近年來(lái),境內(nèi)外敵對(duì)勢(shì)力和情報(bào)機(jī)構(gòu)在采取收買、策反、滲透等傳統(tǒng)手法的同時(shí),更加注重借助高科技手段進(jìn)行竊密,竊取文件、帳號(hào)、信息的手段也在不斷變化與進(jìn)步。特種木馬、間諜軟件等惡意程序由于其專用性、未知性,在現(xiàn)有的防病毒體系下極難發(fā)現(xiàn)與處理,通過(guò)離線擺渡等方式大肆竊取涉密信息和敏感信息。快速判斷計(jì)算機(jī)系統(tǒng)健康狀況,及時(shí)發(fā)現(xiàn)隱匿其中的惡意程序,成為保密檢查的一項(xiàng)重點(diǎn)工作內(nèi)容。
中孚惡意程序輔助監(jiān)測(cè)系統(tǒng)是一套包括網(wǎng)絡(luò)監(jiān)測(cè)和單機(jī)體檢的綜合檢查分析系統(tǒng),為職能檢查機(jī)構(gòu)及主管部門提供專業(yè)、高效、便攜的木馬檢測(cè)評(píng)估手段,能夠快速探測(cè)、發(fā)現(xiàn)計(jì)算機(jī)中的惡意程序。系統(tǒng)通過(guò)記錄網(wǎng)絡(luò)底層報(bào)文、監(jiān)測(cè)網(wǎng)絡(luò)信息流,發(fā)現(xiàn)可疑目標(biāo)主機(jī)后,通過(guò)單機(jī)體檢系統(tǒng)進(jìn)行單機(jī)檢查取證。借助DNS數(shù)據(jù)包分析、域名實(shí)時(shí)監(jiān)控、可疑文件掃描、木馬特征碼檢測(cè)等行為分析功能,大大提高了計(jì)算機(jī)特種“木馬”檢測(cè)分析的有效性,形成實(shí)際檢查能力。
系統(tǒng)功能
中孚惡意程序輔助檢測(cè)系統(tǒng)支持多種協(xié)議,如TCP、IP、UDP、HTTP、POP3、SMTP、FTP、DNS等數(shù)據(jù)包的分析與判斷功能。系統(tǒng)利用多種技術(shù)對(duì)可疑程序進(jìn)行智能行為分析,且將目前常見(jiàn)的木馬特征碼,加入到了系統(tǒng)內(nèi)核中,能夠及早的發(fā)現(xiàn)木馬以及其行為。具體功能如下圖所示:
系統(tǒng)特點(diǎn)
● 行為分析技術(shù)
系統(tǒng)利用多種技術(shù)對(duì)可疑程序各種行為進(jìn)行智能分析,且將目前常見(jiàn)的木馬特征碼,嵌入到系統(tǒng)內(nèi)核中,及早的發(fā)現(xiàn)木馬,減少對(duì)系統(tǒng)和數(shù)據(jù)信息的危害,有效的保障了信息安全。
● 支持多種數(shù)據(jù)協(xié)議
產(chǎn)品功能強(qiáng)大,系統(tǒng)支持多種數(shù)據(jù)協(xié)議(例如:HTTP、TCP、IP、UDP、FTP等等),功能覆蓋廣,保障了檢測(cè)的全面性。
● 全面分析木馬活動(dòng)
網(wǎng)絡(luò)監(jiān)測(cè)與單機(jī)體檢相結(jié)合,全面分析木馬活動(dòng),提高了檢查的有效性。
● 對(duì)可疑行為進(jìn)行多線程掃描
“可疑文件掃描”功能對(duì)系統(tǒng)因木馬活動(dòng)留下的可疑壓縮包文件進(jìn)行多線程快速掃描,并提供預(yù)覽以方便檢查人員取證。
● 簡(jiǎn)單易用
系統(tǒng)界面美觀,操作簡(jiǎn)單。