什么是反恶意软件？

2017年5月，世界被一场世界性的网络攻击破坏了，它影响了150个国家的20多万台电脑。用户和公司都被迅速蔓延的计算机病毒所感染，该病毒攻击了国家卫生局等关键机构的供应商。根据网络风险建模公司Cyence的数据，这次黑客攻击造成了数亿美元的损失，如果国家安全局等政府机构有适当的软件安全更新和漏洞透明度，这些损失是可以避免的。许多人仍然记得这次历史性的网络攻击，即臭名昭著的WannaCry攻击。

在科技的狂野西部生存下去

Wild_west 图片来源

随着网络攻击对人们的生活构成真正的威胁，我们不难理解为什么保护自己免受此类攻击对政府、企业和个人来说是至关重要的。

从你开始

第一道防线往往从你，即用户开始，对你在世界范围内的行为有一定的了解。这需要对钓鱼网站和可疑的网站、链接或附件进行筛选。很多时候，良好的互联网常识可以为你省去很多麻烦；一盎司的预防胜过一磅的治疗。

呼叫 "髑髅会

除了常见的良好互联网做法外，第二个最好的投资是反恶意软件/反病毒软件。反恶意软件的主要目的是阻止任何恶意威胁感染你的计算机；这些威胁包括从计算机病毒到互联网蠕虫等一系列的威胁。

没有反病毒（AV）技术会导致恶意软件的入侵。目前，各种规模的恶意软件入侵每年给各行业带来3500亿美元的损失！这也是为什么网络入侵的原因。这就是为什么网络漏洞激励公司和政府大力投资于网络安全的原因。

因此，反恶意软件是一个非常有用的工具，可以帮助识别和消除许多恶意软件威胁。

在这篇文章中，我将介绍反恶意软件之所以重要的原因以及有哪些类型的恶意软件。此外，我还将深入介绍用于进行恶意软件分析和调查的某些技术。最后，我将列出一个阅读清单，让你对一些伟大的反恶意软件进行评论。

红队。恶意的流氓强盗

Bandits and Roguges 图片来源

就像土匪和帮派在狂野的西部一样，黑客和诈骗者在21世纪也是如此。唯一的区别是--他们使用恶意软件而不是枪支来攻击和渗出个人数据。

概述。恶意软件究竟是什么？

根据Malwarebytes实验室的说法，恶意软件*，或 "恶意软件"，是一个总称，指任何对系统有害的恶意程序或代码。*

恶意软件通常被有意设计为破坏数据、安装额外程序或渗出（窃取）数据。例如，恶意软件可以破坏计算机系统，甚至在WannaCry事件中成为一个更大议程的一部分。总之，恶意软件损害了受害者数据的保密性、完整性和可用性（简称CIA）。

了解为什么恶意软件是一个巨大的问题是很重要的。大大小小的公司都是恶意软件攻击的持续目标。

此外，不可能成为最终目标的个人仍然可以作为中间人受到潜在的影响；也就是说，他们可以被用来作为更大的僵尸网络中的机器人，进行重大攻击，如DDoS（分布式拒绝服务）攻击等等。这些攻击通常会导致数据、知识产权、竞争优势和整体消费者信心的丧失。

恶意软件库

bandit_arsenal 图片来源

现在，让我们来看看一些主要形式的恶意软件。

病毒

计算机病毒可以在任何操作系统上运行，无论是Windows还是Mac。与人们的普遍看法相反，计算机病毒实际上是一种恶意软件的类型。病毒的定义如下。

一种计算机病毒需要一个主机程序。
计算机病毒需要用户操作才能从一个系统传输到另一个系统。
计算机病毒将自己的恶意代码附着在其他文件上，或用自己的副本完全取代文件。

蠕虫

与计算机病毒相比，蠕虫能够在没有用户互动的情况下从一个系统传播和执行自己。之后，蠕虫可以完成各种恶意任务，如投放有效载荷、影响文件系统和消耗计算机资源。

有两种主要的蠕虫类型。网络服务蠕虫，大规模邮件蠕虫。

特洛伊木马程序

接下来，我们有特洛伊木马程序。根据希腊神话，希腊人建造了一匹木马来潜入特洛伊城。与希腊特洛伊木马非常相似，电脑特洛伊木马旨在通过欺骗用户运行看似良性的电脑程序来感染你的电脑。

勒索软件

最后我们有了勒索软件。勒索软件 "是一种恶意软件，它阻止受害者的数据访问，直到支付赎金为止"。-大卫-科夫。它通常涉及对一个人的文件进行加密，使受害者无法阅读。这激励了受害者支付赎金，通常使用比特币等加密货币。

蓝队。警长和副警长

marshal_badge 图片来源

在狂野的西部，元帅和副手在那里保护简单的镇民免受土匪和帮派的侵害。这就是现在反恶意软件的工作。

概述。反恶意软件究竟是什么？

反恶意软件是一种软件，它通过复杂的恶意软件检测、遏制和预防技术，保护用户免受基础设施破坏、财务损失、数据丢失或消费者信心丧失等。

反恶意软件通常包含各种恶意软件保护技术，可以为不同的恶意软件攻击提供不同的保护策略和工具，如反钓鱼或反勒索软件保护。

virus_prtection 图片来源

恶意软件保护

大致有四个方面构成了恶意软件保护。

恢复
识别/分析
遏制
根除/缓解

在这篇文章中，我们对识别部分更感兴趣。识别和取证可以分为两个主要部分：静态恶意软件分析和动态恶意软件分析。还有许多其他形式的分析，如内存和资源使用取证，网络和网络分析以及特定的沙箱技术。然而，这已经超出了本博文的范围。

恶意软件分析

这远远不是一个全面的恶意软件分析清单，而是一个概述。对于那些对具体细节更感兴趣的人来说，会有一个阅读清单。

静态恶意软件分析

静态恶意软件分析是一种不在设备上执行代码的检查方式。有许多技术和工具，包括付费的和开源的，有助于进行取证调查。以下是一些工具和技术。

反汇编

恶意软件有时会使用称为反汇编器的工具进行反向工程/反汇编。"A反汇编器**是一个计算机程序该翻译 机器语言成汇编语言*"--维基。*现在，对于那些不懂技术语言的人来说，这意味着AV正在研究低级别的程序指令，以找出该程序是否会执行恶意代码而不执行它。Cool!

文件指纹识别

文件指纹识别**是大数据项目的一个独特的比特字符串标识符。就像指纹可以用来识别人一样，文件指纹可以识别原始文件。AV软件有一个恶意软件的指纹数据库，这样他们就能迅速从好苹果中识别出坏苹果。

打包者检测

黑客不是傻子，所以更多时候他们会给自己的代码添加一层盔甲，称为打包器。 打包者**压缩或加密可执行文件，这样就更难发现文件的真实内容。我们很幸运，AV自己也有一些小技巧来识别打包器并检索其内容。

他们查看称为可移植可执行文件（PE）头的东西，其中包含关于Windows中文件格式的信息，类似于Linux的ELF和MacOS的Mach-O。

动态恶意软件分析

虚拟化/沙盒化

为了提供一个分析代码的安全空间，称为沙盒的高度控制环境经常被用来测试和运行可能包含恶意代码的未验证程序。

虚拟化和/或沙箱允许主机决定一个程序在特定时间可以拥有或使用什么资源以及多少资源。所有这些都不需要担心感染计算机!

调试器

调试器，如GDB或WinDBG，允许你查看程序在运行期间的行为，以及它对主机系统的影响。调试器提供了关于代码如何逐条指令执行的各种见解。