近年來,境內外敵對勢力和情報機構在采取收買、策反、滲透等傳統手法的同時,更加注重借助高科技手段進行竊密,竊取文件、帳號、信息的手段也在不斷變化與進步。特種木馬、間諜軟件等惡意程序由于其專用性、未知性,在現有的防病毒體系下極難發現與處理,通過離線擺渡等方式大肆竊取涉密信息和敏感信息。快速判斷計算機系統健康狀況,及時發現隱匿其中的惡意程序,成為保密檢查的一項重點工作內容。
中孚惡意程序輔助監測系統是一套包括網絡監測和單機體檢的綜合檢查分析系統,為職能檢查機構及主管部門提供專業、 、便攜的木馬檢測評估手段,能夠快速探測、發現計算機中的惡意程序。系統通過記錄網絡底層報文、監測網絡信息流,發現可疑目標主機后,通過單機體檢系統進行單機檢查取證。借助DNS數據包分析、域名實時監控、可疑文件掃描、木馬特征碼檢測等行為分析功能,大大提高了計算機特種“木馬”檢測分析的有效性,形成實際檢查能力。
系統功能
中孚惡意程序輔助檢測系統支持多種協議,如TCP、IP、UDP、HTTP、POP3、SMTP、FTP、DNS等數據包的分析與判斷功能。系統利用多種技術對可疑程序進行智能行為分析,且將目前常見的木馬特征碼,加入到了系統內核中,能夠及早的發現木馬以及其行為。具體功能如下圖所示:
系統特點
● 行為分析技術
系統利用多種技術對可疑程序各種行為進行智能分析,且將目前常見的木馬特征碼,嵌入到系統內核中,及早的發現木馬,減少對系統和數據信息的危害,有效的保障了信息 。
● 支持多種數據協議
產品功能強大,系統支持多種數據協議(例如:HTTP、TCP、IP、UDP、FTP等等),功能覆蓋廣,保障了檢測的 性。
● 分析木馬活動
網絡監測與單機體檢相結合, 分析木馬活動,提高了檢查的有效性。
● 對可疑行為進行多線程掃描
“可疑文件掃描”功能對系統因木馬活動留下的可疑壓縮包文件進行多線程快速掃描,并提供預覽以方便檢查人員取證。
● 簡單易用
系統界面美觀,操作簡單。