。缺點(diǎn)：由于這些解決方案依賴于SMTP電子郵件協(xié)議，因此它們?cè)诳梢蕴峁┑哪承└呒?jí)功能方面受到限制。集成的服務(wù)器掃描程序。這些專用防病毒應(yīng)用程序直接與特定的電子郵件服務(wù)器產(chǎn)品一起工作。這些應(yīng)用程序確實(shí)有許多優(yōu)點(diǎn)。例如，它們可以與高級(jí)服務(wù)器功能直接集成在一起，它們?cè)O(shè)計(jì)為與電子郵件服務(wù)器使用相同的硬件。數(shù)據(jù)庫(kù)服務(wù)器在考慮數(shù)據(jù)庫(kù)服務(wù)器（如SQLServer）的病毒防護(hù)時(shí)，需要保護(hù)以下四個(gè)主要元素：主機(jī)。運(yùn)行數(shù)據(jù)庫(kù)的一個(gè)或多個(gè)服務(wù)器。數(shù)據(jù)庫(kù)服務(wù)。在主機(jī)上運(yùn)行的為網(wǎng)絡(luò)提供數(shù)據(jù)庫(kù)服務(wù)的各種應(yīng)用程序。數(shù)據(jù)存儲(chǔ)區(qū)。存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)。數(shù)據(jù)通信。網(wǎng)絡(luò)上數(shù)據(jù)庫(kù)主機(jī)和其他主機(jī)之間使用的連接和協(xié)議。由于數(shù)據(jù)存儲(chǔ)區(qū)內(nèi)的數(shù)據(jù)不能直接執(zhí)行，因此通常認(rèn)為數(shù)據(jù)存儲(chǔ)區(qū)本身不需要掃描。目前，沒(méi)有專為數(shù)據(jù)存儲(chǔ)區(qū)編寫的主要防病毒應(yīng)用程序。但是，在進(jìn)行防病毒配置時(shí)，應(yīng)該仔細(xì)考慮數(shù)據(jù)庫(kù)服務(wù)器的主機(jī)、數(shù)據(jù)庫(kù)服務(wù)和數(shù)據(jù)通信這些元素。§6網(wǎng)絡(luò)防護(hù)層

在已記錄的惡意軟件事件中，通過(guò)網(wǎng)絡(luò)發(fā)動(dòng)的攻擊是最多的。通常，發(fā)動(dòng)惡意軟件攻擊是為了利用網(wǎng)絡(luò)外圍防護(hù)中的漏洞允許惡意軟件訪問(wèn)組織IT基礎(chǔ)結(jié)構(gòu)中的主機(jī)設(shè)備。這些設(shè)備可以是客戶端、服務(wù)器、路由器，甚至是防火墻。存在一種日益增長(zhǎng)的趨勢(shì)：許多組織已經(jīng)采用多層方法來(lái)設(shè)計(jì)其網(wǎng)絡(luò)同時(shí)使用內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和外部網(wǎng)絡(luò)結(jié)構(gòu)。這正好符合深層防護(hù)安全模型。

第一個(gè)網(wǎng)絡(luò)防護(hù)指外圍網(wǎng)絡(luò)防護(hù)，這些防護(hù)旨在防止惡意軟件通過(guò)外部攻擊進(jìn)入內(nèi)部網(wǎng)絡(luò)。應(yīng)該使用常規(guī)安全防護(hù)措施，以確保只有經(jīng)過(guò)授權(quán)的人員才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。假定網(wǎng)絡(luò)安全設(shè)計(jì)已經(jīng)為組織提供了所需的標(biāo)識(shí)、授權(quán)、加密和保護(hù)級(jí)別，以防止未經(jīng)授權(quán)的攻擊者直接侵入。但是，此時(shí)病毒防護(hù)仍是不完整的。下一步是將網(wǎng)絡(luò)層防護(hù)配置為檢測(cè)和篩選使用允許的網(wǎng)絡(luò)通信（如電子郵件、Web瀏覽和即時(shí)消息）的惡意軟件攻擊。1、網(wǎng)絡(luò)防病毒配置2、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)3、應(yīng)用程序?qū)雍Y選使用Internet篩選技術(shù)監(jiān)視和屏蔽網(wǎng)絡(luò)通信中的非法內(nèi)容（如病毒）不僅是有用的，而且是必需的。防火墻僅允許根據(jù)源或目標(biāo)IP地址或者特定的網(wǎng)絡(luò)端口來(lái)篩選網(wǎng)絡(luò)