HOHO刚刚上来 就看到砖头
还是说说怎么拦截病毒木马吧
外部你们看到的是很多类似backdoor之类的规则吧
这个是通过端口来拦截的
比如radmin这个木马吧,目前国内的杀软没有可以查杀的
不是不能杀,而是没法杀,因为radmin就是一款远程管理软件
但是被黑客利用而已.规则通过拦截特定的端口将radmin拒之门外.
类似灰鸽子 黑洞之类也是如此
这是规则第一步
第二内置的特征判别码
通过内置的特征码与前台的规则互动来提高拦截精度
因为所有的病毒和木马 蠕虫都有他们的特定特征
通过特征码就可以拦截病毒
上面那个左岸兄的图你也看到了吧...
80端口的木马拦截了,访问网站却是正常,就是内置判别码的作用
至于什么blowfish那是加密算法
内置的特征判别码是加密的
因为这个防止黑客盗取,而且这个规则有好多专利技术,加密也是维护自身利益.
那个冲击波的说法,屏蔽了相关端口还有和内置的特征代码的互动
只要冲击波病毒的数据包过来防火墙就将其拒之门外.
也就是阻隔.
这次的那个zotob,瑞星工程师不是让你们屏蔽139 和445端口?来阻截病毒?避免感染(防火墙阻隔病毒正常的吧)
我这个通过内置判别码就OK了
病毒是无限的但特征是有限的,所以通过有限的特征代码防御无限的病毒就是这个规则包的原理
至于那个包过滤的说法,现在的软件防火墙都是三层包过滤.
而且都是基于状态监测的.完全可以过滤数据包中的有害代码.
还有那个邮件病毒,也是可以通过特征码来处理.原理同上!
清楚了吧,
