近年來,境內外敵對勢力和情報機構在采取收買、策反、滲透等傳統(tǒng)手法的同時,更加注重借助高科技手段進行竊密,竊取文件、帳號、信息的手段也在不斷變化與進步。特種木馬、間諜軟件等惡意程序由于其專用性、未知性,在現有的防病毒體系下極難發(fā)現與處理,通過離線擺渡等方式大肆竊取涉密信息和敏感信息。快速判斷計算機系統(tǒng)健康狀況,及時發(fā)現隱匿其中的惡意程序,成為保密檢查的一項重點工作內容。
中孚惡意程序輔助監(jiān)測系統(tǒng)是一套包括網絡監(jiān)測和單機體檢的綜合檢查分析系統(tǒng),為職能檢查機構及主管部門提供專業(yè)、高效、便攜的木馬檢測評估手段,能夠快速探測、發(fā)現計算機中的惡意程序。系統(tǒng)通過記錄網絡底層報文、監(jiān)測網絡信息流,發(fā)現可疑目標主機后,通過單機體檢系統(tǒng)進行單機檢查取證。借助DNS數據包分析、域名實時監(jiān)控、可疑文件掃描、木馬特征碼檢測等行為分析功能,大大提高了計算機特種“木馬”檢測分析的有效性,形成實際檢查能力。
系統(tǒng)功能
中孚惡意程序輔助檢測系統(tǒng)支持多種協議,如TCP、IP、UDP、HTTP、POP3、SMTP、FTP、DNS等數據包的分析與判斷功能。系統(tǒng)利用多種技術對可疑程序進行智能行為分析,且將目前常見的木馬特征碼,加入到了系統(tǒng)內核中,能夠及早的發(fā)現木馬以及其行為。具體功能如下圖所示:
系統(tǒng)特點
● 行為分析技術
系統(tǒng)利用多種技術對可疑程序各種行為進行智能分析,且將目前常見的木馬特征碼,嵌入到系統(tǒng)內核中,及早的發(fā)現木馬,減少對系統(tǒng)和數據信息的危害,有效的保障了信息安全。
● 支持多種數據協議
產品功能強大,系統(tǒng)支持多種數據協議(例如:HTTP、TCP、IP、UDP、FTP等等),功能覆蓋廣,保障了檢測的全面性。
● 全面分析木馬活動
網絡監(jiān)測與單機體檢相結合,全面分析木馬活動,提高了檢查的有效性。
● 對可疑行為進行多線程掃描
“可疑文件掃描”功能對系統(tǒng)因木馬活動留下的可疑壓縮包文件進行多線程快速掃描,并提供預覽以方便檢查人員取證。
● 簡單易用
系統(tǒng)界面美觀,操作簡單。