防病毒和网络端口?

防病毒和网络端口?

我认为防病毒软件甚至能够在病毒进入操作系统(Windows/Linux)之前通过网络接口端口本身的过滤来确定病毒。对吗?

但是,病毒如何逃脱这种过滤呢?

提前致谢,
Karthik Balaguru

答案1

当然有可能,一些台式机有/曾经有基于 BIOS 的 AV,但“在 NIC 中”执行此操作需要 NIC 中更多的逻辑,因此成本更高,而且还需要一种机制来保存通常相当大的芯片上的病毒定义。哦,这个系统不一定比“在 CPU 中”执行更安全或更快,但几乎肯定会降低 NIC 的速度。许多(如果不是全部)AV 产品可以做的是查看通过 IP 堆栈传入的流量并搜索病毒 - 这是一种快速而简单的更新定义的方法,因为它是特定于 AV 产品而不是特定于 AV 产品和 NIC。

希望我已经解释了为什么基于 NIC 的 AV 是个糟糕的想法,以及为什么如果实施的话,较新的病毒很容易不会被过时的基于 NIC 的 def 发现。

顺便说一句,这听起来像是一个家庭作业问题 - 如果是的话,你可以把你得到的分数告诉我们吗?;)

答案2

虽然有可能检测到一些通过端口进入系统的病毒,但实际上只有使用签名系统才有可能。这意味着很容易避免检测。它可能作为其他检测方法的辅助手段很有用,但作为唯一的检测方法却毫无用处。

例如,监视端口流量无法检测加密文件中嵌入的病毒,这种方法被多次使用并取得了巨大成功(从传播病毒的人的角度来看)。必须将整个文件带入并解密后,检测才有可能成功。

答案3

恶意软件可以控制系统的核心。这被称为根工具包并且它们可用于隐藏文件、网络流量和正在运行的进程。

答案4

归根结底,问题在于艾伦·纽厄尔著名的证据表明,在真正的图灵系统中,最终不可能区分恶意数据和良性数据。(部分原因是“好”数据和“坏”数据的模糊性)。

但事实上,已经存在许多可以做到这一点的系统 - 防病毒扫描程序经常在您的 ISP 的 SMTP 中继上运行。IPS/IDS 系统包含许多可以通知管理员的恶意签名。

相关内容