深圳信科为何需要龙华区的地方宣传网站？

龙华网站建设深圳信科,地方宣传网站建设的必要性,摄影设计说明500字,wordpress开店无文件攻击是一种高级持续性威胁#xff08;APT#xff09;的攻击方式#xff0c;它不会在目标系统的磁盘上留下可执行文件#xff0c;而是利用系统内置的工具或脚本执行恶意代码#xff0c;从而绕过传统的安全防护措施。无文件攻击的最大特点就是恶意代码直接在内存中运行…无文件攻击是一种高级持续性威胁APT的攻击方式它不会在目标系统的磁盘上留下可执行文件而是利用系统内置的工具或脚本执行恶意代码从而绕过传统的安全防护措施。无文件攻击的最大特点就是恶意代码直接在内存中运行难以被发现和清除。 根据受感染计算机上的指纹数量来收集三种主要类型的无文件威胁。 类型 I未执行文件活动 完全无文件恶意软件可以视为永远不需要在磁盘上写入文件的恶意软件。 此类恶意软件首先会如何感染计算机 例如目标计算机接收恶意网络数据包这些数据包会利用 EternalBlue 漏洞。 此漏洞允许安装 DoublePulsar 后门该后门最终仅驻留在内核内存中。 在这种情况下没有文件或文件上写入的任何数据。 受攻击的设备可能还具有隐藏在设备固件 (如 BIOS) 、USB 外围 (如 BadUSB 攻击) 或网络卡固件中的恶意代码。 所有这些示例不需要磁盘上的文件才能运行理论上只能在内存中生存。 恶意代码会在重新启动、磁盘重新安装和 OS 重新安装后生存下来。 这种类型的感染可能特别难以检测因为大多数防病毒产品都无法检查固件。 如果产品确实能够检查和检测恶意固件则此级别的威胁修正仍存在重大挑战。 这种类型的无文件恶意软件需要高度复杂并且通常取决于特定的硬件或软件配置。 这不是一个可以轻松可靠地利用的攻击向量。 虽然存在危险但此类威胁并不常见对大多数攻击并不实际。 类型 II间接文件活动 恶意软件可以通过其他方式在计算机上实现无文件状态而无需大量的工程工作。 此类的无文件恶意软件不会直接在文件系统上写入文件但最终可能会间接使用文件。 例如 使用 Poshspy 后门 攻击者在 WMI 存储库中安装了恶意 PowerShell 命令并将 WMI 筛选器配置为定期运行该命令。 可以通过命令行执行此类安装而无需在文件上已有后门。 可以安装恶意软件并在理论上运行而无需接触文件系统。 但是WMI 存储库存储在 CIM 对象管理器管理的中央存储区域中的物理文件上通常包含合法数据。 尽管感染链在技术上确实使用物理文件但它被视为无文件攻击因为 WMI 存储库是一个多用途数据容器无法检测和删除。 类型 III操作所需的文件 某些恶意软件可以有一种无文件持久性但不能不使用文件进行操作。 此方案的一个示例是 Kovter它在注册表中为随机文件扩展名创建 shell 打开谓词处理程序。 打开具有此类扩展名的文件将导致通过合法工具mshta.exe执行脚本。 调用打开的谓词时将启动注册表中的关联命令从而导致执行小型脚本。 此脚本从其他注册表项中读取数据并执行它进而导致加载最终有效负载。 但是若要首先触发打开的谓词Kovter 必须删除具有上述示例中谓词 (所针对的具有相同扩展名的文件扩展名为 .bbf5590fd) 。 它还必须设置配置为在计算机启动时打开此类文件的自动运行密钥。 Kovter 被视为无文件威胁因为文件系统没有实际用途。 具有随机扩展名的文件包含在验证威胁是否存在时不可用的垃圾数据。 存储注册表的文件是无法检测到的容器如果存在恶意内容则无法将其删除。 按感染主机对无文件威胁进行分类 在介绍了广泛的类别后我们现在可以深入了解详细信息并提供感染宿主的细目。 此综合分类涵盖通常称为无文件恶意软件的全景。 它推动我们努力研究和开发新的保护功能以消除攻击的类并确保恶意软件不会在军备竞赛中占上风。 利用 基于文件 的 (类型 III可执行文件、Flash、Java、文档) 初始文件可以利用操作系统、浏览器、Java 引擎、Flash 引擎等执行 shellcode 并在内存中传递有效负载。 虽然有效负载是无文件的但初始条目向量是一个文件。基于网络的 (类型 I) 利用目标计算机中的漏洞的网络通信可以在应用程序或内核上下文中实现代码执行。 例如 WannaCry它利用 SMB 协议中以前修复的漏洞在内核内存中传递后门。 硬件 基于设备的 (类型 I网卡、硬盘) 硬盘和网卡等设备需要芯片集和专用软件才能正常运行。 在设备的芯片集中驻留在和运行的软件称为固件。 虽然任务很复杂但固件可能受到恶意软件的感染就像 公式间谍组织被抓到一样。 基于 CPU 的 (类型 I) 新式 CPU 很复杂可能包括用于管理目的运行固件的子系统。