ESET Glossary 取扱説明書

  • こんにちは!ESETの用語集ユーザーガイドについてご質問にお答えします。このガイドでは、様々なマルウェアやセキュリティに関する用語、そしてESETのそれらに対する対策について解説しています。アドウェア、ボットネット、ランサムウェアといった脅威から、PUA(潜在的に望ましくないアプリケーション)の対処法まで、幅広く網羅していますので、お気軽にご質問ください!
  • アドウェアとは何ですか?
    ボットネットとは何ですか?
    ランサムウェアとは何ですか?
    誤検知(FP)とは何ですか?
    PUA(潜在的に望ましくないアプリケーション)とは何ですか?
ESET Glossary
用户指南
单击此处显示此文档的联机版本
版权所有 ©2023,所有者 ESET, spol. s r.o.
ESET Glossary ESET, spol. s r.o. 开发
有关详细信息,请访问 https://www.eset.com。
保留所有权利。未经作者书面许可,不得以任何形式或任何方式(电子、机械、影印、录制、扫描或其他
方式)复制、在检索系统中存储或传输本文档的任何部分。
ESET, spol. s r.o. 保留更改任何所述应用程序软件的权利,恕不另行通知。
技术支持:https://support.eset.com
修订日期 2023年m月19日
1 ESET 词汇表介绍 1 ...............................................................................................................................
1.1 广告软件 1 .....................................................................................................................................
1.2 僵尸网络 1 .....................................................................................................................................
1.3 误报 (FP) 1 ....................................................................................................................................
1.4 加壳程序 1 .....................................................................................................................................
1.5 潜在的不安全应用程序 2 ....................................................................................................................
1.6 潜在不受欢迎的应用程序 2 .................................................................................................................
1.7 勒索软件 5 .....................................................................................................................................
1.8 Rootkit 6 ......................................................................................................................................
1.9 面向返回的编程 6 .............................................................................................................................
1.10 间谍软件 6 ....................................................................................................................................
1.11 木马 7 .........................................................................................................................................
1.12 病毒 7 .........................................................................................................................................
1.13 蠕虫 7 .........................................................................................................................................
1.14 凭据填充 8 ....................................................................................................................................
1.15 DNS 投毒 8 ..................................................................................................................................
1.16 DoS 攻击 8 ...................................................................................................................................
1.17 ICMP 攻击 8 .................................................................................................................................
1.18 端口扫描 8 ....................................................................................................................................
1.19 SMB 中继 9 ..................................................................................................................................
1.20 TCP 去同步化 9 .............................................................................................................................
1.21 蠕虫攻击 9 ....................................................................................................................................
1.22 ARP 缓存投毒 9 .............................................................................................................................
2 电子邮件威胁 10 ..................................................................................................................................
2.1 广告 10 .........................................................................................................................................
2.2 恶作剧 10 ......................................................................................................................................
2.3 欺诈 11 .........................................................................................................................................
2.4 识别垃圾邮件欺骗 11 ........................................................................................................................
2.4 规则 11 ...................................................................................................................................
2.4 白名单 12 ................................................................................................................................
2.4 黑名单 12 ................................................................................................................................
2.4 例外 12 ...................................................................................................................................
2.4 服务器端控制 12 .........................................................................................................................
2.5 高级内存扫描程序 12 ........................................................................................................................
2.6 银行业务和付款保护 13 .....................................................................................................................
2.7 僵尸网络防护 13 .............................................................................................................................
2.8 DNA 检测 13 ..................................................................................................................................
2.9 ESET LiveGrid® 14 ........................................................................................................................
2.10 漏洞利用阻止程序 14 ......................................................................................................................
2.11 Java 漏洞利用阻止程序 14 ...............................................................................................................
2.12 ESET LiveSense 15 ......................................................................................................................
2.13 机器学习 15 ..................................................................................................................................
2.14 网络攻击防护 16 ............................................................................................................................
2.15 勒索软件防护 16 ............................................................................................................................
2.16 基于脚本的攻击防护 16 ....................................................................................................................
2.17 安全的浏览器 16 ............................................................................................................................
2.18 UEFI 扫描程序 17 ..........................................................................................................................
2.19 Canary 文件 17 ............................................................................................................................
2.20 死锁 17 .......................................................................................................................................
1
ESET 词汇表介绍
ESET 词汇表提供当前威胁以及防御这些威胁的 ESET 技术的全面概述。
主题分为以下章节:
检测 - 包括计算机病毒、蠕虫、木马、潜在不受欢迎的应用程序等
远程攻击 – 本地网络或 Internet 上发生的威胁
电子邮件威胁 - 包括恶作剧、网络钓鱼、欺诈等。
ESET 技术 - ESET 安全解决方案中提供的产品功能
广告软件
广告软件是可支持广告宣传的软件的简称。显示广告资料的程序便属于这一类别。广告软件应用程序通常
会在 Internet 浏览器中自动打开一个包含广告的新弹出窗口,或者更改浏览器主页。广告软件经常与免费
软件程序捆绑在一起,以填补其开发人员开发应用程序(通常为有用程序)的成本。
广告软件本身并不危险 – 用户仅会受到广告的干扰。广告软件的危险在于它也可能执行跟踪功能(和间
谍软件一样)。
如果您决定使用免费软件产品,请特别注意安装程序。安装程序大多会通知您将要安装附加的广告软件程
序。通常您可以取消它,仅安装不带有广告软件的程序。
如果不安装广告软件,某些程序可能无法安装,或者功能受到限制。这意味着,广告软件可能常常以“合
法”方式访问系统,因为用户已同意安装它。在此情况下,应防患于未然。如果计算机上的某个文件被检
测为广告软件,建议您删除它,因为该软件极有可能包含恶意代码。
僵尸网络
机器人或网络机器人是一种自动化的恶意软件程序,它可以扫描网络地址块并感染容易受到威胁的计算机。
这允许黑客同时控制多台电脑并将它们变成机器人(也称为“僵尸”)。 黑客通常使用机器人感染大量
的计算机,使其形成一个网络或僵尸网络。 一旦您的计算机中存在僵尸网络,它便可用于分布式拒绝服
(DDoS) 攻击、代理,并在您不知情的情况下通过 Internet 执行自动化任务(例如,发送垃圾邮件、病毒
或盗用银行凭据或信用卡号等个人隐私信息)。
误报 (FP)
实际上,不能保证 100% 的检测率或 0% 的机会来避免错误地将干净对象归类为检测。
误报是将干净文件/应用程序错误地归类为恶意软件或 PUA。
加壳程序
加壳程序是一个运行时自解压的可执行文件,可将多种恶意软件合并在单个包中。
常见的加壳程序包括:UPX、PE_Compact、PKLite ASPack。若使用不同的加壳程序进行压缩,相同的恶意软
2
件的检测方式可能会有所不同。此外,加壳程序还能使其“签名”随着时间发生变异,从而使恶意软件更
加难以检测和移除。
潜在的不安全应用程序
许多合法程序可用于简化联网计算机的管理。然而,不法之徒可能将其滥用于恶意目的。ESET 提供检测此
类应用程序的选项。
潜在的不安全应用程序是指用于商业目的的合法软件。其中包括远程访问工具、密码破解应用程序以及按
键记录器(用于记录用户键盘输入信息)等程序。
如果您发现计算机上存在且正在运行潜在的不安全应用程序(而您并没有安装它),请咨询您的网络管理
员或删除该应用程序。
潜在不受欢迎的应用程序
灰色软件或潜在不受欢迎的应用程序 (PUA) 是一种广泛的软件类别,其意图不像其他类型的恶意软件(如
病毒或木马)那样具有明确的恶意。但它可能安装其他不受欢迎的软件,更改数字设备的行为,或者执行
用户未批准的活动或意料之外的活动。
可能被视为灰色软件的类别包括:显示广告的软件、下载封装程序、各种浏览器工具栏、会产生误导行为
的软件、捆绑软件、跟踪软件、代理软件(Internet 共享应用程序)、加密挖矿、注册表清理器(仅限
Windows 操作系统)或任何其他边界软件,或者使用非法或至少是不道德的商业行为(尽管看起来合法)
的并且可能被最终用户(最终用户知道如果允许该软件安装,它会执行哪些操作)视为不需要的软件。
潜在不安全的应用程序是本身合法的(可能为商业的)软件,但可能会被攻击者滥用。对这些类型应用程
序的检测可以由 ESET 软件的用户启用或禁用。
在某些情况下,用户可能觉得潜在的不受欢迎应用程序的好处多于风险。 为此,与其他类型的恶意软件
(例如木马程序或蠕虫)相比,ESET 将这些应用程序划分到较低风险类别中。
警告 - 已找到的潜在不受欢迎的应用程序
设置
软件封装程序
注册表清理器
潜在不受欢迎的内容
图文并茂说明
要在 ESET Windows 家庭版产品中扫描并删除潜在不受欢迎的应用程序 (PUA),请参阅我们的 ESET
识库文章
警告 - 已找到的潜在不受欢迎的应用程序
检测到潜在不受欢迎的应用程序后,您可以确定采取哪种操作:
1.清除/断开连接:此选项将终止操作并阻止 PUA 进入系统。
您将在从网站下载期间看到 PUA 通知的断开连接选项,以及磁盘上文件通知的清除选项。
3
2.忽略:此选项允许 PUA 进入系统。
3.从检测中排除:若要使已存在于计算机上的检测到的文件能够在以后运行而不受到打扰,请单击
高级选项,选中从检测中排除旁的复选框并单击忽略
4.排除对签名的检测:若要允许由特定检测名称(签名)识别的所有文件以后在计算机上运行时不
受干扰(现有文件或 Web 下载的干扰),请单击高级选项,选中排除对签名的检测旁边的复选框,
并单击忽略。如果之后立即显示具有相同检测名称的其他检测窗口,请单击“忽略”以将其关闭
(任何其他窗口均与排除对签名的检测之前发生的检测有关)。
设置
安装 ESET 产品时,您可以确定是否启用潜在不受欢迎的应用程序检测,如下所示:
4
警告
潜在不受欢迎的应用程序可能安装广告软件、工具栏或包含其他不受欢迎和不安全的程序功能。
可随时在程序设置中修改这些设置。若要启用或禁用潜在不受欢迎、不安全或可疑的应用程序检测,请按
照以下说明操作:
1. 打开 ESET 产品
2. F5 键以访问高级设置
3. 单击检测引擎(在早前版本中也称为病毒防护计算机),然后根据您的偏好启用或禁用以下选项:
启用潜在不受欢迎的应用程序检测功能启用潜在不安全的应用程序检测功能启用可疑应用程序检测
功能。单击确定以确认。
图文并茂说明
有关如何配置产品以检测或忽略 PUA 的更多详细说明,请访问 ESET 知识库文章:
ESET NOD32 Antivirus / ESET Internet Security / ESET Smart Security Premium
ESET Cyber Security for macOS/ESET Cyber Security Pro for macOS
ESET Endpoint Security / ESET Endpoint Antivirus for Windows
ESET Mobile Security for Android
软件封装程序
软件封装程序是由一些托管文件的网站使用的特殊类型的应用程序修改。它是一种第三方工具,用于安装
用户想要下载的程序,但会添加附加软件(例如工具栏或广告软件)。附加的软件可能还会更改您的 Web
浏览器主页和搜索设置。此外,托管文件的网站通常不会通知软件供应商或下载收件人已进行了修改,并
且通常会隐藏退出的选项。基于这些原因,ESET 将软件封装程序归类为潜在不受欢迎的应用程序类型,以
5
让用户选择是否接受下载。
注册表清理器
注册表清理器是可能会建议 Windows 注册表数据库需要定期维护或清理的程序。使用注册表清理程序可能
会给计算机系统带来一些风险。此外,某些注册表清理器会就其优点发表不规范、无法核实或不受支持的
声明和/或基于“免费扫描”的结果生成关于计算机系统的误导性报告。这些误导性的声明和报告试图说
服您购买完整版或订阅,通常不允许您在付款前评估注册表清理器。出于这些原因,ESET 将此类程序归类
PUA,并为您提供允许或阻止它们的选项。
潜在不受欢迎的内容
如果您的 ESET 产品中启用了 PUA 检测,则具有推广 PUA 或误导用户执行可能对其系统或浏览体验产生负
面影响的操作的这类不良声誉的网站将作为潜在不受欢迎的内容被阻止。如果您收到通知,告知您正在尝
试访问的网站被归类为潜在不受欢迎的内容,可以单击返回以离开被阻止的网页,或单击忽略并继续以允
许加载该网站。
可以在此 ESET 知识库文章中找到有关此主题的进一步信息。
勒索软件
勒索软件(也称为 Filecoder)是一种恶意软件,它可以锁定您的设备或加密设备上的内容,然后以恢复对
内容的访问为要挟向您勒索钱财。此类恶意软件还可能具有内置计时器,预设必须遵从的付款截止时间。
如果未遵从此截止时间,则要价会上涨或设备最终变得无法访问。
在设备被感染后,Filecoder 可能会尝试加密设备上的共享驱动器。这一过程可能会使恶意软件看起来似乎
是在网络上传播,但实际上并非如此。当文件服务器上的共享驱动器已加密时,会出现这种情况,但服务
6
器本身并不包含恶意软件感染(除非它是终端服务器)。
勒索软件制作者会生成一对密钥(公钥和私钥),并将公钥插入恶意软件。勒索软件本身可能是木马的一
部分,也可能看起来是您可能通过电子邮件、社交网络或即时通讯工具接收的文件或图片。在潜入计算机
后,恶意软件将生成随机对称密钥并加密设备上的数据。它使用恶意软件中的公钥来加密对称密钥。之后
勒索软件会要求付款才能解密数据。设备上显示的付款要求消息可能是虚假警告,告知您的系统已用于非
法活动或包含非法内容。将要求勒索软件受害者使用一系列付款方式支付赎金。这些选项通常是难以跟踪
的付款方式,例如数字(加密)货币、产生高额费用的短信或预付费凭证。勒索软件制作者收到付款后,
应该会解锁设备,或使用其私钥解密对称密钥并解密受害者的数据;但并不能保证此操作会执行。
有关勒索软件防护的详细信息
ESET 产品使用多层技术来保护设备免受勒索软件攻击。请参阅我们的 ESET 知识库文章,来了解如
何保护系统免受勒索软件攻击的最佳实践。
Rootkit
Rootkit 是一种恶意程序,它能在隐瞒自身存在的同时赋予 Internet 攻击者不受限制的系统访问权。访问系统
(通常利用系统漏洞)后,Rootkit 可使用操作系统中的功能避开病毒防护软件的检测:它们能够隐藏进程、
文件和 Windows 注册表数据。有鉴于此,几乎无法使用普通测试技术检测到它们。
有两种检测级别可阻止 Rootkit:
1.Rootkit 试图访问系统时:它们还未出现,因此处于不活动状态。大部分病毒防护系统能够清除此
级别的 Rootkit(假定系统实际检测到此类文件被感染)。
2.躲避一般的检测时:ESET 用户可以利用反隐藏技术,该技术还能够检测并清除活动的 Rootkit。
面向返回的编程
面向返回的编程 (ROP) 是一种典型的代码复用攻击,攻击者通过带有恶意结果的现有代码引导控制流。ROP
攻击代表了堆栈粉碎攻击的高级版本。当程序写入预期数据结构(通常使用固定长度的缓冲区)之外的程
序调用堆栈上的内存地址时,就会发生堆栈缓冲区溢出。
ROP 是一种漏洞利用技术,可以实现在目标系统上执行代码。通过获得对调用堆栈的控制权,攻击者可以
控制在计算机上运行的现有受信任软件的流程,并操纵它执行与预期不同的任务。
间谍软件
此类别包括所有在未经用户同意/了解的情况下发送私人信息的应用程序。间谍软件使用跟踪功能发送各
种统计数据,例如所访问网站的列表、用户联系人列表中的电子邮件地址或记录按键记录程序的列表。
间谍软件的作者宣称,这些技术旨在更好地了解用户需求和兴趣,从而使广告更有针对性。问题在于,有
用和恶意的应用程序之间并没有明显的差别,任何人都无法确保检索到的信息不会被滥用。间谍软件应用
程序获得的数据可能包括安全代码、PIN、银行帐号等。程序的作者通常将间谍软件与其免费版本程序捆绑,
以获取收益或促使用户购买软件。通常,程序在安装时会告知用户存在间谍软件,以促使其将软件升级为
不带间谍软件的付费版本。
比如 P2P(点对点)网络客户端应用程序就是著名的捆绑了间谍软件的免费软件产品。Spyfalcon Spy
Sheriff(以及更多)属于特定的间谍软件子类别 - 它们看上去像间谍软件防护程序,实际上其本身就是间
谍软件程序。
7
如果计算机上的某个文件被检测为间谍软件,我们建议您删除它,因为该软件极有可能包含恶意代码。
按键记录程序作为间谍软件的子类别,可以基于硬件,也可以基于软件。基于软件的按键记录程序只可以
收集键入到单个网站或应用程序中的信息。更复杂的按键记录程序可以记录键入的所有内容,包括复制/
粘贴的信息。某些面向移动设备的按键记录程序可以记录呼叫、来自消息应用程序的信息、位置,甚至可
以记录麦克风和相机捕捉。
木马
过去对计算机木马(特洛伊木马程序)的定义是,试图以有用程序的假面具欺骗用户运行的一类威胁。
由于木马的涵盖范围非常广,因此常被分为许多子类别:
Downloader - 能够从 Internet 下载其他威胁的恶意程序。
Dropper - 能够将其他类型的恶意软件放入受入侵计算机的恶意程序。
Backdoor - 与远程攻击者通信,允许其获得计算机访问权限并控制计算机的恶意程序。
Keylogger –(按键记录程序)- 一种记录用户键入的每个按键并将信息发送给远程攻击者的程序。
Dialer - 专门通过附加计费号码而不是通过用户的 Internet 服务提供商进行连接的恶意程序。用户几
乎无法注意到新连接的创建。Dialer 只能对使用拨号调制解调器(现在已很少使用)的用户造成破坏。
如果计算机上的文件被检测为木马,建议您将其删除,因为它极有可能包含恶意代码。
病毒
计算机病毒是一段预先附着或追加到计算机上现有文件的恶意代码。计算机病毒之所以用生物学上的“病
毒”一词命名,是因为它们使用类似手法从一个位置传播到另一个位置。对于“病毒”一词,通常错误用
于指代任何类型的威胁。这种用法正在逐渐改变,而由更为准确的术语“恶意软件”所取代。
计算机病毒主要攻击可执行文件和文档。计算机病毒的工作方式可简述如下:执行被感染文件后,在执行
原始应用程序前调用并执行恶意代码。病毒可以感染当前用户具有写入权限的任何文件。
计算机病毒的目的和严重性各有不同。其中有些病毒非常危险,因为它们会故意删除硬盘驱动器上的文件。
另一方面,一些病毒不造成任何破坏,它们只是骚扰用户,展示其作者的技术技巧。
如果您的计算机感染病毒而无法清除,请提交至 ESET 研究实验室寻求帮助。 在某些情况下,被感染文件
可能被修改至无法清除的程度,必须以干净副本替换文件。
蠕虫
计算机蠕虫是包含可通过网络攻击主机并传播的恶意代码的程序。病毒和蠕虫的基本区别在于蠕虫具有自
我传播的能力,它们不依赖主机文件(或引导区)。蠕虫通过联系人列表中的电子邮件地址或利用网络应
用程序中的安全漏洞进行传播。
因此,蠕虫的生存能力远超计算机病毒。由于 Internet 的广泛应用,它们可以在发布后数小时甚至数分钟
内传播到世界各地。这种独立快速复制的能力使得它们比其他类型恶意软件更加危险。
在系统中激活的蠕虫会带来多种不便:它可以删除文件、降低系统性能,甚至停止程序。计算机蠕虫的特
性使其适合作为其他类型渗透的“传输手段”。
8
如果您的计算机感染了蠕虫,建议您删除被感染文件,因为它们可能包含恶意代码。
凭据填充
凭据填充是一种网络攻击,它使用已泄露凭据数据库中的数据。攻击者会使用机器人和其他自动化方法,
以在大量网站上使用泄露的数据登录帐户。攻击者会利用通过多个网站和服务回收其登录凭据的用户。攻
击成功后,攻击者可以获得对帐户和该帐户中存储的用户数据的完全访问权限。攻击者可以利用此访问权
限来窃取个人数据,以实施身份盗用、欺诈交易、分发垃圾邮件或其他恶意操作。
DNS 投毒
使用 DNS(域名服务器)投毒,黑客可以欺骗任何计算机的 DNS 服务器,使其相信他们提供的假数据是合
法且可信的。虚假信息将缓存一段时间,允许攻击者改写 IP 地址的 DNS 回复。因此,尝试访问 Internet
站的用户将下载计算机病毒或蠕虫,而不是网站的初始内容。
DoS 攻击
DoS,或拒绝服务,是一种使计算机或网络对其目标用户不可用的尝试。受影响用户之间的通信会受到阻塞,
无法以正常方式继续执行。受到 DoS 攻击的计算机通常需要重新启动才能正常工作。
在大多数情况下,此攻击的目标是 Web 服务器,目的在于使用户在一段时间内无法访问它们。
ICMP 攻击
ICMP(Internet 控制消息协议)是一种流行且被广泛使用的 Internet 协议。它主要由联网的计算机使用,用
于发送各种错误消息。
远程攻击者试图利用 ICMP 协议的弱点。 ICMP 设计用于无需验证的单向通信。 这允许远程攻击者触发所谓
DoS(拒绝服务)攻击,或允许未经授权的个人访问传入和传出数据包的攻击。
典型 ICMP 攻击包括 ping flood、ICMP_ECHO flood smurf attack。 受到 ICMP 攻击的计算机速度明显减慢
(这适用于所有使用 Internet 的应用程序),并且出现 Internet 连接问题。
端口扫描
端口扫描用于确定网络主机上有哪些开放的计算机端口。端口扫描程序是用于查找此类端口的软件。
计算机端口是处理传入和传出数据的虚拟点 – 从安全角度来说,它非常重要。在大型网络中,端口扫描
程序收集的信息可能有助于识别潜在漏洞。此类使用是合法行为。
不过,试图破坏系统安全的黑客也常使用端口扫描。他们第一步是向每个端口发送数据包。根据响应类型,
可以确定哪些端口正在使用中。扫描本身不引起破坏,但请注意,此活动可暴露潜在漏洞并允许攻击者控
制远程计算机。
建议网络管理员阻止所有未使用的端口,保护正在使用的端口免遭未经授权的访问。
9
SMB 中继
SMB 中继和 SMB 中继 2 是能够对远程计算机执行攻击的特殊程序。 它们利用了 NetBIOS 中的服务器消息
(Server Message Block) 文件共享协议。 用户在 LAN 内共享任何文件夹或目录将很有可能使用此文件共
享协议。
在本地网络通信中,密码哈希可以交换。
SMB 中继在 UDP 端口 139 和 445 上接收连接、中继客户端和服务器交换的数据包并修改它们。 连接并
验证后,将断开客户端连接。 SMB 中继会创建新虚拟 IP 地址。 可以使用命令“net use \\192.168.1.1”访问新
地址。 该地址可供任何 Windows 网络功能使用。 SMB 中继可中继除协商和验证以外的 SMB 协议通信。 只
要连接了客户端计算机,远程攻击者就可以使用 IP 地址。
SMB 中继 2 与 SMB 中继的工作原理相同,区别在于前者使用 NetBIOS 名而不是 IP 地址。 它们两者都可
以发起“中间人”攻击。 此类攻击允许远程攻击者在不被注意的情况下读取、插入和修改两个通信端点
之间交换的消息。 受到此类攻击的计算机常常停止响应或意外重新启动。
要避免攻击,建议您使用验证密码或密钥。
TCP 去同步化
TCP 去同步化是一种用于 TCP 劫持攻击的技术。它由传入数据包中的序列号与预期序列号不一致的进程所
触发。带有意料之外的序列号的数据包将被忽略(或者如果数据包位于当前的通信窗口中,它们将被存储
在缓冲存储器中)。
在去同步化中,两个通信端点都释放收到的数据包,远程攻击者在该点上能够渗透并提供具有正确序列号
的数据包。 攻击者甚至可以操纵或修改通信。
TCP 劫持攻击的目的在于中断服务器与客户端通信或点对点通信。 对每个 TCP 段使用验证可以避免许多攻
击。 此外,我们建议您使用网络设备的推荐配置。
蠕虫攻击
计算机蠕虫是包含可通过网络攻击主机并传播的恶意代码的程序。网络蠕虫能够利用各种应用程序中的安
全漏洞。借助 Internet,它们可以在发布后数小时内传播到全世界。
通过使用防火墙的默认安全设置或阻止未保护和未使用的端口,可以避免大部分蠕虫攻击
(Sasser、SqlSlammer)。 此外,使用最新安全补丁更新您的操作系统也非常重要。
ARP 缓存投毒
地址解析协议 (ARP) 会转换数据链路层(MAC 地址)和网络层(IP 地址)之间的地址。“ARP 缓存投毒攻击”
使攻击者能够通过破坏网络的 ARP 表(MAC IP 设备映射)来拦截网络设备之间的通信。
攻击者会向默认网络网关发送虚假的 ARP 应答消息,以通知 MAC 地址与另一个目标的 IP 地址相关联。当
默认网关收到此消息并将更改广播给网络上的所有其他设备时,目标与任何其他网络设备的所有通信都会
流经攻击者的计算机。此操作使攻击者能够对转发给预期目标之前的通信进行检查和修改。
10
电子邮件威胁
电子邮件是一种具有许多优点的通信方式。
不幸地是,由于其高度的匿名性,电子邮件和 Internet 为垃圾邮件等非法活动留下了空间。垃圾邮件包括
不请自来的广告、恶作剧和恶意软件 – 恶意软件的传播。因发送垃圾邮件的成本极低,并且垃圾邮件作
者拥有许多用于获取新电子邮件地址的工具,这些因素增加了电子邮件给您带来的不便和危险。此外,垃
圾邮件的数量和种类之多使得它难以管理。您使用电子邮件地址的时间越长,该地址进入垃圾邮件引擎数
据库的可能性就越大。
下面是一些用于预防垃圾邮件的提示:
尽量不要在 Internet 上发布您的电子邮件地址
仅向信任的个人提供您的电子邮件地址
尽量不要使用常用别名 - 使用更复杂的别名,跟踪的可能性将降低
请勿回复已进入您收件箱的垃圾邮件
填写 Internet 表单时请小心 - 尤其小心“是,我希望收到信息”之类的选项。
使用“专用”电子邮件地址 - 例如,一个用于工作,一个用于和您的朋友通信等。
定期更改电子邮件地址
使用反垃圾邮件解决方案
广告
Internet 广告是发展最迅速的广告形式之一。其主要营销优势在于成本最低、非常直接;而且,邮件几乎
是立刻送达。许多公司使用电子邮件市场营销工具与当前和潜在客户进行有效通信。
这种类型的广告是合法的,因为您可能希望收到关于某些产品的商业信息。但许多公司发送大量不请自来
的商业邮件。在这种情况下,电子邮件广告就演变成了垃圾邮件。
大量不请自来的电子邮件就成了问题,而且毫无缓解的迹象。不请自来的电子邮件的作者经常试图将垃圾
邮件伪装成合法邮件。
恶作剧
恶作剧是通过 Internet 传播的错误信息。恶作剧通常通过电子邮件或类似 ICQ Skype 的通信工具发送。
邮件内容通常是笑话或都市传奇。
计算机病毒恶作剧试图在收件人中产生恐惧、不确定和怀疑情绪 (FUD),使他们相信有一个“无法检测的病
毒”正在删除文件和检索密码,或者对他们的系统执行一些其他有害活动。
一些恶作剧要求收件人将邮件转发给其联系人,从而继续传播恶作剧。恶作剧包括手机恶作剧、请求帮助、
他人要求从海外寄钱给您等。通常无法确定创建者的意图。
如果您看到邮件提示您转发给认识的每个人,这很可能是恶作剧。Internet 上的许多网站都可以验证电子邮
件是否合法。在转发前,请对您怀疑是恶作剧的任何邮件执行 Internet 搜索。
11
欺诈
术语“欺诈”定义了一种利用社会工程学技术(为获得机密信息而操控用户)进行犯罪的行为。其目的是
获得银行帐号、PIN 码等敏感数据的访问权限。
通常,攻击者通过冒充可信赖的个人或企业(比如金融机构、保险公司)发送电子邮件而获得访问权限。
这类电子邮件的外观非常逼真,其中包含的图片和内容可能来自于被仿冒对象的原始来源。 信中会以各
种借口(数据验证、财务运作等)要求您输入一些个人数据,如银行帐号或用户名和密码。 如果提交,
所有这类数据都可能被盗用和滥用。
银行、保险公司和其他合法的公司从来不会要求用户在不请自来的电子邮件中输入用户名和密码。
识别垃圾邮件欺骗
通常,一些标志可以帮助您识别邮箱中的垃圾邮件(不请自来的电子邮件)。如果邮件至少满足以下部分
条件,则很可能是垃圾邮件。
发件人地址不属于您的联系人列表中的任何人。
向您提供大笔金额,但您必须先提供少量金额。
以各种借口(数据验证、财务操作)要求您输入某些个人数据 - 银行帐号、用户名和密码等。
以外语撰写。
要求您购买您不感兴趣的产品。如果您决定购买,请验证邮件发件人是否为可靠供应商(咨询原始
产品制造商)。
部分词语拼写错误,试图欺骗您的垃圾邮件过滤器。例如,将“viagra”拼写成“vaigra”。
规则
在反垃圾邮件解决方案和电子邮件客户端环境中,规则有助于操作电子邮件功能。它们包括两个逻辑部分:
1.条件(例如,来自特定地址或具有特定电子邮件主题的传入邮件)
2.操作(例如,删除邮件或转移到指定文件夹)
对于不同的反垃圾邮件解决方案,其规则的数量和组合也有所不同。这些规则即为处理垃圾邮件(不请自
来的电子邮件)的措施。典型示例:
1. 条件:传入的电子邮件包含某些垃圾邮件中常见的词语
2. 操作:删除邮件
1. 条件:传入的电子邮件包含一个带 .exe 扩展名的附件
2. 操作:删除附件,将邮件投递到邮箱
1. 条件:来自您的雇主的传入电子邮件
12
2. 操作:将邮件移动到“工作”文件夹
若要方便管理并更有效地过滤垃圾邮件,建议您在反垃圾邮件程序中使用规则组合。
白名单
通常,白名单是一个被接受或被授予权限的项目或联系人列表。“电子邮件白名单”(允许的地址)一词
定义了用户愿意接收其邮件的联系人列表。此类白名单基于在电子邮件地址、域名或 IP 地址中搜索的关键
字。
如果白名单在“独占模式”下工作,将不接收来自任何其他地址、域或 IP 地址的邮件。另一方面,如果是
非独占模式,则不删除此类邮件,而是以其他方式过滤。
白名单依据的原则与黑名单相反。白名单较之黑名单更易维护。建议您同时使用白名单和黑名单以更有效
地过滤垃圾邮件。
黑名单
通常,黑名单是被拒绝或禁止的项目或人员的列表。在虚拟世界中,它是能够接受此列表之外所有其他用
户邮件的技术。
黑名单有两种类型:由用户在其反垃圾邮件应用程序中创建的黑名单和可在 Internet 上找到的由专门机构
创建的专业、定期更新的黑名单。
使用黑名单对于成功阻止垃圾邮件很重要,但它们难以维护,因为每天都会出现需要阻止的新项目。我们
建议您同时使用白名单和黑名单来最有效地过滤垃圾邮件。
例外
例外列表(也称为例外的列表)通常包括可能为欺诈并用于发送垃圾邮件的电子邮件地址。将始终扫描接
收自例外列表中列出地址的电子邮件,以检查是否存在垃圾邮件。默认情况下,例外列表包含来自现有电
子邮件客户端帐户的所有电子邮件地址。
服务器端控制
服务器端控制是一种根据已接收的邮件数量和用户的反应来识别大量垃圾邮件的技术。 基于邮件内容,
每封邮件都会留有唯一的数字“印记”。 这个唯一的 ID 号并不会泄露电子邮件的任何内容。 两封同样的
邮件将具有同样的印记,而不同的邮件将具有不同的印记。
如果某个邮件被标记为垃圾邮件,则它的印记会被发送到服务器。如果服务器接收了多个同样的印记(对
应于特定的垃圾邮件),则该印记会被存储在垃圾邮件印记数据库中。当扫描传入的邮件时,程序将邮件
的印记发送到服务器。服务器会返回其对应的邮件已被用户标记为垃圾邮件的印记信息。
高级内存扫描程序
高级内存扫描程序与漏洞利用阻止程序结合使用以增强对恶意软件的防范,后者旨在通过迷惑和/或加密
方法来逃过反恶意软件产品的检测。 为了以防普通的模拟或启发式扫描无法检测出某个威胁,高级内存
扫描程序可以在可疑行为和威胁出现在系统内存中时识别可疑行为并扫描威胁。 此解决方案对迷惑性极
13
强的恶意软件也非常有效。
与漏洞利用阻止程序不同,高级内存扫描程序是执行后方法,这意味着可能存在它检测到威胁之前某些恶
意活动已执行的风险;但是在其他检测技术都失效的情况下,该方法可以提供额外一层安全性。
银行业务和付款保护
银行和付款保护是旨在在线交易期间保护财务数据的一层额外保护。
ESET Smart Security Premium ESET Internet Security 包含内置的预定义网站列表,它们将触发受安全的浏
览器打开。可以在产品配置中添加网站或编辑网站的列表。
打开“保护所有浏览器”以在安全模式下启动所有支持的 Web 浏览器。
有关此功能的更多详细信息,请阅读以下 ESET 知识库文章:
如何使用 ESET 银行和付款保护?
ESET Windows 家庭版产品中暂停或禁用“银行业务和付款保护”
ESET 银行业务和付款保护 - 常见错误
要执行受保护的浏览,必须使用加密的 HTTPS 通信。以下浏览器支持“银行业务和付款保护”:
Internet Explorer 8.0.0.0
Microsoft Edge 83.0.0.0
Google Chrome 64.0.0.0
Firefox 24.0.0.0
在首选 Web 浏览器中打开“银行业务和付款保护”
当直接从产品菜单中的工具选项卡打开“银行业务和付款保护”时,将使用在 Windows 中设置为默认浏览
器的 Web 浏览器打开它。否则,当打开首选 Web 浏览器(而不是从产品菜单)时,受保护网站列表中的
网站将重定向到由 ESET 保护的相同类型的 Web 浏览器。
僵尸网络防护
僵尸网络防护通过分析其网络通信协议来发现恶意软件。僵尸网络恶意软件不断变化,而网络协议过去几
年未有任何变化。这种新技术可以帮助 ESET 抵御试图避开检测并尝试将您的计算机连接到僵尸网络的恶意
软件。
DNA 检测
检测类型范围为非常特定的哈希到 ESET DNA 检测,此类检测是恶意行为和恶意软件特征的复杂定义。虽
然攻击者可以轻易地修改或篡改恶意代码,但无法轻易更改对象的行为,因而 ESET DNA 检测旨在利用该
原则。
我们对代码进行深入分析,然后提取对其行为负责的“基因”,从而构建 ESET DNA 检测,此类检测用于
14
评估潜在的可疑代码(不论是在磁盘上还是在正在运行的进程内存中找到代码)。DNA 检测可识别特定已知
恶意软件样本、已知恶意软件家族的新变种、甚至以前未见过或未知的恶意软件(包含指示恶意行为的基
因)。
ESET LiveGrid®
ESET LiveGrid®(建立在 ESET ThreatSense.Net 高级早期预警系统之上)利用 ESET 用户在世界各地提交并发送
ESET 研究实验室的数据。 通过提供可疑的样本和原始的元数据,ESET LiveGrid® 使我们能够立即对客户
的需求作出反应并使 ESET 能够持续应对最新的威胁。
ESET 恶意软件研究人员使用该信息生成全球威胁的性质和范围的精确快照,以帮助我们将注意力放在正确
的目标上。ESET LiveGrid® 数据在我们设置自动处理优先级时起着重要的作用。
此外,它还实施了一个信誉系统,可帮助提高我们的反恶意软件解决方案的整体效率。用户可以直接从程
序界面或右键菜单通过 ESET LiveGrid® 提供的额外信息来检查正在运行的进程和文件的信誉。在用户系统
上检查可执行文件或压缩文件时,系统会首先将其哈希标记与数据库中的白名单和黑名单项进行比较。如
果发现检查的文件位于白名单中,则该文件将被认为是干净的并进行标记,以便从日后的扫描中排除。如
果发现它位于黑名单中,则将根据威胁的性质采取相应的措施。如果未发现匹配项,则将彻底扫描该文件。
基于此次扫描的结果,文件将被分类为具有威胁或不具有威胁。此方法对扫描性能有着显著的积极影响。
此信誉系统甚至在恶意软件样本的特征通过更新的病毒库传递给用户计算机(每天多次)之前,就可以对
这些样本进行有效检测。
除了 ESET LiveGrid® 信誉系统,ESET LiveGrid® 反馈系统将收集您的计算机中与新检测到的威胁相关的信息。
这些信息可能包括出现威胁的文件的样本或副本、该文件的路径、文件名、日期和时间、威胁出现在计算
机上的过程,以及有关您的计算机操作系统的信息。
ESET LiveGrid® 服务器
我们的 ESET LiveGrid® 服务器部署于布拉迪斯拉发、维也纳和圣地亚哥;但是,这些只是响应来自客
户端请求的服务器。提交的样本会在斯洛伐克布拉迪斯拉发进行处理。
启用或禁用 ESET 产品中的 ESET LiveGrid®
有关启用或禁用 ESET 产品中的 ESET LiveGrid® 的更多详细说明和图文并茂说明,请访问我们的 ESET
知识库文章
漏洞利用阻止程序
漏洞利用阻止程序旨在强化通常被利用的应用程序类型,例如 Web 浏览器、PDF 阅读器、电子邮件客户端
Microsoft Office 组件,以及防御 ROP 攻击。漏洞利用阻止程序在所有 ESET Windows 家庭版产品、适用
Windows Server ESET 产品和适用于 Windows ESET Endpoint 产品中均可用并默认处于启用状态。
它的工作原理是通过监视进程的行为来查找可能表明漏洞的可疑活动。
在漏洞利用阻止程序识别出某个可疑进程后,它会立即停止该进程并记录威胁数据,然后将该威胁数据发
送给 ESET LiveGrid® 云系统。该数据将由 ESET 研究实验室进行处理并用于更好地保护所有用户,以使他们
免受未知威胁和零日攻击(新发布的恶意软件,没有预配置的补救措施)的侵害。
Java 漏洞利用阻止程序
Java 漏洞利用阻止程序是现有漏洞利用阻止程序技术的扩展。它会监控 Java 并查找类似漏洞利用的行为。
阻止的样本会报告给恶意软件分析人员,以便他们可以创建特征,从而在不同的层上阻止它们(URL 阻止、
15
文件下载等)。
ESET LiveSense
ESET 使用许多独特、专有、分层保护技术,这些技术共同用作 ESET LiveSense。下图显示了 ESET 的一些核心
技术,并大致说明了它们可以在系统生命周期内检测并最终阻止威胁的时间和位置。
机器学习
自 1990 年以来,ESET 一直与机器学习算法结合使用来检测和阻止威胁。神经网络于 1998 年被添加到
ESET 产品的检测引擎中。
机器学习包括 DNA 检测,它使用基于机器学习的模型在有或没有云连接的情况下都能有效地工作。机器
学习算法也是传入样本的初始排序和分类的重要组成部分,并将它们放置在虚构的“网络安全图”上。
ESET 开发了自己的内部机器学习引擎。它结合使用神经网络的强大功能(例如,深度学习和长短期记忆)
以及一组精心挑选的六种分类算法。这使它可以生成合并的输出,并有助于正确地将传入样本标记为干净、
潜在不受欢迎或恶意。
ESET 机器学习引擎经过微调,可以与其他保护技术(例如 DNA、沙箱和内存分析)以及行为特征的提取配
合使用,来提供最佳的检测率和尽可能低的误报率。
16
ESET 产品的高级设置中的扫描程序配置
ESET Windows 家庭版产品(从版本 13.1 开始)
ESET Windows Endpoint 产品(从版本 7.2 开始)
网络攻击防护
网络攻击防护是防火墙的扩展功能,可在网络级别改进对已知漏洞的漏洞利用的检测。通过对广泛使用协议
(例如,SMB、RPC RDP)中的常见漏洞利用实施检测,它构成了针对广泛传播的恶意软件、通过网络进行
的攻击以及尚未发布或部署补丁的漏洞利用的另一层重要防护。
勒索软件防护
勒索软件防护是一种基于行为的检测技术,它会监控试图以勒索软件/Filecoder 常见方式修改文件的应用
程序和进程的行为。如果某个应用程序的行为被视为具有恶意,或基于信誉的扫描显示某个应用程序可疑,
则系统会阻止该应用程序并停止进程,或者系统会询问用户是要阻止它还是允许它。
必须启用 ESET LiveGrid®,才能使勒索软件防护正常工作。请参阅我们的 ESET 知识库文章,以确保
ESET LiveGrid® 已启用并在 ESET 产品中正常工作。
基于脚本的攻击防护
基于脚本的攻击防护包含 Web 浏览器中针对 JavaScript 的防护和 PowerShell 中针对脚本的反恶意软件扫描
接口 (AMSI) 防护。
HIPS
必须启用 HIPS 才能使此功能起作用。
基于脚本的攻击防护支持以下 Web 浏览器:
Mozilla Firefox
Google Chrome
Internet Explorer
Microsoft Edge
使用受支持的 Web 浏览器
由于浏览器的文件签名经常更改,因此 Web 浏览器最低受支持版本可能不同。但 Web 浏览器的最新
版本始终受支持。
安全的浏览器
“安全的浏览器”为在线浏览(例如,在线交易期间的财务数据)期间保护敏感数据提供额外一层保护。
ESET Endpoint Security 8 及更高版本包含内置的预定义网站列表,它们将触发打开受保护的浏览器。可以在
产品配置中添加网站,也可以编辑网站列表。安装后,会默认禁用“安全的浏览器”。
有关此功能的更多详细信息,请阅读以下 ESET 知识库文章:
17
要执行受保护的浏览,必须使用加密的 HTTPS 通信。要使用“安全的浏览器”,您的 Web 浏览器应满足
下面列出的最低要求:
Internet Explorer 8.0.0.0
Microsoft Edge 83.0.0.0
Google Chrome 64.0.0.0
Firefox 24.0.0.0
Firefox Microsoft Edge 仅在装有 ARM 处理器的设备上受支持。
在首选 Web 浏览器中打开“ESET 安全的浏览器”
当直接从产品菜单中的工具选项卡打开“ESET 安全的浏览器”时,将使用设置为默认浏览器的 Web 浏览器
打开 ESET 安全的浏览器。否则,当打开首选 Web 浏览器(而不是从产品菜单)时,ESET 内部列表将重定
向到由 ESET 保护的相同类型的 Web 浏览器。
UEFI 扫描程序
统一可扩展固件接口 (UEFI) 扫描程序是基于主机的入侵防御系统 (HIPS) 的一部分,可保护计算机上的 UEFI
固件。UEFI 固件在启动过程开始时加载到内存中。该代码存在于焊接在主板上的闪存芯片中。通过感染它,
攻击者可以部署在系统重新安装和重新启动后仍然存在的恶意软件。反恶意软件解决方案也很容易忽略此
类恶意软件,因为大多数反恶意软件不会扫描该层。
UEFI 扫描程序将自动启用。也可以在主程序窗口中,通过依次单击计算机扫描 > 高级扫描 > 自定义扫描
选择引导区/UEFI 目标,来手动启动计算机扫描。
如果您的计算机已感染 UEFI 恶意软件,请阅读以下 ESET 知识库文章:
我的计算机感染了 UEFI 恶意软件,我应该怎么做?
Canary 文件
Canary 文件是一种放置在实际文件中的虚假计算机文档,用于帮助早期检测未经授权的数据访问、复制或
修改。
死锁
死锁是一种每个计算机进程都在等待已分配给另一个进程的资源的情况。在这种情况下,由于所需资源由
另一个进程占用,而该进程也在等待另一个资源被释放,因此不会执行任何进程。务必在死锁可能会发生
之前就阻止它。资源调度程序可以检测到死锁发生,这有助于操作系统持续跟踪所有已分配给不同进程的
资源。如果同时出现以下四种情形,就会发生死锁:
无抢占式操作 - 资源只能由占用它的进程在完成其任务后自行释放。
互斥 - 一种特殊类型的二进制信号量,用于控制对共享资源的访问。它支持将当前优先级较高的
任务保持处于阻塞状态尽可能短的时间。
/