术语表
术语表
- 活跃漏洞利用(CVE)
-
活跃漏洞利用指已被证实在真实攻击中利用的安全缺陷(以CVE编号追踪)。这类漏洞通常需立即修补或缓解,因其代表已验证的威胁而非潜在风险。美国网络安全与基础设施安全局(CISA)维护的已知被利用漏洞(KEV)目录是判定此类漏洞的权威来源,广泛用于指导补丁优先级。
- ActiveX
-
ActiveX是一种编程模型,允许其他程序及操作系统调用其组件。该技术常与微软IE浏览器配合使用,使网页具备类似计算机程序的交互功能,而非静态页面。通过ActiveX,用户可实现问答交互、按钮操作等动态网页行为。ActiveX控件通常使用Visual Basic编写。
ActiveX因完全缺乏安全控制机制而备受诟病,网络安全专家不建议在互联网环境中使用。
- 广告软件
-
广告软件通常与免费主机应用程序捆绑,用户同意接收广告即可免费使用。由于这类软件安装前会要求用户签署声明其用途的许可协议,因此不构成违法行为。
但弹窗广告可能造成干扰,某些情况下还会降低系统性能。此外,部分广告软件收集的信息可能引发隐私担忧,特别是用户未充分知晓许可条款时。
- 反绕行检测
-
试图绕过安全检测以创建新进程的行为。
- 反恶意软件扫描风暴
-
当杀毒软件同时扫描单个物理主机上的多个虚拟机时,系统资源被密集占用的情况。
- 反Meterpreter
-
通过扫描可执行内存页来尝试创建反向shell。
- 压缩炸弹
-
压缩炸弹是经过多次压缩的文件。解压时由于资源被大量消耗,可能导致杀毒程序或系统崩溃。
- 后门
-
系统安全中设计者或维护者故意留下的漏洞。此类漏洞的动机并非总是恶意的;例如某些操作系统出厂时便预置特权账户,供现场服务技术人员或供应商维护程序员使用。
- 引导工具包
-
引导工具包是能够感染主引导记录(MBR)、卷引导记录(VBR)或引导扇区的恶意程序。即使系统重启后,该工具包仍保持活跃状态。
- 引导扇区
-
位于磁盘起始位置的扇区,用于标识磁盘架构(扇区大小、簇大小等)。对于启动盘,引导扇区还包含加载操作系统的程序。
- 引导型病毒
-
感染固定磁盘或软盘引导扇区的病毒。尝试从感染引导型病毒的软盘启动时,病毒将驻留内存。此后每次系统启动,该病毒都会在内存中保持活跃。
- 浏览器
-
网页浏览器的简称,用于定位和显示网页的软件应用程序。
- 子进程创建
-
尝试创建任何子进程的行为。
- 命令行
-
在命令行界面中,用户使用命令语言直接在屏幕指定区域输入指令。
-
互联网行业中,Cookie被描述为包含计算机信息的小文件,广告商可分析这些信息以追踪用户的网络兴趣与偏好。该技术仍在发展中,旨在根据用户声明的兴趣精准投放广告。对许多人而言这是把双刃剑:一方面它能高效呈现相关广告;另一方面涉及实际"追踪"用户点击行为。关于隐私的争论由此产生,许多人反感被视作"商品条形码"(即超市收银台扫描的包装背面条码)。尽管这种观点可能偏激,但在某些情况下确实成立。
- 凭据窃取
-
攻击者窃取用户名和密码等凭据以访问系统。例如暴力破解攻击、未授权认证漏洞利用、密码窃取程序等。
- 犯罪软件
-
此类技术旨在自动化网络犯罪。例如:核漏洞利用、木马和僵尸程序等各类恶意软件。
- 客户
-
购买并使用 Bitdefender 产品或服务以保护其自身基础设施、系统或用户的公司。首字母大写时(Customer),该术语特指产品文档中定义的此类公司类型。参见 合作伙伴 .
- 拨号器
-
拨号器是指利用计算机调制解调器建立拨号互联网连接的程序。该程序通过拨打预设电话号码连接国际或高费率本地号码,可绕过本地网络服务提供商进行未授权连接,其目的是增加受害者话费账单金额从而牟利。
- 侦查
-
攻击者渗透成功后,会在决定下一步行动前收集系统及内部网络信息,例如利用目录遍历漏洞、HTTP目录遍历漏洞等手段。
- 磁盘驱动器
-
一种可从磁盘读取数据并向磁盘写入数据的机器设备。
硬盘驱动器用于读写硬盘。
软盘驱动器用于读写软盘。
磁盘驱动器可分为内置式(安装在计算机内部)和外置式(置于独立外接盒中)。
- DKIM
-
域名密钥识别邮件标准——通过添加数字签名保护外发邮件内容。配置DKIM可提升域名在各服务商处的信誉评级。
- 下载
-
将数据(通常为整个文件)从主源复制到外围设备。该术语常指从在线服务将文件复制到个人计算机的过程,也可指从网络文件服务器向联网计算机复制文件的操作。
- 下载器
-
泛指主要功能为下载内容以实现不良或恶意目的的程序。
- 动态恶意软件
-
动态恶意软件包含多种在预执行阶段运作的威胁类型,其恶意代码可表现为脚本、文件、URL等多种形式,并采用高度混淆和规避技术。
- 出口流量
-
数据出口指数据离开网络传输至外部位置的过程,常见通道包括电子邮件、网页上传、云存储、可移动介质(U盘、光盘/外置硬盘)、FTP/HTTP传输等。
- 电子邮件
-
通过本地或全球网络在计算机间传递消息的服务。
- 终端
-
终端指任何能与其它设备、用户或网络进行信息交互的物理/虚拟设备,例如台式机、笔记本、服务器、虚拟机等。
- 事件
-
程序检测到的动作或状态变化,既包含用户操作(如点击鼠标、按键),也包含系统状态(如内存耗尽)。
- 漏洞利用
-
泛指任何用于获取计算机未授权访问权限的方法,或指可导致系统遭受攻击的安全漏洞。
- 误报
-
指扫描器将实际未感染的文件错误判定为已感染的情况。
- 文件扩展名
-
文件名中最后一个点之后的部分,用于指示文件中存储的数据类型。
许多操作系统如Unix、VMS和MS-DOS都使用文件扩展名。扩展名通常由1至3个字母组成(某些陈旧的操作系统仅支持最多3个字母)。例如“c”表示C语言源代码,“ps”表示PostScript文件,“txt”表示任意文本文件。
- 灰件
-
介于合法软件和恶意软件之间的一类应用程序。虽然它们不像恶意软件那样危害系统完整性,但其行为仍会造成干扰,导致数据窃取、未经授权的使用及垃圾广告等不良后果。最常见的灰件应用包括 间谍软件 与 广告软件 .
- 启发式检测
-
一种基于规则的新病毒识别方法。这种扫描方式不依赖特定病毒特征码,其优势在于不会被现有病毒的变种所欺骗。但可能偶尔会将正常程序中的代码误报为可疑代码,即产生所谓的“误报”。
- 初始访问
-
攻击者通过多种手段(包括利用面向公众的Web服务器漏洞)侵入网络。例如信息泄露漏洞利用、SQL注入漏洞利用和路过式下载注入载体。
- IP
-
互联网协议——TCP/IP协议栈中负责IP寻址、路由选择及IP数据包分片与重组的可路由协议。
- IPFIX
-
互联网协议流信息导出——IETF制定的协议,允许网络工程师和管理员从路由器、探针及其他交换机收集流信息,再通过网络分析器分析流数据。该标准定义了IP流信息的格式化方式及从导出器传输至收集器的方法。
- Java小程序
-
一种仅设计在网页上运行的Java程序。使用网页小程序需指定其名称及可占用的像素尺寸(长宽)。当访问网页时,浏览器会从服务器下载该程序并在用户机器(客户端)运行。与应用程序不同,小程序受严格安全协议约束——
例如即使运行在客户端,也无法读写客户端机器上的数据。此外,小程序仅能读写与其同源域的数据。
- 键盘记录器
-
用于记录所有键盘输入行为的应用程序。
键盘记录器本身并非恶意工具,可合法用于监控员工或儿童活动。但正被网络犯罪分子越来越多地用于窃取登录凭证、社保号码等隐私数据。
- 横向移动
-
攻击者在网络中(通常通过多系统跳转)探查主要目标,可能使用命令注入漏洞、Shellshock漏洞及双扩展名漏洞等特定工具达成目的。
- LSASS进程保护
-
LSASS进程易泄露密码哈希值和安全设置等敏感信息。
- 宏病毒
-
一种编码为文档嵌入式宏的计算机病毒。Microsoft Word和Excel等许多应用程序支持强大的宏语言,
允许用户在文档中嵌入宏,并在每次打开文档时自动执行该宏。
- 邮件客户端
-
电子邮件客户端是一种能够发送和接收电子邮件的应用程序。
- 恶意进程
-
一种可访问未授权资源的破坏性程序。
- 恶意软件
-
恶意软件是专为实施危害而设计的软件统称,为'malicious software'的缩写。该术语虽未完全普及,但作为病毒、木马、蠕虫和恶意移动代码的通用称谓正日益流行。
- 恶意软件特征码
-
恶意软件特征码是从实际恶意软件样本中提取的代码片段,供杀毒程序通过模式匹配来检测恶意软件。
特征码还可用于从受感染文件中清除恶意代码。
Bitdefender Bitdefender 恶意软件特征码数据库是由 Bitdefender 恶意软件研究人员每小时更新的特征码集合。
- 内存
-
计算机内部存储区域。内存指以芯片形式存在的数据存储,而存储一词用于磁带或磁盘上的记忆体。每台计算机都配备特定容量的物理内存,通常称为主存或RAM。
- 非启发式
-
这种扫描方法依赖特定病毒特征码,其优势在于不会因疑似病毒行为误判,也不会产生误报。
- 过时进程创建
-
尝试使用过时技术创建新进程。
- 压缩程序
-
采用压缩格式的文件。许多操作系统和应用程序支持压缩命令以减少内存占用。例如,某文本文件含十个连续空格字符,通常需占用十字节存储空间。
但文件压缩程序会将这些空格替换为特殊空格序列字符加空格数量标记。如此,十个空格仅需两字节存储。这只是众多压缩技术之一。
- 合作伙伴
-
经授权可转售、分销或管理 Bitdefender 产品及服务的企业,在 GravityZone 体系中可能同时具备合作伙伴与客户双重身份。合作伙伴包括经销商、分销商或托管服务提供商(MSP)。首字母大写时(Partner)特指产品定义中的此类公司类型。参见 客户 .
- 密码窃取程序
-
密码窃取程序会收集可能包含账户名及关联密码的数据片段,这些被盗凭证随后被用于恶意目的,例如账户接管。
- 路径
-
指向计算机中某文件的确切方位,通常通过自上而下的层级文件系统来描述。
任意两点之间的通路,例如两台计算机之间的通信通道。
- 网络钓鱼
-
一种试图获取敏感信息的欺诈行为。通常伪造看似可信的网站,要求用户更新个人信息(如密码、信用卡号、社保号码和银行账号)以实施欺骗。
- 策略规则违反
-
以下威胁类型根据管理员定义的规则构成策略违反:
-
受限网页类别 :所访问网址属于受限网页类别。
-
受限网络流量 :报告的网页流量发生在受限时间段内。
-
受限网址 :所访问网址根据现行策略受到限制。
-
受限数据访问 :报告了符合数据保护规则的数据流量。
-
受限应用程序 :所访问应用程序根据现行策略受到限制。
-
受限邮件附件 :该邮件包含多个携带不同类型恶意软件的恶意附件。
-
受限内容 :该邮件包含根据现行策略受限的字符串。
-
受限附件类型 :该邮件包含基于现行策略受限的附件。
-
已连接设备 :有设备接入终端。
-
端口扫描尝试 :检测到端口扫描行为。
-
进程发起的网络流量 :根据应用策略限制出站网络流量及其发起进程。
-
入站网络流量 :根据应用策略限制入站网络流量。
-
- 多态病毒
-
一种每次感染文件都会改变形态的病毒。由于没有固定二进制特征,此类病毒难以识别。
- 端口
-
计算机上可连接设备的接口。个人计算机具有多种端口类型:内部设有连接磁盘驱动器、显示屏和键盘的端口;外部配备连接调制解调器、打印机、鼠标等外设的端口。
在TCP/IP和UDP网络中,指逻辑连接的终端点。端口号用于标识端口类型,例如80端口用于HTTP流量。
- 潜在有害应用程序
-
指可能具有大量不良特性或行为的程序,这些行为可能影响系统资源与性能,并危及个人及工作数据安全。
- 潜在不需要应用程序(PUA) ( PUA )
-
指可能不受用户欢迎的程序,常与免费软件捆绑安装。此类程序可能在用户不知情时安装(又称广告软件),或默认包含在快速安装包中(广告支持)。其潜在影响包括弹窗广告、在默认浏览器安装多余工具栏、或后台运行多个进程导致电脑性能下降。
- 权限提升
-
进程试图获取未授权权限及资源访问的行为。
- 进程内省
-
防止被入侵的父进程生成子进程的企图。
- 防护层
-
GravityZone 通过一系列模块和角色提供防护,统称为防护层,分为端点防护(EPP,即核心防护)与多个附加组件。端点防护包括 反恶意软件 , 高级威胁控制 , 高级反漏洞利用 , 防火墙 , 内容控制 , 设备控制 , 网络攻击防御 , 高级用户 ,以及 中继 。附加组件包含以下防护层: Exchange安全防护 和 沙箱分析器 .
- 勒索软件
-
一种将您锁定在计算机外或阻止访问文件及应用程序的恶意软件。勒索软件会要求您支付特定费用(赎金)以换取解密密钥,从而重新获得对计算机或文件的访问权限。
- 报告文件
-
记录已发生操作的文件。 Bitdefender 会维护一个报告文件,列出扫描路径、文件夹、已扫描的压缩包和文件数量,以及发现的受感染和可疑文件数量。
- Rootkit
-
Rootkit是一组提供系统管理员级别访问权限的软件工具。该术语最初用于UNIX操作系统,指经过重新编译的工具,这些工具赋予入侵者管理权限,使其能隐藏自身存在以规避系统管理员检测。
Rootkit的主要功能是隐藏进程、文件、登录信息和日志。若集成相应软件,它们还可拦截来自终端、网络连接或外设的数据。
Rootkit本身并非恶意工具。例如,操作系统甚至某些应用程序会使用Rootkit隐藏关键文件。但它们常被用于隐藏恶意软件或掩盖入侵者在系统中的存在。当与恶意软件结合时,Rootkit会对系统完整性和安全性构成重大威胁,可监控流量、创建系统后门、篡改文件日志并规避检测。
- ROP模拟
-
攻击者试图使数据内存页可执行,随后尝试通过面向返回编程(ROP)技术执行这些页面。
- ROP非法调用
-
通过验证敏感系统函数的调用者,尝试利用ROP技术劫持代码流。
- ROP使堆栈可执行
-
尝试通过验证栈页保护属性,利用ROP技术破坏栈结构
- ROP返回栈
-
尝试通过验证返回地址范围,利用ROP技术在栈上直接执行代码
- ROP栈未对齐
-
尝试通过验证栈地址对齐方式,利用ROP技术破坏栈结构
- ROP栈枢轴
-
尝试通过验证栈位置,利用ROP技术劫持代码执行流
- 脚本
-
脚本是宏或批处理文件的别称,指无需用户交互即可执行的命令列表
- Shellcode导出地址过滤(EAF)
-
恶意代码尝试从DLL导出表中访问敏感系统函数
- Shellcode执行
-
尝试利用shellcode创建新进程或下载文件
- Shellcode动态加载库
-
尝试利用shellcode通过网络路径执行代码
- Shellcode线程
-
通过验证新建线程属性,检测恶意代码注入企图
- 垃圾邮件
-
指电子垃圾邮件或新闻组垃圾帖子,泛指所有未经请求的电子邮件
- 间谍软件
-
任何在用户不知情情况下通过互联网连接秘密收集用户信息的软件,通常用于广告目的。间谍软件通常作为隐藏组件捆绑在可从互联网下载的免费或共享软件中,但需注意大多数共享软件并不包含间谍软件。安装后,间谍软件会监控用户的网络活动并将信息暗中传输给第三方,甚至可能窃取电子邮件地址、密码和信用卡号等敏感信息。
间谍软件与木马的相似之处在于用户会在安装其他软件时无意中安装它。常见的感染途径是下载某些点对点文件共享软件。
除了伦理和隐私问题,间谍软件还会占用内存资源和网络带宽(当其通过用户网络连接回传信息时),导致系统崩溃或整体不稳定。
- 启动项
-
此文件夹中的文件会在计算机启动时自动运行,例如启动画面、开机音效、提醒日历或应用程序。通常存放的是文件快捷方式而非原文件。
- STIX与TAXII
-
STIX(结构化威胁信息表达)和TAXII(指标信息可信自动交换)是旨在提升网络攻击预防和缓解能力的标准规范(非软件)。二者结合可更便捷地与合作伙伴共享威胁情报。
- 可疑文件与网络流量
-
可疑文件指信誉存疑的文件,评判因素包括数字签名状态、网络出现频率、所用加壳工具等。偏离正常模式的网络流量(非常规端口连接、带宽异常激增、随机连接时间等)被视为可疑。
- 系统托盘
-
系统托盘自Windows 95引入,位于Windows任务栏(通常紧邻时钟下方),包含微型图标以便快速访问传真、打印机、调制解调器、音量等系统功能。双击或右键点击图标可查看及操作详细信息。
- 定向攻击
-
主要以获取经济利益或诋毁声誉为目的的网络攻击。攻击目标可能是预先精心研究的个人、企业、软件或系统。这类攻击通过一个或多个渗透点分阶段长期实施,往往在造成损害后才被发现。
- TCP/IP
-
传输控制协议/网际协议——这套网络协议组在互联网上广泛使用,能在不同硬件架构和操作系统的互联计算机间建立通信。TCP/IP包含计算机通信标准以及网络连接与流量路由规范。
- 木马程序
-
伪装成良性应用程序的破坏性程序。与病毒不同,木马不会自我复制但破坏性相当。最阴险的木马类型是宣称能清除病毒,实则向计算机植入病毒的程序。
该术语源自荷马史诗《伊利亚特》:希腊人将巨型木马作为和平礼物赠予敌对方特洛伊人。当特洛伊人将木马拖入城墙后,希腊士兵从木马中空的腹部潜出打开城门,使大军攻陷特洛伊。
- 更新
-
用于替代旧版本软件或硬件产品的新版本。更新安装程序通常会检测计算机是否已安装旧版本,若未安装则无法执行更新。
Bitdefender 拥有独立的更新模块,支持手动检查更新或自动更新产品。
- VBScript通用检测
-
试图利用VBScript漏洞的行为。
- 病毒
-
在用户不知情时加载并违背用户意愿运行的程序或代码。多数病毒能自我复制,所有人造病毒中,仅能简单自我复制的病毒相对容易制作。此类病毒会快速耗尽内存导致系统崩溃,而能跨网络传播并绕过安全系统的病毒更为危险。
- 病毒特征码
-
病毒的二进制模式,供杀毒程序检测和清除病毒。
- 网络欺诈
-
除网络钓鱼外,还包括假冒企业网站等不直接索取隐私信息,而是伪装合法企业诱骗用户交易的骗局。
- 网页恶意软件
-
针对网页和服务器开发的恶意软件,可能通过网页包含、传播甚至下载到用户计算机。
- 蠕虫
-
通过网络自我传播并复制的程序,但无法附着于其他程序。