CISSP考试指南笔记：8.13 恶意软件

遵守不打开电子邮件附件或单击来自未知来源的链接的通常规则是打击恶意代码的最佳方法之一。

病毒

病毒是感染软件的小型应用程序或一串代码。病毒的主要功能是复制和传递其有效负载，它需要主机应用程序来执行此操作。

宏病毒是用这些宏语言之一编写的病毒，并且与平台无关。

隐身病毒隐藏了它对文件或启动记录所做的修改。

多态病毒会产生各种不同的，但可操作的自身副本。

多部分病毒（也称为多部分病毒）具有多个组件，可以分发到系统的不同部分。

隧道病毒， 尝试在反恶意软件程序下“安装自己.

蠕虫

蠕虫与病毒的不同之处在于，它们可以在没有宿主应用程序的情况下自行繁殖，并且是独立的程序。

根套件

Rootkit只是放置在受感染系统上的一组工具，供将来使用。

间谍软件和广告软件

间谍软件是一种秘密安装在目标计算机上的恶意软件，用于收集有关受害者的敏感信息。

广告软件是自动生成（呈现）广告的软件。

僵尸网络

机器人是一种恶意软件，即使在您阅读这句话时，它们也已安装在数千台计算机上。

当黑客拥有这些受感染系统的集合时，它被称为僵尸网络。

逻辑炸弹

逻辑炸弹在满足一组特定条件时执行程序或代码字符串。

特洛伊木马

特洛伊木马（通常简称为特洛伊木马）是伪装成另一个程序的程序。

远程访问特洛伊木马 （RAT） 是在系统上运行并允许入侵者远程访问和使用系统的恶意程序。

反恶意软件

基于签名的检测（也称为指纹检测）是检测传统恶意软件的一种相当有效的方法，但对新威胁的响应时间会延迟。

启发式检测分析恶意代码的整体结构，评估编码指令和逻辑功能，并查看病毒或蠕虫中的数据类型。

查看有关一段代码的信息称为静态分析，而允许部分代码在虚拟机中运行称为动态分析。

执行行为阻止的反恶意软件实际上允许可疑代码在不受保护的操作系统中执行，并监视其与操作系统的交互，以查找可疑活动。

垃圾邮件检测

正确检测垃圾邮件本身已成为一门科学。使用的一种技术称为贝叶斯滤波。

反恶意软件程序

当涉及到恶意软件时，标准应该涵盖该做什么和不该做什么，下面列出了这些内容：

• 每个工作站、服务器和移动设备都应安装反恶意软件。
• 应在每台设备上部署更新恶意软件签名的自动方法。
• 用户不应能够禁用反恶意软件。
• 应制定预先计划的恶意软件根除流程，并在感染时指定联系人。
• 应自动扫描所有外部磁盘（USB 驱动器等）。
• 应扫描备份文件。
• 应每年审查一次反恶意软件策略和过程。
• 反恶意软件应提供启动恶意软件保护。
• 反恶意软件扫描应在网关和每个设备上进行。
• 病毒扫描应自动进行并按计划进行。不要依赖手动扫描。
• 关键系统应受到物理保护，以便无法在本地安装恶意软件。