术语表
术语表
- 活跃漏洞利用(CVE编号)
-
活跃漏洞利用指已被证实在真实攻击中利用的安全缺陷(以CVE编号追踪)。这类漏洞通常需要立即修补或缓解,因其代表已验证的威胁而非潜在风险。美国网络安全与基础设施安全局(CISA)维护的已知被利用漏洞(KEV)目录是权威信息来源,广泛用于指导补丁优先级决策。
- ActiveX
-
ActiveX是一种编程模型,使得其他程序及操作系统可调用其功能。该技术常与微软IE浏览器配合使用,创建外观和行为类似计算机程序的交互式网页(而非静态页面)。通过ActiveX,用户可实现问答交互、按钮操作等网页互动功能,其控件通常使用Visual Basic编写。
ActiveX因完全缺乏安全控制机制而备受诟病,网络安全专家不建议在互联网环境中使用。
- 广告软件
-
广告软件通常与一个免费提供的主机应用程序捆绑在一起,只要用户同意接受广告软件即可使用。由于广告软件应用程序通常在用户同意声明应用程序用途的许可协议后安装,因此不构成违法行为。
然而,弹窗广告可能会变得烦人,在某些情况下还会降低系统性能。此外,这些应用程序收集的信息可能会引起用户对隐私的担忧,尤其是那些未完全了解许可协议条款的用户。
- 反绕行
-
试图绕过安全检查以创建新进程。
- 反恶意软件扫描风暴
-
当杀毒软件同时扫描单个物理主机上的多个虚拟机时,系统资源被大量占用的情况。
- 反Meterpreter
-
通过扫描可执行内存页来尝试创建反向shell。
- 归档炸弹
-
归档炸弹是一个经过多次压缩的文件。解压时,由于资源的大量消耗,可能导致杀毒程序或系统崩溃。
- 后门
-
系统安全中故意留下的漏洞,由设计者或维护者设置。这种漏洞的动机并不总是恶意的;例如,某些操作系统出厂时带有特权账户,供现场服务技术人员或供应商的维护程序员使用。
- 引导工具包
-
引导工具包是一种能够感染主引导记录(MBR)、卷引导记录(VBR)或引导扇区的恶意程序。即使在系统重启后,引导工具包仍保持活动状态。
- 引导扇区
-
每个磁盘开头的扇区,用于标识磁盘的架构(扇区大小、簇大小等)。对于启动盘,引导扇区还包含一个加载操作系统的程序。
- 引导病毒
-
一种感染固定磁盘或软盘引导扇区的病毒。尝试从感染了引导扇区病毒的磁盘启动会导致病毒在内存中激活。从那时起,每次启动系统时,病毒都会在内存中保持活动状态。
- 浏览器
-
网络浏览器的简称,一种用于定位和显示网页的软件应用程序。
- 子进程创建
-
尝试创建任何子进程。
- 命令行
-
在命令行界面中,用户使用命令语言直接在屏幕上提供的空间中键入命令。
-
在互联网行业中,Cookie被描述为包含有关个人计算机信息的小文件,广告商可以分析并使用这些信息来跟踪您的在线兴趣和喜好。在这一领域,Cookie技术仍在发展中,其目的是直接将广告定位到您所表达的感兴趣的内容。对许多人来说,这是一把双刃剑,因为一方面,它高效且相关,因为您只会看到与您兴趣相关的广告。另一方面,它实际上涉及“跟踪”和“跟随”您访问的网站和点击的内容。可以理解的是,关于隐私的争论很多,许多人对于被视作“SKU编号”(即包装背面在杂货店结账线上被扫描的条形码)感到不满。虽然这种观点可能有些极端,但在某些情况下是准确的。
- 凭证访问
-
攻击者窃取用户名和密码等凭证以获取系统访问权限。例如,暴力破解攻击、未经授权的身份验证利用、密码窃取程序。
- 犯罪软件
-
这一类别包括旨在自动化网络犯罪的技术。例如,犯罪软件技术包括:核漏洞利用、各种恶意软件如木马和僵尸程序。
- 客户
-
购买并使用 Bitdefender 产品或服务以保护其自身基础设施、系统或用户的公司。当首字母大写时(Customer),该术语特指产品文档中定义的这类公司。参见 合作伙伴 .
- 拨号器
-
拨号器指利用计算机调制解调器建立拨号上网连接的程序。该程序通过拨打预设的国际或高费率本地电话号码建立连接,可绕过本地网络服务提供商进行未授权连接,其目的是增加受害者电话账单金额并最终造成经济损失。
- 侦查
-
攻击者渗透成功后,会在决定后续行动前尝试获取系统及内部网络信息。例如目录遍历漏洞利用、HTTP目录遍历漏洞利用。
- 磁盘驱动器
-
一种从磁盘读取数据并向磁盘写入数据的机器。
硬盘驱动器用于读写硬盘。
软盘驱动器用于访问软盘。
磁盘驱动器可分为内置式(安装在计算机内部)或外置式(置于连接计算机的独立外接盒中)。
- DKIM
-
域名密钥识别邮件——通过添加数字签名保护外发邮件内容。配置DKIM可提升域名在不同服务商中的信誉度。
- 下载
-
将数据(通常为整个文件)从主源复制到外围设备。该术语常用来描述从在线服务将文件复制到个人计算机的过程,也可指从网络文件服务器向联网计算机复制文件。
- 下载器
-
对主要功能为下载内容以实现不良或恶意目的程序的统称。
- 动态恶意软件
-
动态恶意软件包含多种在预执行阶段运作的威胁类型,其恶意代码可呈现多种形式(脚本、文件、URL等)并采用高强度混淆和规避技术。
- 出口流量
-
数据出口流量指离开网络传输至外部位置的数据,常见渠道包括电子邮件、网页上传、云存储、可移动介质(U盘、光盘/数字视盘或外置硬盘)、FTP/HTTP传输。
- 电子邮件
-
通过本地或全球网络在计算机间发送消息的服务。
- 终端
-
终端指能与其它设备、用户或网络交互并交换信息的物理或虚拟设备,例如台式机、笔记本电脑、服务器、虚拟机等。
- 事件
-
由程序检测到的动作或事件。事件可以是用户操作(如点击鼠标按钮或按下按键),也可以是系统事件(如内存耗尽)。
- 漏洞利用
-
漏洞利用通常指任何用于未经授权访问计算机或利用系统安全漏洞使系统遭受攻击的方法。
- 误报
-
当扫描器将未感染的文件误判为受感染时发生的情况。
- 文件扩展名
-
文件名中最后一个点之后的部分,用于指示文件中存储的数据类型。
许多操作系统使用文件扩展名,例如Unix、VMS和MS-DOS。扩展名通常为1到3个字母(某些老旧操作系统仅支持最多3个字母)。例如"c"表示C语言源代码,"ps"表示PostScript文件,"txt"表示任意文本文件。
- 灰帽软件
-
介于合法软件和恶意软件之间的一类应用程序。虽然它们不像影响系统完整性的恶意软件那样有害,但其行为仍会造成干扰,导致数据窃取、未经授权的使用及垃圾广告等不良后果。最常见的灰帽软件包括 间谍软件 和 广告软件 .
- 启发式检测
-
一种基于规则的识别新病毒的方法。这种扫描方式不依赖特定病毒特征码。其优势在于不会被现有病毒的新变种欺骗,但偶尔可能误判正常程序中的可疑代码,产生所谓的"误报"。
- 初始访问
-
攻击者通过各种手段(包括利用面向公众的Web服务器漏洞)进入网络内部。例如信息泄露漏洞利用、SQL注入漏洞利用和路过式下载注入向量。
- IP协议
-
互联网协议——TCP/IP协议套件中负责IP寻址、路由选择以及IP数据包分片与重组的可路由协议。
- IPFIX协议
-
互联网协议流信息导出——IETF制定的协议,允许网络工程师和管理员从路由器、探针及其他交换机收集流信息,并通过网络分析器分析流数据。该标准定义了IP流信息的格式化方式及从导出器传输至收集器的方法。
- Java小程序
-
专为网页运行设计的Java程序。在网页中使用小程序需指定其名称及可用尺寸(以像素为单位的长度和宽度)。当访问网页时,浏览器会从服务器下载该程序并在用户机器(客户端)上运行。与应用程序不同,小程序受严格安全协议约束——
例如即使运行在客户端,也无法读写客户端机器上的数据。此外,小程序仅限读写与其同源域的数据。
- 键盘记录器
-
用于记录所有键盘输入行为的应用程序。
键盘记录器本身并非恶意工具,可合法用于监控员工或儿童活动。但网络犯罪分子正越来越多地将其用于恶意目的(如收集登录凭证和社会安全号码等隐私数据)。
- 横向移动
-
攻击者通过遍历多个系统来探索网络以寻找主要目标,可能使用特定工具实现目标。例如命令注入漏洞利用、Shellshock漏洞利用和双扩展名漏洞利用。
- LSASS进程保护
-
LSASS进程容易泄露密码哈希值和安全设置等敏感信息。
- 宏病毒
-
一种编码为文档内嵌宏的计算机病毒。许多应用程序(如Microsoft Word和Excel)支持强大的宏语言。
这些应用程序允许在文档中嵌入宏,并使得每次打开文档时宏都会自动执行。
- 邮件客户端
-
电子邮件客户端是用于收发电子邮件的应用程序。
- 恶意进程
-
能够访问未授权资源的破坏性程序。
- 恶意软件
-
恶意软件(Malware)是专为实施危害而设计的软件统称,系'malicious software'的缩写。虽然尚未完全普及,但作为病毒、木马、蠕虫和恶意移动代码的通用术语正日益流行。
- 恶意软件特征码
-
恶意软件特征码是从实际样本中提取的代码片段,反病毒程序通过模式匹配来检测恶意软件。
特征码还可用于从受感染文件中清除恶意代码。
该 Bitdefender 恶意软件特征码数据库是由 Bitdefender 恶意软件研究人员每小时更新的特征码集合。
- 内存
-
计算机内部的存储区域。内存指以芯片形式存在的数据存储,而存储一词用于磁带或磁盘形式的记忆体。每台计算机都配备特定容量的物理内存,通常称为主存或RAM。
- 非启发式
-
这种扫描方法依赖特定病毒特征码,其优势在于不会因疑似病毒行为误判,也不会产生误报。
- 过时进程创建
-
尝试使用过时技术创建新进程。
- 压缩程序
-
采用压缩格式的文件。许多操作系统和应用程序提供压缩命令以减少内存占用。例如,假设某文本文件包含十个连续空格字符,通常需要占用十字节存储空间。
但文件压缩程序会用特殊空格序列字符加空格数量进行替换,此时十个空格仅需两字节。这只是众多压缩技术之一。
- 合作伙伴
-
经授权可转售、分销或管理 Bitdefender 为其他组织提供产品和服务的公司,这些组织可以是GravityZone架构中的合作伙伴与客户公司。 GravityZone 架构。合作伙伴包括经销商、分销商或托管服务提供商(MSP)。首字母大写的“Partner”特指产品中定义的此类公司类型。参见 客户 .
- 密码窃取程序
-
密码窃取程序会收集账户名及相关密码等数据片段,随后将这些窃取的凭证用于账户接管等恶意目的。
- 路径
-
计算机中文件的精确指向,通常通过自上而下的分层文件系统来描述。
任意两点之间的路由,例如两台计算机之间的通信信道。
- 钓鱼攻击
-
一种骗取敏感信息的欺诈行为。通常伪造可信网站诱导用户更新密码、信用卡、社保号及银行账号等个人信息。
- 策略规则违规
-
以下威胁类型根据管理员定义的规则构成策略违规:
-
受限网页类别 :访问的网址属于受限网页类别。
-
受限网络流量 :报告的网页流量发生在受限时间段内。
-
受限网址 :根据现行策略,访问的网址受到限制。
-
受限数据访问 :报告了匹配数据保护规则的数据流量。
-
受限应用程序 :根据现行策略,访问的应用程序受到限制。
-
受限邮件附件 :邮件包含多个携带不同类型恶意软件的恶意附件。
-
受限内容 :邮件包含策略规定的受限字符串。
-
受限附件类型 :根据应用策略,该邮件包含受限附件。
-
已连接设备 :有设备连接至终端。
-
端口扫描尝试 :检测到端口扫描行为。
-
进程发起的网络流量 :根据应用策略,出站网络流量及其发起进程受到限制。
-
入站网络流量 :根据应用策略,入站网络流量受到限制。
-
- 多态病毒
-
一种每次感染文件都会改变形态的病毒。由于缺乏固定二进制特征,此类病毒难以识别。
- 端口
-
计算机上可连接设备的接口。个人计算机具有多种端口类型:内部端口用于连接磁盘驱动器、显示屏和键盘;外部端口用于连接调制解调器、打印机、鼠标等外设。
在TCP/IP和UDP网络中,指逻辑连接的终端点。端口号用于标识端口类型,例如80端口用于HTTP流量。
- 潜在有害应用程序
-
指可能具有大量不良特性或行为的程序,这些行为可能影响系统资源与性能,并危及个人及工作数据安全。
- 潜在不需要应用程序(PUA) ( PUA )
-
潜在不需要应用程序(PUA)指用户可能不希望存在于PC中的程序,常与免费软件捆绑安装。此类程序可能在用户不知情时安装(又称广告软件),或默认包含在快速安装包中(广告支持型)。其潜在影响包括弹窗广告、在默认浏览器安装不需要的工具栏、或后台运行多个进程导致电脑性能下降。
- 权限提升
-
进程试图获取未授权权限及资源访问权的行为。
- 进程自检
-
防止受损父进程生成子进程的尝试。
- 防护层
-
GravityZone 通过系列模块和角色(统称为防护层)提供保护,分为终端防护(EPP)核心模块及多种附加组件。终端防护包含 反恶意软件 , 高级威胁防护 , 高级反漏洞利用 , 防火墙 , 内容控制 , 设备控制 , 网络攻击防护 , 高级用户模式 及 中继保护 。附加组件包含以下防护层: Exchange安全防护 和 沙盒分析器 .
- 勒索软件
-
一种会锁定计算机或阻止访问文件及应用程序的恶意软件。勒索软件会要求支付特定费用(赎金)以换取解密密钥,从而恢复对计算机或文件的访问权限。
- 报告文件
-
记录已发生操作的文件。 Bitdefender 会维护一个报告文件,其中列出扫描路径、文件夹、已扫描的压缩包与文件数量,以及检测到的受感染和可疑文件数量。
- Rootkit
-
Rootkit是一组能提供系统管理员级访问权限的软件工具。该术语最初用于UNIX操作系统,指经过重新编译的工具,这些工具赋予入侵者管理权限,使其能隐藏行踪以规避系统管理员察觉。
Rootkit的主要功能是隐藏进程、文件、登录记录及日志。若配备相应软件,它们还能截取终端、网络连接或外设的数据。
Rootkit本身并非恶意工具。例如操作系统甚至某些应用程序会使用Rootkit隐藏关键文件。但其常被用于隐藏恶意软件或掩盖入侵者存在。当与恶意软件结合时,Rootkit会对系统完整性和安全性构成重大威胁,可监控流量、创建系统后门、篡改文件日志并规避检测。
- ROP模拟
-
攻击者试图使数据内存页可执行,然后尝试利用面向返回编程(ROP)技术执行这些内存页。
- ROP非法调用
-
通过验证敏感系统函数的调用者,尝试利用ROP技术劫持代码执行流。
- ROP使栈可执行
-
通过验证栈页保护机制,尝试利用ROP技术破坏栈结构。
- ROP返回栈
-
通过验证返回地址范围,尝试利用ROP技术直接在栈上执行代码。
- ROP栈未对齐
-
通过验证栈地址对齐方式,尝试利用ROP技术破坏栈结构。
- ROP栈转移
-
通过验证栈位置,尝试利用ROP技术劫持代码执行流。
- 脚本
-
脚本是宏或批处理文件的别称,指无需用户交互即可执行的命令列表。
- Shellcode EAF(导出地址过滤)
-
恶意代码尝试从DLL导出表中访问敏感系统函数。
- Shellcode执行
-
尝试使用shellcode创建新进程或下载文件。
- Shellcode加载库
-
尝试使用shellcode通过网络路径执行代码。
- Shellcode线程
-
通过验证新创建线程,尝试注入恶意代码。
- 垃圾邮件
-
电子垃圾邮件或新闻组垃圾帖子,泛指任何未经请求的电子邮件。
- 间谍软件
-
任何在用户不知情情况下通过其网络连接秘密收集用户信息的软件(通常用于广告目的)。间谍软件通常作为免费软件或共享软件的隐藏组件捆绑下载,但需注意大多数共享软件并不包含间谍软件。安装后,间谍软件会监控用户网络活动并将信息暗中传输给第三方,甚至可能窃取邮箱地址、密码及信用卡号等敏感信息。
间谍软件与木马的相似之处在于用户会在安装其他软件时无意中安装它。常见的感染途径是下载某些点对点文件共享软件。
除了伦理和隐私问题,间谍软件还会占用内存资源与网络带宽(当其通过用户网络连接回传数据时),导致后台运行程序引发系统崩溃或整体不稳定。
- 启动项
-
此文件夹中的文件将在计算机启动时自动打开。例如启动画面、开机音效、提醒日历或应用程序都可设为启动项。通常该文件夹存放的是文件快捷方式而非原文件。
- STIX与TAXII
-
STIX(结构化威胁信息表达)和TAXII(可信自动化指标信息交换)是旨在提升网络攻击预防与缓解能力的标准规范。它们并非软件实体,而是供软件调用的技术规范。STIX与TAXII的组合使用户能更便捷地与所属群体及合作伙伴共享威胁情报。
- 可疑文件与网络流量
-
可疑文件指信誉存疑的文件,其评级依据多重因素判定,包括数字签名有效性、网络出现频次、所用加壳工具等。当网络流量偏离常规模式时即被视为可疑,例如:非常规信源、异常端口连接请求、带宽占用激增、随机连接时间等。
- 系统托盘
-
自Windows 95引入的系统托盘位于任务栏(通常紧邻时钟右侧),通过微型图标提供传真/打印机/调制解调器/音量等系统功能的快捷访问。双击或右键点击图标可查看详细控制选项。
- 定向攻击
-
这类网络攻击主要谋求经济利益或诋毁声誉,其攻击目标(个人/企业/软件/系统)往往经过长期研究。攻击采用分阶段长期渗透策略,利用单点或多点入侵,通常造成实质性损害后才被发现。
- TCP/IP协议
-
传输控制协议/网际协议——这套网络协议组广泛应用于互联网,能在不同硬件架构与操作系统的计算机互联网络中实现通信。TCP/IP不仅规定了计算机通信标准,还包含网络连接与流量路由的规范。
- 木马程序
-
一种伪装成良性程序的破坏性程序。与病毒不同,木马不会自我复制但破坏力相当。最阴险的变种会伪装成杀毒程序,实则向计算机植入病毒。
该术语源自《荷马史诗》特洛伊木马典故:希腊人将巨型木马作为和平礼物赠予敌国特洛伊,当特洛伊人将木马拖入城内后,藏匿其中的希腊士兵打开城门引军攻陷特洛伊。
- 更新程序
-
用于替代旧版本软件/硬件产品的新版本。更新安装程序通常需检测旧版是否已安装,否则无法执行更新。
Bitdefender 配备专属更新模块,支持手动检查更新或自动更新产品。
- VBScript通用检测
-
试图利用VBScript漏洞的行为。
- 病毒
-
未经用户许可加载并强制运行的代码程序。多数病毒具有自我复制能力,所有计算机病毒皆为人造。即便是仅能简单复制的病毒也极具危险性——它们会快速耗尽内存导致系统崩溃。更危险的病毒能穿透网络安全防护进行网络传播。
- 病毒特征码
-
杀毒软件用于检测和清除病毒的二进制特征模式。
- 网络欺诈
-
除网络钓鱼外,还包括假冒企业网站等欺诈形式。这类网站不直接索要隐私信息,而是伪装成合法机构诱骗用户交易牟利。
- 网页恶意软件
-
针对网页及服务器开发的恶意程序,可能通过网页植入、传播或下载至用户计算机。
- 蠕虫病毒
-
通过网络自我传播的程序,其复制过程不依附其他程序。