Kerberos身份認證協議在網絡中有以下缺陷:
協議認證的基礎是通信雙方均無條件信任KDC,一旦其安全受到影響,將會威脅整個認證系統的安全。同時,隨著用戶數量的增加,這種第三方集中認證的方式容易變成系統性能的瓶頸。KDC中存儲了大量用戶和資源服務器的通信密鑰。如何存儲和管理這些通信密鑰,防止其被攻擊者竊取,需要付出極高的資源和代價。
協議中的認證依賴于時間戳來實現抗重放攻擊,這要求所有客戶端和服務器時間同步。嚴格的時間同步需要有時間服務器,因此,時間服務器的安全至關重要。
Kerberos協議防止口令猜測攻擊的能力較弱。攻擊者可以通過收集大量的通行證,通過計算和密鑰分析進行口令猜測。如果用戶的口令不是很復雜,就有可能被攻擊者使用口令猜測攻擊竊取用戶的口令。
網絡信息安全依照安全性從高到低劃分為 A,B,C,D四個等級,每一個等級都有自身的特點。其中這些安全等級不是線性的,而是指數級上升的。下面給大家詳細說一下。
這是最高安全級別,這一級有時也稱為驗證設計。
B1級系統支持多級安全,多級是指這一安全保護安裝在不同級別的系統中,它對敏感信息提供更高級的保護。
這一級別稱為結構化的保護,B2 級安全要求計算機系統中所有對象加標簽,而且給設備分配安全級別。
B3級要求用戶工作站或終端通過可信任途徑連接網絡系統,這一級必須采用硬件來保護安全系統的存儲區。
C1級系統要求硬件有一定的安全機制,用戶在使用前必須登錄到系統。
C2級在C1級的某些不足之處加強了幾個特性,C2級引進了受控訪問環境的增強特性。
這是計算機安全的最低一級。整個計算機系統是不可信任的,硬件和操作系統很容易被侵襲。
基于主機的入侵檢測系統有以下優點:
能夠確定攻擊是否成功:由于基于主機的IDS使用包含有確實已經發生的事件信息的日志文件作為數據源,因而比基于網絡的IDS更能準確地判斷出攻擊是否成功。在這一點上,基于主機的IDS可謂是基于網絡的IDS的完美補充。
非常適合于加密和交換環境:由于基于網絡的IDS是以網絡數據包作為數據源,因而對于加密環境來講,它是無能為力的,但對于基于主機的IDS就不同了,因為所有的加密數據在到達主機之前必須被解密,這樣才能被操作系統所解析。對于交換網絡來講,基于網絡的IDS在獲取網絡流量上面臨著很大的挑戰,但基于主機的IDS就沒有這方面的限制。
近實時的檢測和響應:基于主機的IDS不能提供真正的實時響應,但是由于現有的基于主機的IDS大多采取的是在日志文件形成的同時獲取審計數據信息,因而就為近實時的檢測和響應提供了可能。
不需要額外的硬件:基于主機的IDS是駐留在現有的網絡基礎設施之上的,包括文件服務器、Web服務器和其它的共享資源等,這樣就減少了基于主機的IDS的實施成本。因為不再需要增加新的硬件,所以也就減少了以后維護和管理這些硬件設備的負擔。
可監視特定的系統行為:基于主機的IDS可以監視用戶和文件的訪問活動,這包括文件訪問、文件權限的改變、試圖建立新的可執行文件和試圖訪問特權服務等。例如,基于主機的IDS可以監視所有的用戶登錄及注銷情況,以及每個用戶連接到網絡以后的行為。
現在典型的密碼有以下幾種類型:
莫爾斯電碼:莫爾斯電碼是一種時通時斷的信號代碼,這種信號代碼通過不同的排列順序來表達不同的英文字母、數字和標點符號等。最早的莫爾斯電碼是一些表示數字的點和劃(用一個電鍵敲擊出的點、劃以及中間的停頓),數字對應單詞,需要查找一本代碼表才能知道每個詞對應的數。
四方密碼:四方密碼是一種對稱式密碼,由法國人 Felix Delastelle 發明。這是一種將字母兩兩分為一組,然后采用多字母替換而得到的密碼。
希爾密碼:希爾密碼是由 Lester S. Hill 于 1929 年發明的、運用基本矩陣原理產生的替換密碼。這是一種較為常用的古典密碼,具有相同明文加密成不同的密文的特點,因此較移位密碼、仿射密碼等更為安全實用。該密碼算法可簡便高效地實現所有 ASCII 字符的希爾加密和解密,其中求逆矩陣的算法簡捷實用。
波雷費密碼:波雷費密碼是一種對稱式密碼,是最早進行雙字母替代的加密法。
仿射密碼:仿射密碼也是一種替換密碼,一個明文字母對應一個密文字母。仿射密碼的安全性很差,主要是因為其原理簡單,沒有隱藏明文的字頻信息,因此很容易被破譯。
三分密碼:三分密碼由 Felix Delastelle 發明。三分密碼是三維的,用 3×3×3 的公式進行加密,它是第一個應用的三字母替換密碼。
常用的具體實現方法有以下四種:
基于特征檢測入侵檢測方法;
特征檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時,即報警。原理上與專家系統相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高,但對于無經驗知識的入侵與攻擊行為無能為力。
基于統計檢測入侵檢測方法;
統計模型常用異常檢測,在統計模型中常用的測量參數包括:審計事件的數量、間隔時間、資源消耗情況等。統計方法的最大優點是它可以“學習”用戶的使用習慣,從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規律,從而透過入侵檢測系統。
基于專家系統誤用入侵檢測方法;
用專家系統對入侵進行檢測,經常是針對有特征入侵行為。所謂的規則,即是知識,不同的系統與設置具有不同的規則,且規則之間往往無通用性。專家系統的建立依賴于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達,是入侵檢測專家系統的關鍵。在系統實現中,將有關入侵的知識轉化為if-then結構(也可以是復合結構),條件部分為入侵特征,then部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。
基于文件完整性檢查入侵檢測方法等。
文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個文件的數字文摘數據庫,每次檢查時,它重新計算文件的數字文摘并將它與數據庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發生變化。
信息安全存在以下這些急需解決的問題:
網絡強依賴性及網絡安全關聯風險凸顯
隨著網絡信息技術的發展,社會各個方面對網絡信息系統的依賴性增強,且各種關鍵信息基礎設施相互關聯,因而對網絡安全的影響范圍日益擴大,產生級聯反應、蝴蝶效應,建立可信的網絡信息環境成為迫切的需求。
網絡信息產品技術同質性與技術濫用風險
網絡信息系統軟硬件產品技術具有高度同質性,缺少技術多樣性,極易構成大規模網絡安全事件觸發條件,特別是網絡蠕蟲安全事件。同時,網絡信息技術濫用容易導致網絡安全事件發生,如大規模隱私數據泄露,內部人員濫用網絡信息技術特權構成網絡安全威脅網絡安全威脅技術的工具化,讓攻擊操作易千實現,使網絡攻擊活動日益頻繁和廣泛流行。
網絡安全建設與管理發展不平衡、不充分風險
網絡安全建設缺乏總體設計,常常采取“亡羊補牢"的方式構建網絡安全機制,從而導致網絡信息安全隱患。“重技術,輕管理;重建設,輕運營;重硬件,輕軟件”的網絡安全認識偏差,使得網絡安全機制難以有效運行,導致網絡安全建設不全面例如,網絡設備的口令直接用廠家默認配置,認證訪問控制機制形同虛設。
網絡數據安全風險
網絡中大鼠數據不斷地生成、傳輸、存儲、加工、分發、共享,支撐著許多關系國計民生的關鍵信息系統運營。由于數據處理復雜,涉及多個要素,數據安全風險控制是一個難題。若關鍵系統的某些重要的數據失去安全控制,就會導致系統運行中斷,引發社會信任危機,甚至危及人身安全。例如,電力控制系統指令的安全關系電網的正常運行,生產經營數據的失真影響企業決策電子病歷的安全影響個人健康和隱私。
高級持續威脅風險
APT攻擊威脅活動日益頻繁,包括對目標對象采用魚叉郵件攻擊、水坑攻擊、網絡流量劫持、中間人攻擊等,綜合利用多種技術以實現攻擊意圖,規避網絡安全監測。APT攻擊目標總體呈現出與地緣政治緊密相關的特性,受攻擊的領域主要包括國防、政府、金融、外交和能源等。此外,醫療、傳媒、電信等國家服務性行業領域也正面臨越來越多的APT攻擊風險。
軟件代碼和安全漏洞風險
由于軟件工程和管理等問題,新的軟件代碼安全漏洞仍然不斷地輸入網絡信息環境中,這些安全漏洞都可能成為攻擊切入點,攻擊者利用安全漏洞入侵系統,竊取信息和破壞系統。
人員的網絡安全意識風險
網絡信息系統是人、機、物融合而成的復雜系統,而實際工作過程中容易忽略人的關鍵安全作用。研究表明,網絡用戶人員選擇弱口令的比例仍然較大;利用網絡用戶U盤是實施網絡物理隔離擺渡攻擊的重要環節。
網絡信息技術復雜性和運營安全風險
隨著云計算、大數據、人工智能、移動互聯網、物聯網等新一代信息技術的普及應用,網絡信息系統的開放性、智能性等不斷提升,網絡安全運營的復雜性更高,其安全風險加大。云計算使得網絡安全邊界模糊化,網絡安全防護難度增加,云平臺的安全運維水平要求更高。業務連續性高的要求使得網絡信息系統的安全補丁維護管理成本提升。物聯網的開放性擴大了網絡信息系統的安全威脅途徑。
網絡地下黑產經濟風險
隨著“勒索軟件即服務”的黑產興起,活躍勒索軟件的數量呈現快速增長勢頭,且更新頻率加快。例如,某勒索軟件一年出現了約19個版本,快速更新迭代以躲避安全查殺。受到加密貨幣利益驅動,挖礦團伙利用安全漏洞、僵尸網絡、網盤等進行快速擴散傳播挖礦木馬。
網絡間諜與網絡戰風險
根據公開信息,某國大批量的網絡武器被曝光。網絡空間并非天下太平,一些國家建立起網軍,網絡戰威脅時隱時現。
構建網絡防御縱深防御體系從以下方面入手:
網絡安全能力框架:基于安全識別、防護、檢測、響應和恢復類的基礎安全能力,針對不同業務訪問場景的安全防護及合規管控需求,組合成各類網絡服務及通用安全功能組,形成標準化的網絡縱深防御安全能力框架,支撐網絡各邊界節點的安全能力設計。
網絡安全能力設計:將資產識別中的訪問關系梳理結果映射到網絡拓撲結構中,形成網絡各邊界節點的業務訪問場景。針對不同的業務訪問場景,依據網絡安全能力框架設計相應的安全能力,形成本邊界節點的網絡安全能力集合。
網絡安全能力差距分析:識別當前網絡各邊界節點的安全能力現狀,對照上述相應的網絡安全能力設計,分析當前網絡各邊界節點的安全能力差距,指導網絡安全防護措施的選擇與部署。
網絡邊界防御縱深構建:結合應用系統的分層架構設計,將應用組件劃分到不同網絡安全域。在各層安全域的邊界上,針對不同的業務訪問場景,依據網絡安全能力框架設計相應的安全能力,部署網絡安全防護措施,形成攻擊路徑上的層層防線。實現網絡邊界多層縱深防御,全面收縮應用系統攻擊面,避免因應用系統某一個組件的失陷,造成整個應用系統被入侵控制,減少敏感數據泄露的可能性。
區域中心安全防護點:在區域中心安全防護點上部署防火墻、網絡流量加解密、網絡入侵防御、全流量威脅檢測、文件沙箱、數據泄露檢測等措施,對本區域中分支機構的廣域網上行流量進行防護檢測,并由企業總部統一進行管理維護,實現廣域網匯聚層的全局流量控制,為安全態勢感知提供廣域網全局數據支撐。
分支機構安全接入點:統一規劃各分支機構安全接入點的安全能力要求,部署防火墻、網絡入侵防御、全流量威脅檢測、數據泄露檢測、漏洞掃描等措施。保障分支機構安全接入企業廣域網,減少網絡威脅的引入。
安全的云服務器設計時需要注意以下方面:
配置靈活性:云服務器應該能允許用戶對運行實例類型、實例規格、實例數量自行配置,還可以選擇實例運行的地理位置,根據用戶的需求隨時改變實例的使用數量,保證業務的連續性。
簡單易用性:云服務器的申請和使用應該非常便捷,用戶只需注冊云平臺賬號,審核通過后即可購買所需服務。云上應可提供多樣化的操作系統和應用軟件,可一鍵部署服務,并可通過鏡像或復制方式批量部署環境,節省應用的部署時間,提高IT人員效率。
安全穩定性:云服務器需具備高可用HA功能,可結合自動快照和手動快照功能進行數據備份,方便用戶進行數據恢復。云平臺還應提供安全軟件、入侵檢測防御系統、DDoS防護,輕松實現對云上服務器的安全訪問控制。
高性價比:云服務器要能提供不同的產品規格及付費方式滿足不同用戶的需求,供用戶按需購買。這樣可極大減少資源的浪費,提高利用率。相比傳統自建機房方式,其成本更低。
可擴展性:云服務器需能提供橫向擴展和縱向擴展能力。橫向擴展指通過增加云服務器實例數量以提高集群的并發處理能力;縱向擴展指通過提高實例配置,提高單個實例的處理能力。擴展性還體現在可與其他配套產品無縫銜接,持續提供完整的計算、存儲、網絡等解決方案。
提高云服務器的安全性的方法有以下這些:
建立完整可見性:企業要想實現有序地發展,需要獲取和部署可與遺留系統集成在一起的新工具,并與不同供應商和合作伙伴建立新關系。在本地服務器和多個外部云服務之間傳輸數據的混合云環境并不少見,但是日益增加的復雜性卻使得企業難以通觀全局。
加密:不管用戶如何監視他們的系統,如果不對數據進行加密,他們注定有一個安全漏洞。加密指的是以某種特殊的算法改變原有的信息數據,在通過網絡、互聯網、移動和無線設備傳輸、存儲、處理的過程中,防止它被其他人窺探。它通常將明文數據轉換成密文,使得未經授權的人無法對其放問。此外,還有各種可用的加密方法。
監控:監控是最終用戶的責任,因此,用戶應該保持從事他們系統的積極性。此外,還有各種各樣的監控選項,每個都有不同的工具及重點。在為系統選擇一個監控方案時,用戶應該確定他們的解決方案具備包容性,即軟件評估,安全監控配置,服務器賬號admin,認證等。
定期測試:將數據遷移到云端并不會隨之將責任也轉移給云服務提供商,這與目前流行的觀點不同。如果發生數據丟失,企業仍要承擔監管處罰、公信力損失以及所有其他相關后果。這就是為什么企業必須對合作伙伴進行盡職調查并確保他們完全理解合規對企業的意義。
安全清單:從錯誤中學習非常有用,但這不是最好的選擇,尤其是在真實的云平臺上。用戶可能會通過云來存儲、傳輸、接受大量的個人信息。這就意味著,哪怕是一丁點的安全漏洞,也可能發生災難性的后果。安全事故可能由無知、缺乏經驗、不稱職等因素引起,雖然知識庫及熟悉工作能減少無知,監控的補救措施能抵消經驗的不足。那么,如何能抵降低這些因素呢?答案是安全清單,把常見的任務、經驗、事故給羅列出來。作為用戶,在努力克服新問題的同時,他們可能會忘記現有的監控。核對安全清單能有效幫助用戶保護他們的系統。列出所有必要的步驟、冗余、程序日志等,用戶根據清單會更容易維護系統的安全。
內網和外網國家安全是:
內網安全:內網安全理論的提出是相對于傳統的網絡安全而言的。在傳統的網絡安全威脅模型中,假設內網的所有人員和設備都是安全和可信的,而外部網絡則是不安全的。基于這種假設,產生了防病毒軟件、防火墻、IDS等外網安全解決方案。提起網絡安全,人們自然就會想到病毒破壞和黑客攻擊,其實不然。常規安全防御理念往往局限在網關級別、網絡邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反,來自網絡內部的計算機客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。
外網安全:傳統網絡安全考慮的是防范外網對內網的攻擊,即可以說是外網安全。外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。 也就是說,網絡邊界安全技術防范來自Internet上的攻擊,主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防范減小了黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。 傳統的防火墻、人侵檢測系統和VPN都是基于這種思路設計和考慮的。 內網安全的威脅模型與外網安全模型相比,更加全面和細致
條件訪問是零信任安全的基石
條件訪問能夠安全驗證登錄嘗試,也因此成為零信任安全的重要組成部分。零信任安全模型解決了傳統邊界安全模型無法充分保護遠程和混合遠程環境這一問題,該模型假定所有用戶、設備和網絡在經過安全可靠的驗證之前都不可信。盡管復雜的密碼和安全的設備等基本安全方案依然是必要條件,但這類方案自現在已無法滿足企業的安全需求,只有基于“驗證先于信任”這一概念的零信任模型才能提供充分保護。
零信任中的安全驗證一般通過貫穿全程的多因素認證(MFA)來實現。條件訪問在此基礎上更進一步,根據用戶、設備和網絡周圍的上下文信號評估登錄環境的安全性,然后利用安全性信息自動創建登錄體驗,登錄過程的安全驗證和登錄環境的安全級別相匹配。
條件訪問優化了用戶體驗
目前,大多數企業都了解 MFA 在登錄中的重要性,80%以上的企業或多或少都會應用 MFA。但讓用戶每次訪問都進行 MFA 會很麻煩,甚至會導致用戶嘗試跳過或關閉 MFA。
有了條件訪問,只有在需要時才會應用 MFA,這就簡化了用戶體驗,讓員工能更快、更輕松地獲取所需資源。如今,用戶體驗成為企業的關鍵差異化因素,也是影響員工留存率的重要因素,因此必須盡可能減少用戶摩擦。
條件訪問優化了管理體驗
條件訪問憑借自動化流程和較高的安全性讓管理員不必再擔心登錄過程防護不充分,也無需進行額外工作。此外,取消全程應用 MFA 還可以降低用戶登錄出錯的頻率,也有助于減輕運維負擔。
條件訪問也能指定訪問參數,讓管理員實現合規元素的自動化。舉例來說,管理員可以設置條件訪問策略,確保某些項目只有特定用戶組的成員才能訪問——比如患者記錄只允許醫生訪問。
數據脫敏的五個過程如下:
元數據識別過程:數據脫敏平臺將脫敏文本讀入,脫敏平臺可設置讀入數據的行數,默認文件頭為格式(txt/csv/xml/python文本),用戶可自行設置間隔符號;同時若文本文件中默認不包含元數據頭文件,用戶可自行設置元數據名稱與格式。
脫敏數據識別過程:經過元數據識別/設置后,文本脫敏的敏感數據識別與數據庫敏感數據識別是相同的,均按照元數據描述及抽樣數據本身特點,使用系統的敏感數據掃描可識別出疑似敏感數據。
定義脫敏方案過程:在疑似敏感數據基礎上,用戶根據實際需求對需要脫敏的數據、脫敏規則進行設置,形成文本文件的脫敏方案。
脫敏執行過程:設置脫敏后數據的目標(需支持到文件、到庫),脫敏執行過程將數據抽取、處理、裝載一次性完成。
脫敏后對比過程:脫敏后數據用戶需在界面可見脫敏前后對比,對比的內容包括:脫敏前數據條數、脫敏后數據條數等。
數據保護原則包括:
明確責任人:應確定每個業務領域的數據安全責任人。
基于身份的信任原則:默認不信任企業內部和外部的任何人/設備/系統,需基于身份認證和授權,執行以身份為中心的訪問控制和資產保護。
數據流轉原則:數據流轉,包括但不限于數據共享給其他業務、數據流出當前安全域等,應經過責任人審批。
加密傳輸原則:外網Web業務應采取全站HTTPS加密,內網對重要的敏感數據加密傳輸。
加密存儲原則:對敏感的個人信息、個人隱私、UGC數據、身份鑒別數據,采取加密存儲措施。
脫敏展示原則:當展示個人信息時,應采取脫敏措施。
業務連續性:建立備份和恢復機制。
網絡安全等級保護制度包括法律和技術制度, 企業僅靠自身力量實施等保義務的難度較大, 宜聘請專業的律所以及有資質的評測機構協助落實。對于法律明確要求的義務, 企業應當立即落實:
制部安全管理制度和操作規程, 定內確定網絡安全負責人;
采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
采取監測、記錄網絡運行狀態、網絡安全事件的技術措施, 并按照規定留存相關的網絡日志不少于六個月;
采取數據分類、重要數據備份和加密等措施。
這是每個防火墻軟件所不能少的主要的功能。記錄著防火墻軟件監聽到發生的一切事件,比如入侵者的來源、協議、端口、時間等等。記錄的事件是由防火墻的功能來決定的。
過濾技術(Ip Filtering or packet filtering) 的原理在于監視并過濾網絡上流入流出的Ip包,拒絕發送可疑的包。在互聯網這樣的信息包交換網絡上,所有往來的信息都被分割成許許多多一定長度的信息包,包頭信息中包括IP源地址、IP目標地址、內裝協議(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目標端口、ICMP消息類型、包的進入接口和出接口。
當這些包被送上互聯網時,防火墻會讀取接收者的IP并選擇一條物理上的線路發送出去,信息包可能以不同的路線抵達目的地,當所有的包抵達后會在目的地重新組裝還原。包過濾式的防火墻會檢查所有通過信息包里的IP地址,并按照系統管理員所給定的過濾規則過濾信息包。
防火墻的安全規則就是對計算機所使用的局域網、互聯網的內制協議進行設置,使網絡數據包處理模塊可以根據設置對網絡數據包進行處理,從而達到系統的最佳安全狀態。個人防火墻軟件的安全規則方式可分為兩種:一種是定義好的安全規則。就是把安全規則定義成幾種方案,一般分為低、中、高三種,這樣不懂網絡協議的用戶,也可以根據自己的需要靈活的設置不同的安全方案。還有一種就是用戶自定義的安全規則。這需要用戶在了解了網絡協議的情況下,根據自己的安全需要對某個協議進行單獨設置。
通過黑盒手法處理過的很多的入口點都會或多或少地留下一些痕跡,包括:
入口點不在第一個區段或在最后一個區段:這種情況一般發生在經過入口點免殺技術處理過的PE文件中。
入口點處代碼為“孤島”狀態:這種情況是指入口點在某個區段的空白區域中,前不著村后不著店,只在入口點附近有一小段代碼的情況。經過免殺新手處理過的程序有時會出現這種情況。
入口點在正常范圍之外:因為編譯器的編譯優先級以及一些客觀因素的存在,入口點在代碼區段中的位置往往都是比較靠前的,也就是說其有一個大致的正常范圍,凡是超過這個范圍的應該就是被人為設定過的或被人為處理過的。
入口點為一個無效的值:有些駭客在免殺時會將TLS的入口點設為程序真正的入口點,并將PE文件中描述入口點的字段設為一個無效的值。這樣做不但可以保證程序能正常運行,還能避免反病毒軟件的入口點查殺。因此當發現入口點指向的地址明顯無效時,那么就應該判斷此PE文件是否包含TLS結構,如果包含就應判斷TLS的入口點是否符合特征,如果符合特征就應報毒。
區段名重復或不屬于正常范圍:目前編譯器編譯出來的PE文件的區段名都遵循一定的規則,凡是不符合這些規則的PE文件必然是由人為因素導致的。通常情況下,應用程序被加殼或此程序被人做過二進制補丁都會留下這種痕跡。
擁有可執行屬性的區段數量過多:通常情況下一個PE文件擁有一個具有可執行屬性的區段足矣,因此如果一個PE文件有兩三個區段都具有可執行屬性,那么顯然這情況是不正常的。
