前段时间,我的电脑感染了病毒,防病毒程序无法检测到。但我可以在 Windows 事件日志和 TcpLogView 中看到恶意活动:
考虑到防病毒数据库的更新总是落后于新病毒的产生,哪些程序工具最适合及时检测此类零日威胁?
答案1
好的 rootkit 无法被主机上运行的任何防病毒软件检测到。但是,大多数 rootkit 都依赖于某个地方的命令和控制服务器。由于它通过互联网传输,因此 IP 地址和 DNS 名称可能会被 ISP 和您的计算机之间的计算机阻止。
我已经使用专用于 vmware esxi 服务器的计算机设置了虚拟机。互联网先进入该虚拟机,然后才被允许进入我的网络。我还在另一台虚拟机中运行了 pfSense 防火墙。pfSense 内置了 snort 工具。Snort 是业界公认的坏人检测工具。它可以自动阻止 IP 或 DNS 名称。
此外,供应商还有更多的黑名单和白名单并可自动更新。
我自己的防火墙还可以检测并阻止随机联系我以查看某些端口是否打开的可疑 IP 地址。这是被称为侦察的攻击的第一阶段,它不会造成任何损害,但他们会建立数据库,以便知道以后要攻击谁以及如何攻击。
现在,许多 AV 供应商提供可启动的 CD/DVD、USB 或 ISO 映像,用于在不运行 Windows 的情况下扫描 Windows,因此他们至少可以找到 rootkit。我经常使用 Norton 和 Malwarebytes 等多种工具来扫描我的系统,但在某些情况下,您可能需要 2 或 3 种不同的产品才能找到病毒。
然而,病毒编写者正在针对病毒测试他们的 AV 产品,以确保他们无法找到这些病毒。
许多 AV 产品依靠病毒特征来检测病毒,但如今这些特征并不是很有用,您需要的是检测病毒行为而不是特征的 AV。