术语表
术语表
- 活跃漏洞利用(CVE)
-
活跃漏洞利用指已被证实在真实攻击中被利用的安全缺陷(以CVE编号追踪)。这类漏洞通常需立即修补或缓解,因其代表已验证的威胁而非潜在风险。美国网络安全与基础设施安全局(CISA)维护的已知被利用漏洞(KEV)目录是权威信息来源,广泛用于指导补丁优先级排序。
- ActiveX
-
ActiveX是一种编程模型,允许其他程序及操作系统调用其组件。该技术常与微软IE浏览器配合使用,使网页具备类似计算机程序的交互功能,而非静态页面。通过ActiveX,用户可实现问答交互、按钮操作等动态网页行为。ActiveX控件通常使用Visual Basic编写。
ActiveX因完全缺乏安全控制机制而备受诟病,网络安全专家不建议在互联网环境中使用。
- 广告软件
-
广告软件通常捆绑在免费主机应用中,用户同意接受广告即可使用。由于这类软件安装时用户已签署声明其用途的许可协议,故不构成违法行为。
但弹窗广告可能造成困扰,甚至影响系统性能。某些应用收集的信息也可能引发隐私担忧,特别是用户未充分了解许可条款时。
- 反绕行
-
试图绕过安全检查以创建新进程的行为。
- 反恶意软件扫描风暴
-
当杀毒软件同时扫描单个物理主机上的多个虚拟机时,导致的系统资源过度消耗现象。
- 反Meterpreter
-
通过扫描可执行内存页来创建反向shell的尝试。
- 压缩包炸弹
-
压缩包炸弹是经过多重压缩的文件,解压时会因资源过度消耗导致杀毒程序或系统崩溃。
- 后门
-
系统安全中设计者或维护者故意留下的漏洞。此类漏洞的动机并非总是恶意的;例如某些操作系统出厂时便预设供现场服务技术人员或供应商维护程序员使用的特权账户。
- 引导工具包
-
引导工具包是一种能够感染主引导记录(MBR)、卷引导记录(VBR)或引导扇区的恶意程序。即使系统重启后,该工具包仍保持活跃状态。
- 引导扇区
-
位于磁盘起始位置、用于标识磁盘架构(扇区大小、簇大小等)的扇区。对于启动盘,引导扇区还包含加载操作系统的程序。
- 引导型病毒
-
感染固定磁盘或软盘引导扇区的病毒。尝试从感染引导型病毒的磁盘启动时,病毒将激活并驻留内存。此后每次系统启动时,该病毒都会在内存中保持活跃。
- 浏览器
-
网页浏览器的简称,用于定位和显示网页的软件应用程序。
- 子进程创建
-
尝试创建任何子进程的行为。
- 命令行
-
在命令行界面中,用户使用命令语言直接在屏幕上输入指令。
-
互联网行业中,Cookie被描述为包含计算机个体信息的小文件,广告商可分析这些信息以追踪用户的在线兴趣和偏好。该技术仍在发展中,旨在根据用户声明的兴趣精准投放广告。对许多人而言这是把双刃剑:一方面它能高效呈现相关广告;另一方面却涉及实际"追踪"用户行为和点击记录。关于隐私的争议由此产生,许多人反感被视作"商品条形码"(即超市收银时扫描的包装背面条码)。尽管这种观点可能偏激,但在某些情况下确属实情。
- 凭据窃取
-
攻击者通过窃取用户名、密码等凭据获取系统访问权限,例如暴力破解攻击、未授权认证漏洞利用、密码窃取程序等。
- 犯罪软件
-
此类技术旨在自动化网络犯罪,例如核漏洞利用、木马和僵尸程序等各类恶意软件。
- 客户
-
购买并使用 Bitdefender 产品或服务以保护其自身基础设施、系统或用户的公司。首字母大写时(Customer)特指产品文档中定义的此类公司,参见 合作伙伴 .
- 拨号器
-
拨号器指利用计算机调制解调器建立拨号连接的程序,通过拨打预设的国际或高费率本地电话号码建立连接。该程序可绕过本地网络服务提供商进行未授权连接,目的是增加受害者话费并最终造成经济损失。
- 侦查
-
攻击者渗透成功后,在决定后续行动前会尝试获取系统及内部网络信息,例如目录遍历漏洞利用、HTTP目录遍历漏洞利用等。
- 磁盘驱动器
-
这是一种从磁盘读取数据并向磁盘写入数据的机器。
硬盘驱动器用于读写硬盘。
软盘驱动器用于访问软盘。
磁盘驱动器可以是内置式(安装在计算机内部)或外置式(置于连接计算机的独立外接盒中)。
- DKIM
-
域名密钥识别邮件——通过添加数字签名来保护外发邮件内容。配置DKIM可提升您的域名在不同服务商中的信誉度。
- 下载
-
将数据(通常是整个文件)从主源复制到外围设备。该术语常用来描述从在线服务将文件复制到个人计算机的过程。下载也可指将文件从网络文件服务器复制到联网计算机。
- 下载器
-
这是对主要功能为以下载内容实现不良或恶意目的程序的统称。
- 动态恶意软件
-
动态恶意软件包含多种在预执行阶段运作的威胁类型。这类恶意软件可能呈现多种形式(脚本、文件、URL等),并采用高度混淆和规避技术。
- 出口流量
-
数据出口流量指数据离开网络传输至外部位置的过程。常见的数据出口通道包括电子邮件、网页上传、云存储、可移动介质(USB、CD/DVD或外置硬盘)、FTP/HTTP传输。
- 电子邮件
-
通过本地或全球网络在计算机间发送消息的服务。
- 终端
-
终端指能与另一设备、用户或网络交互并交换信息的任何物理或虚拟设备。台式机、笔记本电脑、服务器、虚拟机均属于终端。
- 事件
-
程序检测到的动作或发生的情况。事件可以是用户操作(如点击鼠标或按键),也可以是系统事件(如内存耗尽)。
- 漏洞利用
-
漏洞利用通常指任何用于未经授权访问计算机的方法,或指使系统暴露于攻击之下的安全漏洞。
- 误报
-
指扫描器将未感染文件误判为已感染的情况。
- 文件扩展名
-
文件名中最后一个点之后的部分,用于指示文件存储的数据类型。
许多操作系统使用文件扩展名,如Unix、VMS和MS-DOS。扩展名通常为1至3个字母(某些老旧操作系统仅支持3个字母)。例如"c"表示C语言源代码,"ps"表示PostScript,"txt"表示任意文本。
- 灰帽软件
-
介于合法软件和恶意软件之间的软件类别。虽然它们不像危害系统完整性的恶意软件那样有害,但其行为仍会造成干扰,导致数据窃取、未经授权使用及垃圾广告等不良后果。最常见的灰帽软件包括 间谍软件 和 广告软件 .
- 启发式检测
-
一种基于规则的识别新病毒的方法。这种扫描方式不依赖特定病毒特征码。其优势在于不会被现有病毒的新变种所欺骗,但偶尔可能将正常程序中的代码误报为可疑代码,即产生所谓"误报"。
- 初始入侵
-
攻击者通过多种途径渗透网络,包括利用面向公众的Web服务器漏洞。例如信息泄露漏洞利用、SQL注入攻击以及路过式下载注入载体。
- IP协议
-
互联网协议——TCP/IP协议套件中负责IP寻址、路由选择及IP数据包分片与重组的路由协议。
- IPFIX协议
-
互联网协议流信息导出——IETF制定的协议,允许网络工程师从路由器、探针等设备收集流信息,并通过网络分析器进行流数据分析。该标准定义了IP流信息的格式化方式及从导出器到收集器的传输规范。
- Java小程序
-
专为网页运行设计的Java程序。在网页中使用小程序需指定其名称及可用尺寸(像素单位的长宽值)。当访问网页时,浏览器会从服务器下载该程序并在用户机器(客户端)运行。与应用程序不同,小程序受严格安全协议约束。
例如,即便在客户端运行,小程序也无法读写客户端机器数据。此外,小程序仅限与其服务同源域进行数据读写。
- 键盘记录器
-
用于记录所有键盘输入行为的应用程序。
键盘记录器本身非恶意,可合法用于监控员工或儿童活动。但网络犯罪分子正越来越多地利用其进行恶意活动(如窃取登录凭证、社保号码等隐私数据)。
- 横向渗透
-
攻击者通过遍历多台系统探查网络以锁定主要目标,可能借助特定工具实现目的,例如命令注入漏洞利用、Shellshock漏洞攻击及双扩展名漏洞利用。
- LSASS进程保护
-
LSASS进程易泄露密码哈希值等敏感信息及安全设置。
- 宏病毒
-
一种以文档内嵌宏形式编码的计算机病毒。Microsoft Word等应用程序支持强大的宏语言。
这些应用程序允许在文档中嵌入宏,并使得每次打开文档时自动执行该宏。
- 邮件客户端
-
用于收发电子邮件的应用程序。
- 恶意进程
-
可访问未授权资源的破坏性程序。
- 恶意软件
-
恶意软件是专门设计用于造成危害的软件统称,即'malicious software'的缩写。虽然尚未被普遍采用,但作为病毒、木马、蠕虫和恶意移动代码的通用术语,其使用率正在增长。
- 恶意软件特征码
-
恶意软件特征码是从实际恶意软件样本中提取的代码片段。反病毒程序通过模式匹配利用这些特征码来检测恶意软件。
特征码还可用于从受感染文件中清除恶意代码。
该 Bitdefender 恶意软件特征码数据库是由 Bitdefender 恶意软件研究人员每小时更新的特征码集合。
- 内存
-
计算机内部的存储区域。内存指以芯片形式存在的数据存储,而存储一词用于描述磁带或磁盘上的存储介质。每台计算机都配备一定容量的物理内存,通常称为主存或RAM。
- 非启发式
-
这种扫描方法依赖于特定的病毒特征码。非启发式扫描的优势在于不会被疑似病毒的行为迷惑,也不会产生误报。
- 过时进程创建
-
尝试使用过时技术创建新进程。
- 压缩程序
-
采用压缩格式的文件。许多操作系统和应用程序都包含能将文件压缩以减少内存占用的命令。例如,假设某文本文件包含十个连续空格字符,通常这会占用十个字节的存储空间。
但文件压缩程序会用特殊空格序列字符替代这些空格,并标注被替换的空格数量。如此,十个空格仅需占用两个字节。这只是众多压缩技术中的一种。
- 合作伙伴
-
经授权可转售、分销或管理 Bitdefender 产品和服务的企业,这些企业在 GravityZone 体系中可以是合作伙伴或客户公司。合作伙伴包括经销商、分销商或托管服务提供商(MSP)。首字母大写时(Partner),特指产品中定义的此类公司类型。参见 客户 .
- 密码窃取程序
-
密码窃取程序会收集账户名及相关密码等数据,随后将这些被盗凭证用于账户接管等恶意目的。
- 路径
-
计算机中文件的精确定位信息,通常通过自上而下的层级文件系统来描述。
任意两点之间的路径,例如两台计算机之间的通信信道。
- 网络钓鱼
-
一种试图获取敏感信息的欺诈行为。通常,伪造的网站被设计成看似可信,并要求用户更新个人信息,如密码、信用卡、社会安全号码和银行账户号码,以试图欺骗他们。
- 策略规则违规
-
根据管理员定义的规则,以下威胁类型代表策略违规:
-
受限网页类别 :访问的网址属于受限网页类别。
-
受限网络流量 :报告的网络流量发生在受限的时间段内。
-
受限网址 :根据应用策略,访问的网址受限。
-
受限数据访问 :报告了与数据保护规则匹配的数据流量。
-
受限应用程序 :根据应用策略,访问的应用程序受限。
-
受限电子邮件附件 :该电子邮件包含多个不同类型的恶意附件。
-
受限内容 :根据应用策略,该电子邮件包含受限的字符串。
-
受限附件类型 :根据应用策略,该电子邮件包含受限的附件。
-
已连接设备 :一个设备已连接到终端。
-
端口扫描尝试 :发现了一次端口扫描尝试。
-
由进程发起的网络流量 :根据应用策略,出站网络流量及发起该流量的进程受限。
-
入站网络流量 :根据应用策略,入站网络流量受限。
-
- 多态病毒
-
一种每次感染文件时都会改变形态的病毒。由于没有固定的二进制模式,此类病毒难以识别。
- 端口
-
计算机上可连接设备的接口。个人计算机拥有多种类型的端口:内部设有连接磁盘驱动器、显示屏和键盘的端口;外部则配备连接调制解调器、打印机、鼠标及其他外围设备的端口。
在TCP/IP和UDP网络中,指逻辑连接的终端点。端口号用于标识端口类型,例如80端口通常用于HTTP流量。
- 潜在有害应用程序
-
潜在有害应用程序是指可能具有大量不良特性或行为的程序,这些行为可能影响系统资源与性能,并危及个人及工作数据安全。
- 潜在不需要应用程序(PUA) ( PUA )
-
潜在不需要应用程序(PUA)指可能在PC上不受欢迎的程序,常与免费软件捆绑安装。此类程序可能在用户不知情时安装(又称广告软件),或默认包含在快速安装包中(广告支持)。其潜在影响包括弹出广告窗口、在默认浏览器安装不需要的工具栏,或在后台运行多个进程导致电脑性能下降。
- 权限提升
-
进程试图获取未授权权限及资源访问的行为。
- 进程内省
-
防止受损父进程生成子进程的尝试。
- 防护层
-
GravityZone 通过一系列模块和角色(统称为防护层)提供保护,这些防护层分为终端防护(EPP,即核心防护)与多个附加模块。终端防护包含 反恶意软件 , 高级威胁控制 , 高级反漏洞利用 , 防火墙 , 内容控制 , 设备控制 , 网络攻击防御 , 高级用户 ,以及 中继 。附加组件包含以下保护层: Exchange安全防护 和 沙盒分析器 .
- 勒索软件
-
一种将您锁定在计算机外或阻止访问文件及应用程序的恶意软件。勒索软件会要求您支付特定费用(赎金)以换取解密密钥,从而重新获得对计算机或文件的访问权限。
- 报告文件
-
记录已发生操作的文件。 Bitdefender 会维护一个报告文件,其中列出扫描的路径、文件夹、扫描的归档和文件数量,以及发现的受感染和可疑文件数量。
- Rootkit
-
Rootkit是一组提供系统管理员级别访问权限的软件工具。该术语最初用于UNIX操作系统,指经过重新编译的工具,这些工具为入侵者提供管理权限,使其能隐藏自身存在以避免被系统管理员察觉。
Rootkit的主要作用是隐藏进程、文件、登录信息和日志。若配备相应软件,它们还可拦截来自终端、网络连接或外设的数据。
Rootkit本身并非恶意工具。例如,操作系统乃至某些应用程序会使用Rootkit隐藏关键文件。但它们多被用于隐藏恶意软件或掩盖系统中入侵者的存在。当与恶意软件结合时,Rootkit会对系统完整性和安全性构成重大威胁,可监控流量、创建系统后门、篡改文件及日志并规避检测。
- ROP模拟
-
攻击者试图使数据内存页可执行,随后尝试利用面向返回编程(ROP)技术执行这些页面。
- ROP非法调用
-
通过验证敏感系统函数的调用者,尝试利用ROP技术劫持代码流。
- ROP使堆栈可执行
-
通过验证堆栈页面保护,尝试利用ROP技术破坏堆栈。
- ROP返回堆栈
-
通过验证返回地址范围,尝试利用ROP技术直接在堆栈上执行代码。
- ROP堆栈未对齐
-
通过验证堆栈地址对齐,尝试利用ROP技术破坏堆栈。
- ROP堆栈枢轴
-
通过验证堆栈位置,尝试利用ROP技术劫持代码流。
- 脚本
-
脚本是宏或批处理文件的另一种说法,指无需用户交互即可执行的一系列命令。
- Shellcode EAF(导出地址过滤)
-
恶意代码尝试从DLL导出表中访问敏感系统函数的行为。
- Shellcode执行
-
尝试利用shellcode创建新进程或下载文件。
- Shellcode loadLibrary
-
尝试利用shellcode通过网络路径执行代码。
- Shellcode线程
-
通过验证新创建的线程,尝试注入恶意代码。
- 垃圾邮件
-
电子垃圾邮件或垃圾新闻组帖子。泛指任何未经请求的电子邮件。
- 间谍软件
-
任何在用户不知情情况下通过其互联网连接秘密收集用户信息的软件,通常用于广告目的。间谍软件通常作为隐藏组件捆绑在可从互联网下载的免费或共享软件中;但需注意大多数共享软件和免费软件并不包含间谍软件。安装后,间谍软件会监视用户的互联网活动,并在后台将信息传输给他人。间谍软件还能收集电子邮件地址甚至密码和信用卡号等信息。
间谍软件与木马的相似之处在于用户在安装其他软件时会无意中安装该产品。成为间谍软件受害者的常见方式是下载当前某些可用的点对点文件交换产品。
除了道德和隐私问题外,间谍软件通过占用计算机内存资源以及利用用户互联网连接将信息发送回间谍软件总部来消耗带宽,从而窃取用户资源。由于间谍软件占用内存和系统资源,后台运行的应用程序可能导致系统崩溃或整体系统不稳定。
- 启动项
-
此文件夹中的任何文件都将在计算机启动时打开。例如,启动屏幕、计算机首次启动时播放的声音文件、提醒日历或应用程序都可以是启动项。通常,此文件夹中放置的是文件的快捷方式而非文件本身。
- STIX和TAXII
-
STIX(结构化威胁信息表达)和TAXII(可信自动化指标信息交换)是旨在改善网络攻击预防和缓解的标准。这些标准本身不是软件,而是软件可以使用的规范。STIX和TAXII的结合使得更容易与您的组织和同行共享威胁信息。
- 可疑文件和网络流量
-
可疑文件是指声誉存疑的文件。此排名由许多因素决定,其中包括:数字签名的存在、计算机网络中的出现次数、使用的打包器等。当网络流量偏离模式时被视为可疑。例如,不可靠的来源、对不寻常端口的连接请求、带宽使用增加、随机连接时间等。
- 系统托盘
-
系统托盘自Windows 95引入,位于Windows任务栏(通常在时钟旁边的底部),包含用于轻松访问系统功能(如传真、打印机、调制解调器、音量等)的微型图标。双击或右键单击图标可查看和访问详细信息和控件。
- 定向攻击
-
主要旨在获取经济利益或诋毁声誉的网络攻击。目标可以是个人、公司、软件或系统,攻击前经过充分研究。这些攻击在长时间内分阶段展开,使用一个或多个渗透点。大多数情况下,当损害已经造成时才被发现。
- TCP/IP
-
传输控制协议/互联网协议 - 一套广泛用于互联网的网络协议,提供跨不同硬件架构和各种操作系统互联网络的通信。TCP/IP包括计算机通信的标准和连接网络及路由流量的约定。
- 木马程序
-
一种伪装成良性应用程序的破坏性程序。与病毒不同,木马不会自我复制,但其破坏性同样严重。最阴险的木马类型之一是声称能清除计算机病毒,实则向计算机植入病毒的程序。
该术语源自荷马史诗《伊利亚特》中的故事:希腊人将一匹巨型木马作为和平礼物赠予敌人特洛伊人。当特洛伊人将木马拖入城墙后,希腊士兵从木马中空的腹部潜出并打开城门,让同胞涌入攻陷特洛伊城。
- 更新
-
旨在替代旧版本的软件或硬件产品新版本。此外,更新安装程序通常会检查计算机是否已安装旧版本,若未安装则无法执行更新。
Bitdefender 拥有独立的更新模块,支持手动检查更新或自动更新产品。
- VBScript通用检测
-
试图利用VBScript漏洞的攻击行为。
- 病毒
-
在用户不知情时加载并违背用户意愿运行的代码或程序。多数病毒可自我复制,所有计算机病毒均为人为制造。能不断自我复制的简单病毒较易制作,此类病毒会快速耗尽内存导致系统瘫痪。更危险的病毒能通过网络传播并绕过安全系统。
- 病毒特征码
-
病毒的二进制模式,反病毒程序借此检测并清除病毒。
- 网络欺诈
-
除网络钓鱼外,还包括其他骗局类型。例如假冒合法企业的虚假网站,虽不直接索要隐私信息,但通过诱骗用户交易获利。
- 网页恶意软件
-
针对网页和服务器开发的恶意软件。这些网页可能包含、传播甚至自动下载恶意程序至用户计算机。
- 蠕虫
-
通过网络自我传播并复制的程序,但无法依附其他程序。