信安软考第十四章恶意代码防范技术原理

但愿这章多考点内容，我可是记了好久

一、恶意代码概述

1.1 恶意代码定义与分类

恶意代码（Malicious code），是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用，破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播，从一台计算机系统传到另一外一台计算机系统，未经授权认证访问或破坏计算机系统。

通常许多人认为“病毒”代表了所有感染计算机并造成破坏的程序，但实际上，换成“恶意代码”更为贴切，病毒只是恶意代码的一种。

恶意代码的种类包括计算机病毒（Computer Virus)、蠕虫（Worms）、特洛伊木马（Trojan Horse）、逻辑炸弹（Logic Bombs）、细菌（Bacteria）、恶意脚本（Malicious Scripts）、和恶意ActiveX控件、间谍软件等。

1.2 恶意代码攻击模型

恶意代码的种类、攻击行为、破坏程度各不相同，但它们的作用机制基本一致。可分为如下6个步骤

第一步，入侵系统。（途径：下载网络上的不安全程序、接收并点击被恶意感染的mail、通过U盘等在系统上安装软件、攻击者故意植入系统的恶意代码等）
第二步，维持或提升自己有的权限。（恶意代码传播和破坏需要建立在攻击用户或进程的合法权限的基础之上）
第三步，隐藏。（方法：对恶意代码改名、删除源文件或修改系统的安全策略等）
第四步，潜伏。（在有足够的权限并满足某些条件时就会发作）
第五步，破坏。（恶意代码具有破坏性的本质，为的是造成信息丢失、泄密，系统完整性被破坏等）
第六步，重复前面5步对新的目标实施攻击的过程

1.3 恶意代码生存技术

反跟踪技术

1）反动态跟踪技术

a.禁止跟踪中断。针对调试分析工具运行系统的但不中断与断电中断服务程序，恶意代码通过修改中断服务程序的入口地址来实现其反跟踪的目的。

b.检测跟踪法。根据检测跟踪调试时和正常执行时的运行环境、中断入口和时间的不通采取相应的措施实现其反跟踪目的。

c.其他反跟踪法。如指令流队列法和逆指令流法等

2）反静态分析技术

a. 对程序代码分块加密执行

b.伪指令法。伪指令法指将“废指令”插入指令流中，让静态反汇编得不到全部做出的指令，进而不能继续有效的静态分析。

加密技术

通过配合反跟踪技术，让分析者不能正常调试和阅读代码，无法获得恶意代码的工作原理，自然也不能抽取特征串。加密的手段有三种，即信息加密、数据加密和程序代码加密。大部分恶意代码对程序本身加密，但还有少数恶意代码对被感染的文件加密。

模糊变换技术

同一种恶意代码，一般会具有多个不同样本，几乎不存在稳定的代码，

1）指令替换技术

2）指令压缩技术

3）指令扩展技术

4）伪指令技术

5）重编译技术

自动生产技术

普通病毒能够利用“多态性发生器”编译成具有多态性的病毒。多态变换引擎能够让重新代码本身产生改变，但却可以保持原有功能。

变形技术

在恶意代码的查杀过程中，多数杀毒厂商通过提取恶意代码特征值的方式对恶意代码进行分辨。这种基于特征码的病毒查杀技术的致命缺点是需要一个特征代码库，同时这个库中的代码要具有固定性。病毒设计者利用这一漏洞，设计出具体同一功能不同特征码的恶意代码。这种变换恶意代码特征码的技术被称为变形技术。常见的恶意代码变形技术包括如下几个方面：

1）重汇编技术

2）压缩技术

3）膨胀技术

4）伪指令技术

5）重编译技术

三线程技术

该技术是为了防止恶意代码被外部操作停止运行。三线程技术的工作原理是一个恶意代码进程同时开三个进程，其中一个为负责远程控制工作的主线程，另外两个为用来监视线程负责检查恶意代码程序是否被删除或被停止自启动的监视线程和守护线程。注入其他可行执行文件内的守护线程，同步于恶意代码进程。只要进程被停止，他就会重新启动该进程，同时向主线程提供必要的数据。

进程注入技术

将恶意代码嵌入开机自启的一些服务中，实现自身隐藏和启动的目的

通信隐藏技术

实现恶意代码的通信隐藏技术一般有四类：端口定制技术、端口复用技术、通信加密技术、隐蔽通道技术。

内核级隐藏技术

1）LKM隐藏。LKM是可加载的内核模块，能够在不用重新编译内核的情况下把动态加载到内存中。

2）内存映射隐藏。指由一个文件到一块内存的映射。

1.4 恶意代码攻击技术

进程注入技术：将恶意代码嵌入开机自启的一些服务中，实现自身隐藏和启动的目的。
超级管理技术：恶意代码能攻击反恶意代码软件。恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，阻碍反恶意代码软件的正常进行。
端口反向连接技术：防火墙对于外网进入内部的数据流有严格的访问控制策略，但对于从内到外的数据可能并没有那么严格的控制。恶意代码通过服务端（被控制端）反向主动连接位于外网的客户端（控制端）端口
缓冲区溢出攻击技术：恶意代码利用系统和网络服务的安全漏洞植入并执行代码，攻击代码以一定的权限运行有缓冲区溢出漏洞的程序来获得被攻击主机的控制权。

1.5 恶意代码分析技术

需要记忆

分为静态分析和动态分析两种方式

1.6 恶意代码防范策略

一方面组织管理上加强恶意代码的安全防范意识、另一方面，通过技术手段来实现恶意代码防御。

二、计算机病毒分析与防护

2.1 计算机病毒概念与特性

计算机病毒借用了生物学上的病毒概念，它是一组具有自我复制、传播能力的程序代码。

计算机病毒有以下四个基本点

1）隐蔽性。（计算机病毒附加在正常软件或文档中，如可执行文档、电子邮件、word文档等，一旦用户未察觉，病毒就会触发执行，潜入到受害用户的计算机中）

2）传染性。（指计算机病毒可以自我复制，并把复制的病毒附加到无病毒的程序中，或替换磁盘引导区记录，使得附加了病毒的程序或者磁盘变成了新的病毒源，又能进行病毒复制，重复原先的传染过程）

3）潜伏性。（会等到触发条件满足时，才执行病毒的恶意功能。计算机病毒常见的触发条件是日期，如CIH计算机病毒发作时间是4月26日）

4）破坏性。（病毒的破坏后果是不可知的，取决于设计者的意图。据统计，病毒发作后，造成的破饿坏主要有数据部分丢失、双系统无法使用、浏览器配置被修改、网络无法使用、使用受限、受到远程控制、数据全部丢失等）

2.2 计算机病毒组成与运行机制

计算机病毒有三部分组成：

复制传染部件（replicator），控制病毒向其他文件的传染

隐藏部件（concealer），防止病毒被检测到

破坏部件（bomb）、当病毒符合激活条件，执行破坏操作。

计算机病毒的生命周期主要有两个阶段：

第一阶段，计算机病毒的复制传播阶段。（这个阶段有可能会持续一个星期到几年。在这个阶段计算机病毒会尽可能地隐蔽其行为，不干扰系统正常功能。
第二阶段，计算机病毒的激活阶段。

2.3 计算机病毒常见类型与技术

引导型病毒，通过感染计算机系统的引导区而控制系统，病毒将真实的引导区内容修改或替换，当病毒程序执行后，才启动操作系统。引导型病毒通常是内存驻留的，典型的引导型病毒如磁盘杀手病毒、AntiExe病毒等。
宏病毒（Macro Viruses），指利用宏语言实现的计算机病毒。宏病毒的出现改变了病毒的载体模式，以前病毒的载体主要是可执行文件，现在文档或数据也可以作为宏病毒的载体。

多态病毒（polymorphic Viruses）。多态病毒每次感染新对象后，通过更换加密算法，改变其存在形式，这使得反病毒软件常常难以检测到它
隐藏病毒（Stealth Viruses），隐蔽病毒试图将自身的存在形式进行隐藏，使得操作系统和反病毒软件不能发现。隐蔽病毒使用的技术有很多，主要包含隐藏文件的日期、时间变化，隐藏文件大小的变化以及对病毒加密

2.4 计算机病毒防范策略

查找计算机病毒源

对计算机文件及磁盘引导进行计算机病毒检测，一发现异常情况，确证计算机病毒的存在，主要方法如下：

a.比较法

b.搜索法

c.特征字识别法

d.分析法

阻断计算机病毒传播路径

由于计算机病毒的危害性是不可预见的，因此切断计算机病毒的传播途径是关键防护措施，具体方法如下：

a.用户具有计算机病毒防范安全意识和安全操作习惯。

b.消除计算机病毒载体。（关键计算机，专机专用；外接存储介质管控；禁用不需要的计算机服务和功能，如脚本语言、光盘自启）

c.安全区域隔离（生产区域网络和办公网络进行安全分区）

主动查杀计算机病毒

a.定期对计算机系进行病毒检测。

b.安装计算机病毒软件

计算机病毒应急响应和灾备

a.备份（对计算机病毒容易侵害的文件、数据和系统进行备份，如对主引导区、引导扇区、FAT表、根目录表等系统重要数据进行备份）

b.数据修复技术（修复被破坏的磁盘、文件信息）

c.网络过滤技术（将遭受计算机病毒攻击的计算机或网段进行安全隔离）

d.计算机病毒应急响应预案

2.5 计算机病毒防护方案

基于单击计算机病毒防护：传统的防御模式，固守网络终端的最后防线
基于网络计算机病毒防护：通过在网管中心建立网络整体防病毒策略配置，在网管所涉及的重要部位设置防病毒软件或设备，在所有病毒能够进入的地方都采取相应的防范措施，防止病毒侵袭。基于网络病毒防御的安装部署模式如下图

基于网络分级病毒防护：对大型网络采取三级管理模式——单击终端杀毒—局域网网集中监控—广域网总部管理（如图所示）

基于邮件网关病毒防护：邮件网关防毒系统放置在邮件网关入口处，接收来自外部的邮件，对病毒、不来邮件进行过滤，处理完毕后再将安全邮件转发至邮件服务器，全面保护内部网路用户的电子邮件安全。
基于网关防护：在网络出口设置有效的病毒过滤系统，防火墙将数据提交给网关杀毒系统进行检查，如有病毒入侵，网关防毒系统将通知防火墙立即阻断进行攻击的ip。网关杀毒是杀毒软件和防火墙技术的完美结合，是多种网络安全产品协同工作的全新方式

三、特洛伊木马分析与防护

3.1 特洛伊木马概念与特性

特洛伊木马（Trojan Horse，简称木马），它是具有伪装能力、隐蔽执行非法功能的恶意程序，而受害用户表面上看到的是合法功能的执行。（木马通常透视伪装成合法程序文件，植入到系统中）
同计算机病毒、网络蠕虫相比，特洛伊木马不具备自我传播能力。
受到木马侵害的计算机，攻击者可以不同程度地远程控制受害计算机，例如利用受害计算机挖矿，或者进行DDos攻击

3.2 特洛伊木马分类与运行机制

根据木马的管理方式，可将特洛伊木马分为以下两类

本地特洛伊木马：这是最早一类的木马，特点是只运行在本地的单台主机，木马没有远程通信功能，木马攻击的环境是多用户的UNIX系统，典型的就是盗用口令的木马
网络特洛伊木马：具备网络通信连接及服务功能的一类木马。此类木马由两部分组成，即远程木马控制管理和木马代理。其中远程木马控制管理主要是监测木马代理的活动，远程配置管理代理，收集木马代理窃取得信息；木马代理则是植入与受攻击的系统中，伺机获取目标系统的信息或控制目标系统的运行。

目前，特洛伊木马一般泛指这两类，但网络木马是主要类型

木马的攻击表现受攻击者的意图影响，但基本运行机制相同，如下图

3.3 特洛伊木马植入技术

特洛伊木马植入时木马攻击目标系统最关键的一步，是后续攻击活动的基础

植入方法目前分为两大类：被动植入和主动植入

被动植入只通过人工干预方式才能将木马程序安装到目标系统，植入过程必须依赖于受害用户的手工操作；而主动植入是将木马程序通过程序自动安装到目标系统，植入过程无需受害用户操作。

被动植入主要通过社工将木马伪装成合法程序，以达到降低受害用户警觉性、诱骗用户的目的，常用方法如下：

文件捆绑法（捆绑到一些常用软件包中，当安装该软件包时，木马就在用户不知情的情况下，被植入系统）
邮件附件（无需多说，敢点就敢G）
Web网页（xss脚本攻击）

3.4 特洛伊木马隐藏技术与存活技术

为了逃避安全检测，木马的设计者就要设法隐藏木马的行为或痕迹，其主要技术目标就是将木马的本地活动行为、木马的远程通信过程进行隐藏

（1）本地活动行为隐藏技术

a.文件隐藏

b.进程隐藏

c.通信连接隐藏

（2）远程通信过程隐藏技术

a.通信内容加密技术

b.通信端口复用技术

c.网络隐蔽通道

特洛伊木马出的存活能力取决于木马逃避安全监测的能力，一些木马侵入目标系统时采用反监测技术，甚至中断反网络木马程序运行。一些高级的木马具有端口反向连接功能（如“boinet”“网络神偷”“灰鸽子”等木马）。端口方向连接技术是指由木马代理在目标系统主动连接外部网络的远程木马控制端以逃避防火墙的限制

3.5 特洛伊木马防范技术

基于查看开放端口检测特洛伊木马技术：根据特洛伊木马在受害计算机上留下的网络通信端口痕迹进行判断，如果某个木马端口在某台机器上开放，则判断该机器搜到木马侵害（例如冰河木马使用的监听端口是7626、Back Orifice 2000则是54320等）
基于重要系统文件检测特洛伊木马技术：根据木马在受害计算机系统上对重要系统文件进行修改留下的痕迹进行判断，通过对比正常的系统文件判来断木马的存在。这些重要文件一般与系统的自启动相关，木马通过修改这些文件使得木马能够自动启动。
基于系统注册表检测特洛伊木马技术：Windows类型的木马通常通过修改注册表的键值来控制木马的自启动，防范可以通过检查计算机的注册表键值异常来判断是否受到木马侵害。在注册表中一般看以下目录下的值是否异常

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

检测具有隐藏能力的特洛伊木马技术：RootKit就是典型的具有隐藏能力的特洛伊木马。对其有三种检测技术。

第一种，根据已知的Rootkit进行检测。根据运行痕迹特征来判断（既然是已知，那么对未知的Rootkit就无能为力了
第二种，基于执行路径分析检测。
第三种，直接读取内核数据的分析检测方法。

基于网络监测特洛伊木马技术：通过捕获主机的网络通信，检查通信的书包是否具有特洛伊木马的特征，或分析通信是否异常来判断。
基于网络阻断特洛伊木马技术：利用防火墙、路由器、安全网关等设备，对特洛伊木马进行通信阻断，从而使得特洛伊木马的功能失效或限制其传播。
清除特洛伊木马技术：分为手工清除和软件清除两种方法。工作原理就是删除特洛伊木马在受害机器上留下的文件，禁止特洛伊木马的网络通信，恢复木马修改过的系统文件或注册表。

四、网络蠕虫分析与防护

4.1 网络蠕虫概念与特性

网络蠕虫是一种具有自我复制能力和传播能力、可独自运行的恶意程序。它综合了和黑客技术和计算机病毒技术，通过利用系统中存在漏洞的节点主机，将蠕虫自身从一个节点传播到另外一个节点。

网络蠕虫有四个功能模块构成：

选择题有考过是哪四个模块

（1）探测模块(probe)。对特定主机的脆弱性检测，决定采取何种攻击渗透方式。该模块利用获得的安全漏洞建立传播途径，该模块在攻击方法上是开放的、可扩充的

（2）传播模块(transport)。采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递。

（3）蠕虫引擎模块(worm engine)。该模块决定采用何种搜索算法对本地或者目标网络进行信息收集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。

（4）负载模块(payload)。网络蠕虫内部的实现伪代码，如图

网络蠕虫的运行机制主要分为三个阶段，如图

4.2 网络蠕虫常用技术

网络蠕虫扫描技术

（1）随机扫描：网络蠕虫对整个IP空间随机抽取一个地址进行扫描。这样被感染的网络蠕虫的下一个目标具有不确定性。（“Slammer”蠕虫的传播方式就是随机扫描感染主机）

（2）顺序扫描：根据感染主机的地址信息，按照本地优先原则，选择他所在网络内的IP地址进行传播。（也称“子网扫描”。扫描的规则就是，当目标IP为A，扫描的下一个IP为A+1或A-1）。该策略使得网络蠕虫避免扫描到未用的地址空间，不足是对同一台主机可能重复扫描，引起网络拥塞。（“W32.Blaster”是典型的顺序扫描）

（3）选择性扫描：在事先获知一定的信息的条件下，有选择第搜索下一个感染目标主机。有以下5种方式

a.选择性随机扫描。将最有可能存在漏洞的主机的地址集作为扫描的地址空间，从中随机扫描

b.基于目标列表的扫描。预先生成一份易感染的目标列表，然后对该目标列表进行攻击尝试和传播

c.基于路由的扫描。根据网络中的路由信息，如BGP路由表信息，有选择地扫描IP地址空间。

e.基于DNS的扫描。从DNS服务器获取IP地址来建立目标地址库。

f.分而治之的扫描。网络蠕虫发送地址库的一部分给每台被感染的主机，然后每台主机再去扫描所获得的地址。

下面是几种网络蠕虫所采用的传播策略

网络蠕虫漏洞利用技术

网络蠕虫发现易感染目标主机后，利用易感染目标主机所存在的漏洞，将蠕虫程序传递给易感染目标主机。

（1）主机之间的信任关系漏洞。（1988年“小莫里斯”蠕虫就是利用UNIX系统的信任关系脆弱性进行传播）

（2）目标主机的程序漏洞。（网络蠕虫利用它构造缓冲区溢出程序，进而远程控制易感染目标主机，然后传播蠕虫）

（3）目标主机的默认用户和口令漏洞。（网络蠕虫直接使用用户口令进入目标系统，直接上传蠕虫）

（4）目标主机的用户安全意识薄弱漏洞。（常见例子就是电子邮件蠕虫，一邮入魂）

（5）目标主机的客户端程序配置漏洞，如自动执行网上下载的程序。（网络蠕虫利用这个漏洞，直接执行蠕虫程序）

4.3 网络蠕虫防范技术

网络蠕虫监测与预警技术。在网络中安装探测器，探测器通过从网络中收集与蠕虫先关的信息，然后将这些信息汇总分析，以发现早期的网络蠕虫行为。
网络蠕虫传播抑制技术。通过利用网络蠕虫传播的特点，构造一个限制网络蠕虫传播的环境。目前主要利用蜜罐技术，在网络系统设置虚拟机器或虚假的漏洞，这些虚假的机器和漏洞能够欺骗网络蠕虫，导致网络蠕虫的传播能力下降。
网络系统漏洞监测与系统加固技术。通过漏洞检测，消除漏洞利用条件，间接破坏网络蠕虫传播及发作的条件和环境。系统加固是指通过一定的技术手段，提高目前系统的安全性（主要采用修改安全配置、调整安全策略、安装补丁软件的等方式）
网络蠕虫免疫技术。网络蠕虫通常在受害主机上设置一个标记，以避免重复感染。本技术的原理就是在易感染的主机上事先设置一个蠕虫感染标记，欺骗真实的网络蠕虫，从而保护易感染主机免受蠕虫攻击。
网络蠕虫阻断与隔离技术**。**一般利用防火墙、路由器进行控制。例如合理地配置网络或防火墙、禁止除正产服务端口外的其他端口，过滤含有某个蠕虫特征的包，屏蔽已被感染的主机对网络保护的访问等。
网络蠕虫清除技术。基本方式是根据特定网络蠕虫感染系统后所留下的痕迹，如文件、进程、注册表等信息，分析网络蠕虫的运行机制，然后有针对性地删除有关网络蠕虫的文件或进程。通常都是使用专门的工具进行清除。

五、僵尸网络分析与防护

5.1 僵尸网络概念与特性

僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

僵尸网络主要由控制端、肉鸡、木马程序共同组成。

5.2 僵尸网络运行机制与技术

运行机制由三个基本环节构成

（1）第一步，僵尸程序的传播

（2）第二步，对僵尸程序进行远程命令操作和控制，将受害目标机组成一个网络。（僵尸网络可分为集中式和分布式，僵尸程序和控制端的通信协议方式有IRC、HTTP）

（3）第三步，攻击者通过僵尸网络的控制服务器，给僵尸程序发送攻击指令，执行攻击活动，如发送垃圾电子邮件、DDoS攻击等。

僵尸网络为保护自身安全，其控制服务器和僵尸程序的通信使用加密机制，并把通信内容嵌入正常的HTTP流量中，以保护服务器的隐蔽性和匿名性。控制服务器和僵尸程序也采用认证机制，以防范开关弄直消息伪造和篡改。

5.3 僵尸网络防范技术

僵尸网络威胁监测：通常利用蜜罐技术获取僵尸网络威胁信息，部署多个蜜罐捕获传播中的僵尸程序，记录该Bot的网络行为，然后人工分析网络日志并结合样本分析结果，可以掌握该Bot的属性，包括它连接的服务器（DNS/IP）、端口、频道、密码、控制口令等信息，从而获得僵尸网络的基本信息甚至控制权。
僵尸网络检测：根据僵尸网络的通信内容和行为特征，检测网络中的异常网络流量，已发现僵尸网络
僵尸网络主动遏制：通过路由和DNS黑名单等方式屏蔽恶意的IP地址或域名
僵尸程序查杀：在受害的目标主机上，安装专用安全工具，清除僵尸程序

六、其他恶意代码分析与防护

逻辑炸弹。是一段依附在其他软件中，并具有触发执行破坏能力的程序代码。逻辑炸弹的触发条件具有多种方式，包括计数器、时间、文件、特定用户等触发方式。逻辑炸弹只在触发条件满足后，才开始执行其破坏功能，如下图，逻辑炸弹出发后，有可能造成文件删除、服务停止、软件中断运行等破坏。逻辑炸弹不能复制

陷门。是软件系统里的一段代码，允许用户避开系统安全机制而访问系统。陷门由专门的命令激活，一般不容易发现。陷门通常是软件开发商为调试程序、维护系统而设定的功能。陷门不具备有自动传播和自我复制功能。
细菌。细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但是他通过复制本身来消耗系统资源，包括CPU、内存、磁盘空间。
间谍软件。一般会在用户浏览器网络或安装软件时悄悄潜入电脑，但他不会像电脑病毒或木马那样来恶意破坏操作系统，间谍程序的主要职责就是监视用户的操作行为、收集诸如上网习惯、用户兴趣爱好之类的个人信息，并会把这些信息在发送给一些广告商，以获取利润。同时这些软件还可以产生弹出广告，重定向用户浏览器到陌生网站等行为。不具备自我复制的功能

七、恶意代码主要产品与技术指标

7.1恶意代码防护主要产品

终端防护产品
安全网关产品
恶意代码监测产品
恶意代码防护产品：补丁管理系统
恶意代码应急响应。

7.2 恶意代码防护主要技术指标

恶意代码检测能力

（1）静态检测。通过搜索目标对象中是否蕴含恶意代码的标识特征来识别，或者通过文件指纹来辨别。

（2）动态检测，利用恶意代码运行的行为特征或活动轨迹来判断，具体技术包括安全沙箱、动态调试、系统监测、网络协议分析

恶意代码检测准确性（理论上，恶意代码检测系统误报警、漏报警的情况难以根除）
恶意代码阻断能力

（1）阻断技术措施，主要包括基于网络阻断、基于主机阻断、人工协同干预阻断

（2）阻断恶意代码的类型和数量

（3）阻断时效性，即恶意代码阻断安全措施对恶意代码处置的时效性

八、恶意代码防护技术应用

终端防护。通常是在一个终端机上安装一个恶意代码防护代理程序，该代理程序按照终端管理中心下发的安全策略进行安全控制。

高级持续威胁（简称APT）通常利用电子邮件，攻击目标系统。攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档或单击某个指向恶意站点的链接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在的网络，实现攻击意图。

APT防护。针对高级持续威胁攻击的特点，部署APT检测系统，检测电子文档和电子邮件是否存在恶意代码，以防止攻击者通过电子邮件和电子文档渗透入侵网络，如下图所示