近年来,境内外敌对势力和情报机构在采取收买、策反、渗透等传统手法的同时,更加注重借助高科技手段进行窃密,窃取文件、帐号、信息的手段也在不断变化与进步。特种木马、间谍软件等恶意程序由于其专用性、未知性,在现有的防病毒体系下极难发现与处理,通过离线摆渡等方式大肆窃取涉密信息和敏感信息。快速判断计算机系统健康状况,及时发现隐匿其中的恶意程序,成为保密检查的一项重点工作内容。
中孚恶意程序辅助监测系统是一套包括网络监测和单机体检的综合检查分析系统,为职能检查机构及主管部门提供专业、高效、便携的木马检测评估手段,能够快速探测、发现计算机中的恶意程序。系统通过记录网络底层报文、监测网络信息流,发现可疑目标主机后,通过单机体检系统进行单机检查取证。借助DNS数据包分析、域名实时监控、可疑文件扫描、木马特征码检测等行为分析功能,大大提高了计算机特种“木马”检测分析的有效性,形成实际检查能力。
系统功能
中孚恶意程序辅助检测系统支持多种协议,如TCP、IP、UDP、HTTP、POP3、SMTP、FTP、DNS等数据包的分析与判断功能。系统利用多种技术对可疑程序进行智能行为分析,且将目前常见的木马特征码,加入到了系统内核中,能够及早的发现木马以及其行为。具体功能如下图所示:
系统特点
● 行为分析技术
系统利用多种技术对可疑程序各种行为进行智能分析,且将目前常见的木马特征码,嵌入到系统内核中,及早的发现木马,减少对系统和数据信息的危害,有效的保障了信息安全。
● 支持多种数据协议
产品功能强大,系统支持多种数据协议(例如:HTTP、TCP、IP、UDP、FTP等等),功能覆盖广,保障了检测的全面性。
● 全面分析木马活动
网络监测与单机体检相结合,全面分析木马活动,提高了检查的有效性。
● 对可疑行为进行多线程扫描
“可疑文件扫描”功能对系统因木马活动留下的可疑压缩包文件进行多线程快速扫描,并提供预览以方便检查人员取证。
● 简单易用
系统界面美观,操作简单。