反病毒和网络端口？

Question

我认为反病毒甚至在病毒进入操作系统(Windows/Linux)之前就可以通过过滤网络接口端口本身来确定病毒。对吗？

但是，病毒是如何避免这种过滤的呢？

提前谢谢你，

卡拉蒂克巴拉古鲁

Answer 1

当然，有可能是的，有些台式计算机有/有基于BIOS的AV，但是在NIC中这样做需要更多的逻辑，因此成本更高，加上一种机制来保存芯片上通常相当大的病毒定义。哦，这个系统不一定比‘内置cpu’更安全或更快，但几乎肯定会减慢NIC的速度。许多AV产品可以做的是查看通过IP堆栈进入的流量，并搜索病毒-这是快速和容易的更新防御系统，因为它是特定于AV产品，而不是AV产品和网卡具体。

我希望我已经澄清了为什么基于网卡的AV会是一个非常糟糕的想法，为什么如果实施，更新的病毒将很容易被过时的基于NIC的防御系统发现。

顺便说一句，这听起来像是一个家庭作业问题--如果是的话，你能带着你得到的分数回到我们这里来吗？)

Answer 2

虽然在端口检测到一些病毒进入系统是可能的，但实际上只有在签名系统下才有可能。这意味着很容易避免被发现。作为其他检测方法的辅助工具，它可能很有用，但作为唯一的检测方法却是非常无用的。

例如，监视端口通信量不会检测到嵌入在加密文件中的病毒，这是一种多次成功的方法(从传播病毒的人的角度来看)。整个文件必须输入并解密，然后检测才有成功的希望。

Answer 3

恶意软件可以控制您系统的核心。它称为rootkit，它们可以用于隐藏文件、网络流量和正在运行的进程。