大兵说安全

如何检测利用CVE-2026-31431漏洞的攻击

Sun, 03 May 2026 18:47:00 +0800

原创大兵说安全 2026-05-03 18:47 河南

昨天的文章《警惕，最新LINUX漏洞》中，给大家提醒了最近的CVE-2026-31431漏洞，怎么才能检测到利用该漏洞进行的攻击呢？

昨天的文章《警惕，最新LINUX漏洞》中，给大家提醒了最近的CVE-2026-31431漏洞，有同学问如果有黑客利用这个漏洞发起攻击，有没有办法可以检测到。

今天，我公司技术部的同事使用一些安全软件进行了测试。对具有该漏洞的主机进行了攻击测试，结果表明，如果部署的有卡巴斯基的EDR产品，在利用该漏洞进行攻击的时候，在EDR中会触发possible_lpe_by__python的IOA规则。

其他产品的测试结果我就不说了，大家自行测试吧。也欢迎大家把测试结果贴在评论中。

*感谢邵博同学的实际测试

另外，有同学私信我为什么不说如何测试本机有没有这个漏洞，这个国家有法律规定啊，公布漏洞的时候不得公布详细的POC过程。2021年9月1号正式实施的《网络产品安全漏洞管理规定》中第九条有明确规定，不敢多说，大家去网上自行查找吧。

跳转微信打开

警惕，最新LINUX漏洞

Sat, 02 May 2026 08:25:00 +0800

原创大兵说安全 2026-05-02 08:25 河南

近⽇，Linux Kernel 披露本地权限提升漏洞CVE-2026-31431，该可能导致本地普通⽤户提升⾄ root 权限。

近⽇，Theori / Xint Code 披露本地权限提升漏洞CVE-2026-31431，该漏洞⼜被称为Copy Fail。Ubuntu 安全公告显示该漏洞发布时间为2026-04-23，最近更新时间为2026-04-29；

该漏洞存在于 Linux 内核加密子系统相关逻辑中，攻击者在获得本地普通用户权限后，可通过 AF_ALG、splice() 与 authencesn 相关逻辑组合，触发对 page cache 的受控写入，从而实现本地提权。研究方称，公开 PoC 可在多个主流 Linux 发行版上将普通用户提升为 root。

该漏洞的危险点不在于远程直接入侵，而在于它会把“已经获得的低权限执行点”迅速放大为 root 权限。因此，对于多用户 Linux 主机、Kubernetes 节点、容器平台、CI/CD 构建机、自托管 Runner、云端 Notebook、沙箱执行环境等场景，风险显著高于普通单用户服务器。研究方特别指出，page cache 在宿主机范围内共享，因此该问题也具备容器逃逸和跨租户影响。

所以，对现在有很多这种养马的、养小龙虾的，特别是在用这种容器去跑的，尤其应该注意。

一、漏洞描述

CVE 编号：CVE－2026－31431

漏洞类型：内存破坏／逻辑错误

危险等级：高（High）

CVSS 评分：7.8 （CVSS：3.1／AV：L／AC：L／PR：L／UI：N／S：U／C：H／I：H／A：H）

受影响组件：Linux Kernel 中的crypto：algif＿aead模块（用户空间加密接口）

二、漏洞描述

该漏洞源于 Linux 内核加密子系统的 algif＿aead 模块在处理“原地操作”（in－place operation）时的逻辑缺陷。

技术细节：原本内核试图通过 72548b093ee3 次提交引入优化，允许在同一内存地址进行加密／解密映射。然而，由于 AEAD（关联数据的认证加密）的源地址和目的地址通常来自不同的映射，这种“原地”处理带来了极高的复杂度并导致了潜在的缓冲区溢出或内存损坏风险。

影响：本地攻击者可以利用此漏洞通过构造特定的加密请求，导致系统崩溃（DoS）或实现内核层面的权限提升（PrivilegeEscalation）。

三、影响范围

受影响系统：Debian 安全跟踪⻚⾯显示 bookworm、bullseye 等分⽀中的相关linux包仍有 vulnerable 状态记录,Linux 内核版本：⾃ 2017 年后引⼊该优化的所有发⾏版均受影响，包括但不限于：

CentOS 7/8/9

RHEL 7/8/9

Ubuntu 18.04–24.04

Debian 10/11/12

国产麒麟、统信等基于 Linux 的系统

建议重点排查以下环境：

1. 多⽤户共享服务器、堡垒机、CI/CD Runner、容器宿主机；

2. 允许低权限⽤户登录或执⾏代码的 Linux 主机；

3. Web 服务、应⽤服务、数据库服务等⼀旦被低权限⼊⼝突破即可继续本地提权的场景；

4. 云主机、Kubernetes Node、虚拟化宿主机等对本地提权⻛险敏感的基础设施。

三、修复建议

（一）、临时缓解⽅案

截⾄⽬前，部分主流 Linux 发⾏版稳定分⽀的内核安全更新仍可能未完全推送或尚未覆盖所有环境。对于暂时⽆法⽴即升级内核的系统，建议临时禁⽤ algif_aead 模块。公开缓解建议也明确提到，在补丁部署前可禁⽤ algif_aead 模块以降低攻击⾯。

1. 创建禁⽤配置⽂件

echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif_aead.conf

2. ⽴即尝试卸载已加载的模块

sudo rmmod algif_aead 2>/dev/null || true

3. 更新 initramfs（Ubuntu/Debian 建议执⾏）

sudo update-initramfs -u

4. 建议在业务允许的窗⼝重启服务器

sudo reboot

5. 验证是否⽣效，正常情况下应⽆输出

lsmod | grep algif_aead

如系统中确有显式依赖 AF_ALG AEAD 能⼒的业务，禁⽤前应进⾏兼容性评估。公开资料称，⼤多数常⻅场景如 dm-crypt/LUKS、kTLS、IPsec/XFRM、OpenSSL/GnuTLS/NSS 默认构建、SSH 等通常不通过 AF_ALG 使⽤该路径，但显式配置使⽤ AF_ALG 的⽤户态程序可能受影响。

如需恢复启⽤

1. 删除禁⽤配置⽂件

sudo rm -f /etc/modprobe.d/disable-algif_aead.conf

2. ⽴即尝试加载模块

sudo modprobe algif_aead

3. 验证是否加载成功

lsmod | grep algif_aead

（二）、⻓期修复⽅案。

请立即检查您的 Linux 内核版本，并同步至官方发布的稳定分支。

截至撰稿时间2026年4月30日 14:30

Debian 所有支持中版本仍未修复，请参考下文部署缓解措施。

https://www.suse.com/security/cve/CVE-2026-31431.html

https://www.openeuler.org/en/security/cve/detail/?cveId=CVE-2026-31431&packageName=kernel

Ubuntu 仅 26.04 LTS 不受影响，其他支持中版本仍未修复，请参考下文部署缓解措施。

https://access.redhat.com/security/cve/cve-2026-31431#cve-affected-packages

RHEL 8、9、10 仍未修复，请参考下文部署缓解措施。RHEL 6、7 不受影响。

https://ubuntu.com/security/CVE-2026-31431

openEuler 已独立验证 24.03、24.03-LTS-SP3 可复现，官方仍在调查中，请参考下文部署缓解措施。

https://security-tracker.debian.org/tracker/CVE-2026-31431

SUSE 12~16 仍未修复，请参考下文部署缓解措施。（除15.6、15SP6、16.0部分内核）

https://deb.freexian.com/extended-lts/tracker/CVE-2026-31431

（三）、安全审计建议

权限限制：由于该漏洞需要本地访问权限（Local Access），建议严格审查系统上的低权限用户账号，防止攻击者获取初始立足点。

日志监控：监控系统日志（如dmesg 或／var／log／syslog），关注与 crypto 或 segmentation fault 相关的内核异常。

建议处置优先级：

公⽹业务主机、CI Runner、容器宿主机、多⽤户登录主机 > 内⽹核⼼服务器 > 普通终端与低暴露⾯主机。

五、外部参考

Copy.fail 网站：https://copy.fail/
漏洞报告者 Xint Code 技术分析：https://xint.io/blog/copy-fail-linux-distributions
OSS-SEC 邮件列表： https://seclists.org/oss-sec/2026/q2/283
CNVD 安全公告：https://www.cnvd.org.cn/webinfo/show/12336

（图片由邵博同学提供）

感谢我公司邵博同学提供素材并进行漏洞验证。

跳转微信打开

你的备份安全吗？

Tue, 31 Mar 2026 19:32:00 +0800

原创大兵说安全 2026-03-31 19:32 河南

3月31号，国际备份日。关于备份的重要性，我想很多人应该都已经明白了。但我今天想强调的不是备份的重要性，而是你的备份文件安全吗？

3月31号，国际备份日。

关于备份的重要性，我想大家应该都已经明白了。很多人也都采取了备份手段保护自己的数据安全。

但我今天想强调的不是备份的重要性，而是——你的备份文件安全吗？

在防范勒索病毒的过程中，备份系统经常被视为数据保护的“最后一道防线”，为企业提供关键的数据恢复保障。然而，随着备份系统复杂性不断攀升，它如今却逐渐成为安全风险的源头之一。备份系统可能成为安全风险源，缺乏访问控制和安全测试令其易受攻击。

备份只是第一步，恢复才是企业的真正挑战。要确保数据可以恢复，就要确保备份数据的安全，包括以下几个方面：

1、完整性：备份数据是否完整？如何验证？

2、保密性：备份数据同样会造成数据泄露。

3、可用性：遇到灾难发生事件能否确定可以恢复？如何验证？

4、安全性：会不会被勒索病毒加密？备份数据的安全如何保障？

5、真实性：备份文件会不会被篡改？如何验证？

近年来，我们见过太多备份数据被加密和破坏的例子。因此不要以为备份了就是安全的，只有安全的备份才能确保数据可恢复。那么，我们应该如何保证备份数据的安全呢？

先来说说安全性。勒索是目前企业数据（含备份数据）遇到的最大的安全隐患，为了防止备份数据被勒索，一般有以下措施：

一、主动防御：在备份资料存取的过程中，透过备份软件自身的检测措施或备份服务器上安全软件的检测措施，例如检测文件签名（File Signatures）是否错误，检测文件名称、扩展名或存取权限是否出现异常变动，以及是否出现大规模文件内容的变动或删除行为等，来判断是否有勒索病毒入侵，并向用户管理者发出警报。

目前，一些备份软件自身具备防范勒索病毒攻击的功能模块，有的是利用病毒库技术，有的是利用行为检测技术，都可以抵御一部分对文件加密的攻击行为。但防御不可能做到100%。

二、被动防御：被动防御主要包括两类技术，不可变存储和AIR GAP。

不可变存储（Immutable storage）：采用一写多读（Write Once Read Many，WORM）等不可变存储技术，能够锁定备份副本的状态，防止备份副本遭到删除、覆盖或者修改。
WORM是一项历史悠久的技术。最初，WORM 技术是为了长期数据保存或合规性要求而诞生，通过存储介质的物理特性，或是存储系统底层软件、固件功能，确保写入存储介质或指定存储区的数据，无法再被更改或删除，以提供法律与诉讼上的有效性。
而利用 WORM 技术保存数据的特性，对于保障安全也能发挥作用。由于 WORM 能保证写入后的数据，状态不再变化 —— 既不可删除，也不可更改，彻底 “锁住” 了数据状态，那么自然也不会遭到勒索软件的加密。当 WORM 用于备份存储时，即使备份副本已感染勒索软件，但由于 WORM 机制已经 “锁住” 了数据状态，从根本上杜绝了勒索软件发作、加密或删除数据的可能性。

所以在勒索软件危害盛行的今日，WORM 技术也展现出应用于合规性以外领域的潜力，开始有厂商推出结合了 WORM 技术的备份防护解决方案。

一般来说，WORM 技术可以依照储存媒体的类型，分为光学媒体式与磁性媒体式两大类型，也可以依照 WORM「锁住」资料的方式，将 WORM 分为物理型、固件型与软件型等三大类，分别透过物理特性或机构，储存装置固件，或是储存系统软件，来提供 WORM 能力，这三种形式各自利用不同原理运作，从而拥有不同层次的保存资料能力，以及使用特性。。

物理型的WORM技术：利用存储介质本⾝的物理性质，或是物理机构方面的设计，来提供⼀写多读的能力。许多光学存储介质如CD-R、DVD-R等，都能透过材料本身的特性，提供只允许写入⼀次。物理型WORM最⼤优点是极为可靠，其防写措施是建立在存储介质的物理性质上，从根本上防止了删改资料的可能性，也不可能会被勒索病毒加密。光学式WORM的主要缺点，是使用较为不便。首先，光学介质的容量较⼩，目前主流单面单层DVD光盘（DVD-5）的容量为4.7GB（实际二进制容量为4.38GiB），而单面双层（DVD-9）的容量为8.5GB，双面单层（DVD-10）的容量为9.4GB，双面双层DVD光盘（DVD-18）的容量则可以达到17GB。对于大型数据中心动辄几百TB或上PB的数据，无疑极不为方便的。其次，光学式WORM离线存储装置，不能满足经常读取或检索的需求，因此适用于数据量不是太大，合规要求严，无需经常读取且需要长期保存（寿命可达50年）的冷数据，如金融原始凭证、司法证物、不可篡改永久归档等。除光学介质之外，还有带物理写保护拨片的磁带、磁盘；也同样算是一种物理的防写手段——当写入资料后，随即遮盖防写孔，便构成了一写多读应用，但这种防写能力是可逆的，只要解除防写孔就能写入资料。因此不算是彻底的WORM介质。

固件型的WORM技术：利用存储设备的固件，将存储介质设定为WORM格式，常见的如磁带。几乎所有主流磁带系统都能提供专用的WORM卡匣，透过磁带机的控制功能，与磁带槽上的识别微码配合。当磁带机识别出磁带是WORM形式时，便会禁止更改或删除已写入该磁带中的资料。如当前最普遍的LTO磁带，只要是LTO 3以后的规格，都有对应的WORM磁带版本。不过，即使是WORM磁带，理论上，也能透过从外部施加强力磁场的方式，透过消磁来强制删除这类磁性介绍中的资料，所以一般要配合实体管制措施，如防磁磁带柜，才能完整保证资料的完整性。磁带容量大（LTO8格式单盘容量12TB，LTO9格式单盘容量18TB）、保存时间长（约为30年以上），是目前很多大型数据中心冷数据备份的首选。
软件型的WORM技术：在存储阵列设备上，也能利用存储操作系统的软件功能，将指定的存储区域指定为一写多读，只要设定了WORM,即使是系统管理员，也无法删改该存储区域的资料。不过，与物理型或固件型WORM技术比起来，软件型WORM技术的防删改能力，仍相对不可靠，由于是依靠存储控制器的软件来提供WORM功能，其仍然是在线的，仍存在被绕过的可能，而且，只要将磁盘取出来，就失去了WORM特性。软件型WORM技术的优势，是使用便利，首先，是可透过CIFS/SMB、NFS等标准传输协议存取，满足快速读取与检索的需求。其次，可透过设定保存期限，提供「有管制」的可逆机制。⼀般来說，WORM软件都会提供设定保存期限的选项，让管理者选择「锁住」特定档案的时间，到期后，便会解除该档案的WORM状态，此后便能将资料删除，回收存储空间。

2. Air Gap技术：可以理解为离线技术，Air-Gap能将备份环境与可能的威胁来源隔离，特别是断开与网络和互联网的边接，减少备份副本暴露在攻击下的机会。

但实际上只有磁带、光盘这类可以实体移除、分离保存的抽取式储存装置，才能做到彻底的Air-Gap效果，也就是实体的离线（offline），通过网络将备份文件写入磁带或光盘后，就将这些存储介质取出，完全与前端生产环境断开，甚至断电，彻底确保攻击者无法接触与存取这些备份存储介质。

至于基于磁盘存储或云端存储的备份环境，虽然许多声称能提供Air-Gap机制，但其实都只是逻辑架构与设定上的「虚拟」隔离，利用存取控制技术来隔离备份环境与生产环境，而百真正断开实体的网络连接，因而仍存在着因不当的系统配置、系统漏洞或人为操作错误，导致隔离失效，备份文件暴露在网络上的可能性。

由于Air-Gap的目的是安全地保存关键资料副本，所以，原则上是与备份、归档系统结合使用，而非用于须承载线上即时存取服务的主存储系统。

广受推崇的3-2-1-1备份策略建议企业采用三种介质备份数据：两份存储于不同介质，一份异地存放，另一份采用物理隔离备份。通过将物理隔离备份与加密技术及只读写入磁带（WORM）相结合，可显著提升数据中心的网络安全韧性。

除此之外，要保证数据的完整可用。还需要具备以下技术：

1、完整备份。备份内容要完整，不仅要备份数据，有时候也要备份系统和运行环境。以避免数据无法运行的情况。在备份策略上，要有增量备份，还要定期进行完全备份或定期备份合并。笔者曾在一家客户单位见过一年做了一次完全备份，每天一次增量，我们去的时候已经两百多个增量文件了。这样也是极不安全的。

2、保存多个数据副本。按照32110的原则，至少要有三份数据，存储在两种不同的介质上，其中有一份在异地保存。我们见到过太多单位，将备份数据和业务数据存储在同一个存储设备上，结果遭遇硬件损坏或勒索病毒导致业务数据和备份数据都无法打开。

3、验证技术。备份完成后能对备份文件和原始文件进行完整性验证，确保数据一致性。也可以采用区块链技术，防止文件被篡改。

4、加密技术。备份文件要加密保存，防止备份被窃取，从中恢复数据。

5、灾难恢复演练。为确保数据可恢复，应定期对备份数据进行恢复演练。

最后，祝大家所有的数据“安全无忧”，“有备无患”。都能选择到合适自己的安全的备份软件。

所有不安全的备份都是在耍流氓。

历史文章阅读：

实时备份是个伪命题吗？

Sun, 29 Mar 2026 12:16:00 +0800

原创大兵说安全 2026-03-29 12:16 河南

为什么说实时备份是个伪命题？又为什么这种说法这么流行？什么场景适合实时备份？什么场景适合定时备份？

好久没有写文章了，今天之所以想写这个话题，是因为一个合作伙伴找我咨询产品，又提到了实时备份。

实时备份这个概念有一大半的客户来电都会提到，开始我还会很较真的跟客户解释，后来就懒的再解释了。

今天，我们就来聊聊“实时备份”这个话题。

先说结论：实时备份是个伪命题。

为什么是说实时备份是个伪命题

“实时备份”确实是一个在概念上存在矛盾的术语，为什么这么说呢？。

一、“备份”的本质是定时

1、传统的备份本质上是一个时间点的操作。无论是全量、增量还是差异备份，它都是在一个特定的时间点，对数据状态进行一次捕获和保存。这个操作本身是离散的、周期性的。这个操作需要时间，并且会产生性能开销。如果每秒都做一次全量或增量备份，数据库系统是无法承受的。因此，传统备份的恢复点目标（RPO）通常是几小时甚至几天。所以他不可能是实时的。

2、备份的核心目标是数据的历史保留和多版本化，主要用于应对数据误删、逻辑错误、版本回退或满足合规性要求。它的恢复点目标（RPO）不可能是0。为了保证备份数据安全，一般会遵循32110原则，其中有一个重要的要求就是要离线保存。

二、“实时”意味着持续性和同步

1、它追求的是RPO（恢复点目标）趋近于零，即几乎没有数据丢失。

2、实现这一目标的技术，其本质是复制（Replication），而不是备份（Backup）。它通过持续不断地将数据变化（如事务日志、数据块）从一个位置同步到另一个位置来实现。

所以，如果严格抠字眼，“实时备份”这个组合词本身就是不严谨的，它混淆了“数据保护”中两种不同目标和技术路径。从这个角度看，说它是一个“伪命题”或“营销术语”是有道理的。

为什么“实时备份”的说法如此流行？

尽管技术上不严谨，但“实时备份”这个词之所以被广泛使用，是因为：

营销需要：我们都知道，备份和复制是两种不是的技术路线，各有优缺点。两种技术的厂商也会互相攻击对方的缺点，同时自己也在想办法向对方靠拢，于是形成了一个新的概念，也就是所谓的实时备份，其本质还是复制技术，但同时也借鉴了备份技术。

客户期望：既然两种技术各有优缺点。对于客户来说，总想既要又要，这时，实时备份这个概念，客户就比较喜欢。用户最终关心的不是技术实现原理，而是业务结果。他们想要的就是“我的数据时时刻刻都是安全的，随时能恢复”。这个业务目标可以被简单概括为“实时备份”。

沟通便利：对于非技术人员或管理者来说，“备份”的概念很好懂，就是多一份数据，至于这个数据是什么格式？用的复制技术还是备份技术？这些并不重要，他比“高可用”、“同步异步”等概念更易懂、更基础。用“实时备份”来描述HADR等技术的最终效果（数据不丢失、业务快速恢复），在沟通上非常高效。

什么场景适用“实时备份”

实时备份（含同步复制、CDP持续数据保护）和定时备份的核心区别在于 RPO（恢复点目标，即能容忍丢失多少数据）与对业务系统的影响。实时备份追求 RPO ≈ 0（近乎零丢失），但占用资源和成本较高；定时备份允许一定量的数据丢失，但资源占用少且架构简单。

选择什么样的技术主要参考以下几个指标：

1、RPO：恢复点目标，即能容忍丢失多少数据。可以考虑以下问题：

如果丢失 1 小时的数据，公司是否会产生重大经济损失或不可逆的品牌声誉风险？
业务系统的数据写入频率是否极高（如每秒数千笔），且无法容忍任何积压？

如果答案都是肯定的。那么就要采用实时技术。

2、RTO：恢复时间目标，即出现故障后多长时间可以恢复。备份的数据需要经过恢复的过程才能使用，RTO的时间相对要长一些。

3、数据保存时间：备份数据可以长时间保存，对于一些合规要求长时间保存的数据，一般采用备份技术，保存在磁带或光盘等离线介质上。

4、故障类型：复制技术一般针对硬件故障，不能解决逻辑错误。而备份可以针对硬件故障，也可以针对逻辑错误。因为备份可以保留多版本，实现版本回退。

5、数据类型：对于结构化数据和读写频繁的热数据，一般采用同步技术为主，备份技术为辅。对于非结构化数据和不经常使用的冷数据，一般采用备份技术。

6、成本：实时对网络带宽要求高，存储一般使用SSD或SAS硬盘，另外，为实现接管需要，对备用服务器的性能要求和原环境接近，所以存储成本和算力成本较高。而备份数据存储一般使用SATA硬盘或者离线保存介质如磁带和光盘，存储成本和算力成本较低。

定时备份适用的业务场景：

1、配合归档策略的冷数据：需要长期保留用于合规审计的数据，如医院PACS数据，按国家规定门诊记录保存15年，住院记录保存30年。实时备份的成本过高，定时备份并转磁带/对象存储是更合适的选择。

2、非核心业务系统：如企业内部知识库、公告栏等系统。即使丢失最近 24 小时的数据，也基本不影响企业核心运营，业务部门可接受通过人工补录恢复。

3、高吞吐、低敏的日志/监控数据：如 IoT（物联网）传感器数据、服务器监控指标。数据量极大，若采用实时备份，网络和存储成本会急剧膨胀；定时备份可在业务低峰期压缩传输，性价比更高。

4、静态网站或内容管理系统：内容更新频率低（如企业官网、新闻发布站），每次更新后手动或每日备份即可满足恢复需求。

实时技术适用的场景：

1、交易系统：如银行核心账务、互联网电子商务平台、证券交易、支付网关。每一笔交易都涉及资金流动，丢失几秒甚至毫秒级的数据都会造成对账差异和资损。

2、数据库系统（高敏）：如 Oracle、MySQL 等关系型数据库，且开启了 Binlog/Archive Log 实时同步。适用于 ERP（企业资源计划系统）、CRM（客户关系管理系统）等核心业务库，一旦宕机，业务链条会瞬间中断。

总结

技术没有好坏之分，只有适合不适合。希望大家能根据自身业务场景选择适合的技术。

在实际生产环境中，推荐对数据分层，采用多种数据保护方式相结合：

核心库：采用实时技术（CDP/同步复制） + 每日定时全量/增量备份。实时技术用于应对软硬件故障时的分钟级接管，定时备份用于应对逻辑错误（如数据误删、SQL 语句误执行）后的定点回滚。

非核心系统和非结构化文件：采用定时备份（每日增量，每周全量），但对关键子目录（如财务共享文件夹）单独开启实时同步。
注：备份数据不要使用SSD硬盘存储，易丢失且不可恢复。

昭君博物馆

Fri, 20 Mar 2026 15:20:00 +0800

大兵说安全 2026-03-20 15:20 内蒙古

昭君博物馆

跳转微信打开

前几天跟几个朋友聊天，说到一个为什么南北

Mon, 16 Feb 2026 12:51:52 +0800

大兵说安全河南

前几天跟几个朋友聊天，说到一个为什么南北方小年不是同一天的民间传说，我突然想起来小时候我还帮忙整理过一个民间传说的书，回家找了一下果然找到了。

这是濮阳县文化馆当年的一个活动，对各种民间传说、戏曲等进行整理，90年出版的，当时我上初中，每天放学回家就帮忙校对文稿，也参与一些故事的记录。包括姥姥讲的一些民间故事，印象比较深的是王二麻子系列故事（有点像新疆的阿凡提），还有她讲的《女儿经》，这些故事估计现在的孩子都没有听说过了。

#民间传说故事 #濮阳县民间文学

跳转微信打开

国家互联网信息办公室关于《互联网应用程序个人信息收集使用规定（征求意见稿）》公开征求意见的通知

Sat, 24 Jan 2026 14:44:00 +0800

大兵说安全 2026-01-24 14:44 河南

为规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，现向社会公开征求意见。

为规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见：

1.登录中国网信网（www.cac.gov.cn），进入首页“网信要闻”查看文稿。

2.通过电子邮件方式发送至：shujuju@cac.gov.cn。

3.通过信函方式将意见寄至：北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局，邮编100048，并在信封上注明“互联网应用程序个人信息收集使用规定征求意见”。

意见反馈截止时间为2026年2月9日。

附件：《互联网应用程序个人信息收集使用规定（征求意见稿）》

国家互联网信息办公室

2026年1月10日

互联网应用程序个人信息收集使用规定

（征求意见稿）

第一章总则

第一条 为了规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，制定本规定。

第二条 在中华人民共和国境内运营互联网应用程序过程中收集使用个人信息，以及软件开发工具包、分发平台、智能终端等为互联网应用程序收集使用个人信息活动提供服务的，应当遵守相关法律法规和本规定的要求。

互联网应用程序在中华人民共和国境外收集使用中华人民共和国境内自然人个人信息的活动，符合《中华人民共和国个人信息保护法》第三条第二款规定情形的，适用本规定。

第三条 收集使用个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式收集使用个人信息。

收集使用个人信息应当向个人信息主体充分告知收集使用规则，并取得个人信息主体同意；收集使用敏感个人信息的，应当取得个人信息主体的单独同意。法律、行政法规另有规定的，依照其规定。

收集使用个人信息应当采取对个人信息主体权益影响最小的方式，限于提供产品或者服务所必需，不得超范围收集使用个人信息。

不得以个人信息主体不同意收集使用其个人信息或者撤回同意为由，拒绝提供产品或者服务，个人信息属于提供产品或者服务所必需的除外。

第四条 互联网应用程序、软件开发工具包运营者分别对所运营的互联网应用程序、软件开发工具包个人信息收集使用活动及安全保护承担主体责任。

互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。未能进行有效审核，对个人信息主体权益造成损害的，依法承担相应责任。

第五条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对汇聚、关联后属于国家秘密事项的个人信息，按照国家有关安全保密规定加强管理。

互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对掌握的属于通信秘密的个人信息，不得对内容进行检查，不得向第三方提供。法律、行政法规另有规定的，依照其规定。

第六条 鼓励行业组织建立完善行业自律机制，制定个人信息保护行业规范和自律公约，指导会员单位依法依规开展个人信息收集使用活动，接受社会监督。

第二章互联网应用程序运营安全管理要求

第七条 互联网应用程序收集使用个人信息应当遵循公开、透明原则，制定公开个人信息收集使用规则，通过清晰易懂的语言真实、准确、完整、逐项列明下列事项：

（一）运营者名称或者姓名和有效的联系方式；

（二）以结构化清单形式列明每项功能服务收集使用个人信息的目的、方式、种类，调用权限名称、频度，收集使用敏感个人信息的必要性以及对用户权益的影响；

（三）嵌入软件开发工具包的，应当以结构化清单形式列明嵌入的软件开发工具包名称（包名）、版本、主要功能、运营者名称或者姓名、收集使用个人信息的种类和完整的软件开发工具包个人信息收集使用规则链接；

（四）个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法；

（五）用户查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等；

（六）法律、行政法规规定应当告知的其他事项。

互联网应用程序对于前款所述重点内容，应当以加粗字体、放大字号、标记不同颜色等显著方式向用户提示。

第八条 收集使用个人信息的目的、方式、种类、保存期限或者保存期限的确定方法，调用权限名称、频度和嵌入的软件开发工具包收集使用个人信息行为等情况发生变化的，互联网应用程序应当及时修订、更新个人信息收集使用规则。

注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂的互联网应用程序依照前款规定修订、更新个人信息收集使用规则的，应当同步通过互联网应用程序首页、官方网站、公众号等途径公开征求意见，征求意见期限不少于7个工作日。

第九条 互联网应用程序应当在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则，并在用户充分知情的前提下，取得用户同意规则的明确表示。

互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意。互联网应用程序应当在设置页面等醒目位置提供个人信息收集使用规则一键访问功能，方便用户查阅和保存。

互联网应用程序更新个人信息收集使用规则，符合第八条第一款所列情形的，应当通过弹窗、消息推送等显著方式及时向用户告知更新的具体内容，并重新征得用户同意。

第十条 互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息，确需用于满足通讯联系、添加好友、数据备份的除外。

互联网应用程序收集使用前款个人信息，属于通信秘密的，应当符合本规定第五条第二款规定。

第十一条 互联网应用程序应当提供基于功能场景的个人信息收集使用配置选项，允许用户根据需要，同意部分功能场景收集使用相关个人信息。

第十二条 互联网应用程序应当在用户使用具体功能时方可索要对应的必要个人信息权限，并同步告知使用目的，不得提前索要。用户拒绝的，互联网应用程序不得频繁索要影响用户正常使用其他功能。

第十三条 互联网应用程序不得在用户同意个人信息收集使用规则前收集使用个人信息，不得超出用户同意的目的、方式、种类、保存期限收集使用个人信息。

互联网应用程序调用权限需与当前功能场景直接相关，应当仅在用户使用具体功能时以所需的最低频度、最小范围收集个人信息。在当前功能场景不再需要权限时停止调用权限，不得收集非必要个人信息、调用非必要权限。

第十四条 互联网应用程序应当仅在用户主动选择使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限，不得在用户停止使用相关功能或者无关场景调用相机、麦克风权限。

互联网应用程序在地图导航、路径记录、外卖闪送、位置共享等需要实时定位的场景，持续调用位置权限的频率应当限于实现业务功能的最低频度；在添加地点、内容搜索、内容推荐、广告营销等需单次定位场景，应当仅在用户进入功能界面或者用户主动刷新时调用一次位置权限。除法律、行政法规另有规定或者所提供业务功能确需后台持续获取位置外，互联网应用程序不应索要后台访问用户位置信息权限。

用户选择使用上传或者发送图片、文件等功能，互联网应用程序可使用智能终端提供的存储访问框架实现的，不得索要手机相册、通讯录、短信、存储等权限。互联网应用程序通过提供文件编辑、文件备份等功能获得存储权限的，不得访问用户主动选择以外的文件。

第十五条 互联网应用程序收集人脸、指纹、声纹等生物识别信息应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格的保护措施。

除法律、行政法规另有规定或者取得用户单独同意外，互联网应用程序收集使用人脸、指纹、声纹等信息应当存储于生物识别设备内，不得通过互联网对外传输。除法律、行政法规另有规定外，生物识别信息的保存期限不得超过实现处理目的所必需的最短时间。

第十六条 互联网应用程序运营者应当采取充分的管理措施和必要的技术措施，严格落实未成年人个人信息保护要求，切实防范未成年人个人信息泄露、篡改、丢失。

互联网应用程序收集使用不满十四周岁未成年人个人信息的，应当制定专门的个人信息收集使用规则，并取得未成年人父母或者其他监护人的同意。

第十七条 互联网应用程序通过自动化决策方式向用户进行信息推送、商业营销的，应当设置易于理解、便于访问和操作的个性化推荐关闭选项。

用户关闭个性化推荐功能时，互联网应用程序应当停止将用户相关个人信息用于个性化推荐目的。

第十八条 互联网应用程序应当为用户提供注销账号的便捷功能。用户注销账号的，除确有必要用于防范黑灰产、安全风控等情形，互联网应用程序不得要求用户新增提供人脸、手持身份证照片等超出互联网应用程序已收集范围以外的个人信息。

用户注销账号的，互联网应用程序应当在15个工作日内完成账号注销，删除已收集的相关个人信息或者进行匿名化处理，法律、行政法规另有规定的除外。

对于同一企业主体或者集团旗下多款互联网应用程序采用统一账号进行一体化管理的，应当允许用户选择注销其中一款互联网应用程序账号，或者允许用户选择关闭该账号在此互联网应用程序的使用权限，并删除仅用于此互联网应用程序的个人信息。

第十九条 互联网应用程序应当与嵌入的软件开发工具包约定收集使用个人信息的目的、方式、种类和安全保护责任及违约责任，并采取有效的技术措施对嵌入的软件开发工具包个人信息收集使用行为进行审核，确保软件开发工具包实际个人信息收集和权限调用行为与互联网应用程序个人信息收集使用规则中声明的软件开发工具包相关内容保持一致。

用户向互联网应用程序提出查阅、复制、更正、补充、删除、限制处理其个人信息，或者注销账号、撤回同意等相关请求涉及软件开发工具包个人信息收集使用活动的，互联网应用程序应当将用户请求及时通知软件开发工具包，并督促软件开发工具包及时响应用户请求。

第二十条 互联网应用程序就个人信息收集使用行为进行优化、改进，发布或者更新版本后，应当采取有效方式提醒用户进行版本升级，并对所有授权发布渠道的旧版本互联网应用程序进行更新替换。

第二十一条 鼓励互联网应用程序接入国家网络身份认证公共服务，用以支持用户使用网号、网证登记、核验真实身份信息。

用户选择使用网号、网证登记、核验身份信息并通过验证的，互联网应用程序不得强制要求用户另行提供明文身份信息，法律、行政法规另有规定或者用户同意提供的除外。

第三章软件开发工具包运营安全管理要求

第二十二条 软件开发工具包收集使用个人信息的，应当制定个人信息收集使用规则并在产品官方网站公开。

对于同时运营多个历史版本的，软件开发工具包应当在个人信息收集使用规则中列明不同版本个人信息收集使用行为。

软件开发工具包收集使用个人信息的目的、方式、范围等发生变化的，应当同步更新相应的个人信息收集使用规则。

第二十三条 软件开发工具包不得超出收集使用规则声明的范围收集使用个人信息，不得超出实现业务功能的最小范围收集使用个人信息，不得超出实现业务功能的最低频度调用权限。

第二十四条 软件开发工具包应当提供基于功能的个人信息配置选项，允许互联网应用程序按照不同功能需要对软件开发工具包个人信息收集行为进行管理配置。

软件开发工具包通过自动化决策方式向用户进行信息推送、商业营销的，应当向互联网应用程序提供个性化推荐关闭选项，在关闭后停止将用户相关个人信息用于个性化推荐目的。

软件开发工具包应当及时响应互联网应用程序通知的用户个人信息查阅、复制、更正、补充、删除、限制处理等相关请求。

第二十五条 软件开发工具包应当建立有效方式和途径，直接响应用户查阅、复制、转移、更正、补充、删除、限制处理个人信息的请求，相关方式和途径应当在个人信息收集使用规则中予以列明。

第四章应用程序分发平台安全管理要求

第二十六条 分发平台应当加强互联网应用程序上架审核，建立互联网应用程序收集使用个人信息规范性档案，在受理互联网应用程序发布及版本更新上架申请时，登记并核验互联网应用程序运营者的真实身份、联系方式等信息，记录互联网应用程序个人信息收集使用问题以及因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的情况。对未提供相关信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予上架。

分发平台在上架审核中应根据互联网应用程序运营者获得个人信息保护认证和互联网应用程序安全认证的结果，予以优先展示推荐。

分发平台应当自本规定生效之日起6个月内，完成对在架存量互联网应用程序的审核，审核不通过的予以清理下架。

第二十七条 分发平台应当在互联网应用程序分发、下载页面，清晰准确展示下列信息：

（一）互联网应用程序运营者名称或者姓名、联系方式；

（二）互联网应用程序主要功能介绍；

（三）互联网应用程序运行所需具体权限列表；

（四）个人信息收集使用规则文本或者链接；

（五）对因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的互联网应用程序，应当自通报或处罚之日起6个月内，在分发、下载页面发布个人信息安全风险提示。

第二十八条 对履行个人信息保护职责的部门认定存在违法违规收集使用个人信息行为的互联网应用程序，分发平台应当积极配合采取警示、不予分发、暂停分发或者终止分发等处置措施。

第五章智能终端安全管理要求

第二十九条 智能终端厂商在受理互联网应用程序预置申请时，应当登记并核验互联网应用程序运营者的真实身份、联系方式等信息，对未提供上述信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予预置。

第三十条 互联网应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，根据权限特点提供可基于时间、频度、精度等精细化授权模式选项。

第三十一条 智能终端应当在屏幕顶部等显著位置，以易于理解的图标等显著标识，如实地向用户提示当前正在调用的麦克风、摄像头、位置等权限。

第三十二条 智能终端应当如实记录并集中展示互联网应用程序调用日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限情况；互联网应用程序后台静默期间自启动、关联启动情况；互联网应用程序通过智能终端收集剪切板、设备唯一标识、应用程序列表等个人信息行为。记录规则应当予以公开。

智能终端应当准确提示互联网应用程序调用权限可能带来的安全风险。

第六章监督管理

第三十三条 国家网信部门负责统筹协调和监督管理互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作。国务院电信主管部门、公安部门和其他有关机关依照有关法律法规和本规定的要求，在各自职责范围内负责互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。

地方网信部门负责统筹协调和监督管理本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作，地方电信管理部门、公安部门和其他有关机关依据各自职责做好本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。

第三十四条 互联网应用程序、软件开发工具包运营者应当在产品官方网站、个人信息收集使用规则中提供有效的、易于访问的投诉举报渠道，健全投诉举报的受理、处置、反馈机制，在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处置个人信息相关投诉。

互联网应用程序运营者应当同时受理、处置、反馈关于嵌入的软件开发工具包相关个人信息问题举报，核验属实的，应当督促软件开发工具包运营者进行整改。分发平台运营者、智能终端厂商应当同时受理、处置、反馈关于分发和预置的互联网应用程序相关个人信息问题举报，核验属实的，应当督促互联网应用程序运营者进行整改。

第三十五条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当制定内部管理制度和操作规程，建立健全内部合规管理体系和问责机制，防止个人信息被用于电信网络诈骗等违法犯罪活动，充分保护用户个人信息。

互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当对履行个人信息保护职责的部门依法开展的个人信息保护监督检查予以配合，并提供必要的技术支持和协助。

第三十六条 互联网应用程序、软件开发工具包运营者应当强化对个人信息查阅、复制、修改、删除等操作的权限管理，采取加密、去标识化等安全技术措施，防止个人信息泄露、丢失或者未经授权的访问。

发生个人信息泄露、丢失的，互联网应用程序、软件开发工具包运营者应该将泄露个人信息的种类、原因、可能造成的危害、采取的补救措施等信息及时告知用户，并向履行个人信息保护职责的部门报告。

第三十七条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商违反本规定的，履行个人信息保护职责的部门依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等相关法律法规处理；构成犯罪的，依法追究刑事责任。

第七章附则

第三十八条 本规定中下列用语的含义：

互联网应用程序（App），是指智能终端预置、下载安装的应用软件，以及基于应用软件开放平台接口开发的、无需安装即可使用的小程序、快应用等。

互联网应用程序运营者，是指互联网应用程序的开发者、所有者、管理者或者提供者。

软件开发工具包（SDK），是指协助软件开发的软件库。

软件开发工具包运营者，是指软件开发工具包的开发者、所有者、管理者或者提供者。

个人信息主体，是指个人信息所标识或者关联的自然人。

用户，是指使用互联网应用程序相关功能服务的自然人。

分发平台，是指通过互联网提供互联网应用程序发布、下载、动态加载等服务提供者，包括应用商店、应用市场、快应用中心、小程序平台等。

智能终端，是指能够接入公众网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。

必要个人信息，是指为了保障基本功能服务或者用户所选择使用的功能服务正常运行所必需的个人信息，缺少该信息无法向用户提供相应的功能服务。

可收集个人信息权限，是指智能终端操作系统向互联网应用程序开放的，具有收集个人信息功能的系统权限，包括日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等，简称权限。

第三十九条 本规定自年月日起施行。

阅读原文

跳转微信打开

教你如何看懂反病毒报告（三）

Fri, 28 Nov 2025 23:09:00 +0800

原创大兵说安全 2025-11-28 23:09 河南

今天介绍关于木马的分类和命名

前情回顾：

在前文《教你一招，轻松变成反病毒高手》中，我们讲了国际上病毒的命名规则：

[前缀]：类型（行为）.平台.名称.[变种]

在《教你如何看懂杀毒软件病毒报告！》中，我们讲了前缀的含义。

在《教你如何看懂反病毒软件报告（二）》中，我们讲了类型中病毒和蠕虫的命名方式。

今天，我们接着讲木马。

【二、木马】

木马程序是指执行未经用户授权操作的恶意程序：它们删除、阻塞、修改或复制数据，并且破坏计算机或计算机网络的性能，或者利用被害计算机的能力进行恶意或犯罪的目的，比如攻击他人、发送垃圾邮件等。

木马与传统的远程管理软件（RMM）从本质上来讲，性质是差不多的，都是可以远程控制对方的电脑，不同的是一个是经过授权的，一个是未经授权的。

与病毒和蠕虫不同，属于此类的威胁不能产生自身的副本或执行自我复制的动作。木马程序根据它们在受感染的计算机上执行的操作类型进行分类。

卡巴将木马按照其主要行为特征分为如下类型——

1、Backdoor后门木马。

这是最危险的木马病毒类型之一。后门程序能让木马作者或操控者远程控制受害者的计算机。与合法远程管理工具不同，这类程序会在用户不知情的情况下悄然安装、启动并运行。一旦植入，后门就能被编程执行发送、接收、执行和删除文件等操作，还能窃取机密数据、记录系统活动日志等等。如：

BackDoor.Win32.xxx

BackDoor.WinCE.xxx

2、Exploit

漏洞利用程序是包含数据或可执行代码的程序，其明显出于恶意目的，利用本地或远程计算机上运行的软件的一个或多个漏洞。恶意用户经常利用漏洞攻击来侵入受害者的计算机，以便随后安装恶意代码（例如，使受感染网站的所有访问者都受到恶意程序的感染）。此外，Net-Worms通常使用漏洞攻击来黑进受害者的计算机，而无需用户采取任何行动。 Nuker程序是值得注意的漏洞之一；此类程序向本地或远程计算机发送精心设计的请求，导致系统崩溃。

Exploit.HTML.xxx ：在HTML网页中利用IE漏洞的工具

Exploit.IFrame.xxx ：利用IE的IFrame漏洞的攻击器

Exploit.IIS.xxx ：利用IIS漏洞的攻击器

Exploit.JS.xxx ：JavaScript写的漏洞利用器

Exploit.Linux.xxx ：Linux系统的漏洞利用器

Exploit.Win32.xxx ：Win32程序的漏洞利用器

Exploit.HTML.xxx ：在HTML网页中利用IE漏洞的工具

Exploit.IFrame.xxx ：利用IE的IFrame漏洞的攻击器

Exploit.IIS.xxx ：利用IIS漏洞的攻击器

Exploit.JS.xxx ：JavaScript写的漏洞利用器

Exploit.Linux.xxx ：Linux系统的漏洞利用器

Exploit.Win32.xxx ：Win32程序的漏洞利用器

3、Rootkit

Rootkit——用来隐藏系统中某些对象或活动的软件工具的程序或集合。一般来说，网络犯罪分子会隐藏恶意对象自动运行的注册表项，以及受感染计算机内存中的文件、文件夹、进程和恶意网络活动。它们可以阻碍文件或注册表项的删除。

该技术本身不会对计算机造成直接伤害。在绝大多数情况下，它们与其他恶意软件一起使用，以防止检测和最大限度地在受害者电脑上的停留时间。

4、Trojan

木马程序是具有恶意的软件，会执行未经用户授权的操作：删除、拦截、篡改或复制数据，并破坏计算机或网络系统的正常运行。与病毒和蠕虫不同，这类威胁无法自我复制或自我传播。最早出现于20世纪80年代末的木马程序，最初伪装成无害程序。当用户误以为这是正常程序并运行时，木马便会植入其恶意代码。在个人电脑恶意软件的早期阶段，由于开发者必须手动分发木马，这类程序相对少见。

Trojan-AOL.Win32.xxx ：AOL木马，一般表现为偷AOL密码
Trojan.BAT.xxx ：BAT脚本写的木马
Trojan.DOS.xxx ：DOS可执行程序木马
Trojan.JS.xxx ：JavaScript脚本木马
Trojan.MSWord.xxx ：MS Word宏木马
Trojan.SymbOS.xxx ：Symbian OS系统上的木马
Trojan.VBS.xxx ：VBS脚本写的木马
Trojan.Win32.xxx ：一般的Win32程序木马

5、Trojan-ArcBomb 压缩包炸弹

“ArcBomb” 是单词 “archive” 和 “bomb.”的组合。

这类特洛伊木马程序设计的目的是冻结或降低系统性能，或在解压存档数据时用大量“空数据”淹没磁盘。当使用自动化处理系统处理传入数据时，所谓的“归档炸弹”对文件和邮件服务器构成特殊威胁——这种恶意程序可能直接导致服务器崩溃。

这种类型的木马使用三种类型的“炸弹”：

制作不当的存档头：在处理归档内容时，错误的归档头或归档中损坏的数据可能导致特定的封隔器或解包算法崩溃。
重复[循环]数据：包含重复数据的大尺寸文件使得可以将文件打包到一个小的归档中（例如，5GB的数据可以打包到一个200KB的RAR或一个480KB的ZIP归档中）。
存档中相同的文件：当使用特殊方法打包大量相同的文件时，它们对归档的大小影响很小（例如，有方法将10100个相同的文件打包到30KB的RAR或230KB的ZIP归档中）。

6、Trojan-Banker

该类恶意程序程序旨在窃取与网上银行系统、电子支付系统和信用卡系统有关的用户账户数据。然后，该数据被传输给控制该木马的恶意用户。可以使用电子邮件、FTP、网络（包括请求中的数据）或其他方法来传输被盗的数据。

7、Trojan-Clicker

木马点击器是广告欺诈的一种形式。它反复连接到一个特定的广告支持的网页，授予网站所有者按点击付费广告的收入。

它们被网络罪犯用于：

增加访问数量以增加广告收入。
引诱潜在的受害者下载病毒或木马。
从广告网络中虚假增加点击量中获利。

Trojan-Clicker.Win32.xxx ：木马体为Win32 PE程序

8、Trojan-DDoS

这种类型的恶意程序用于对预定义地址的计算机进行DoS攻击。

本质上，DoS攻击涉及向受害者机器发送大量请求；如果受到攻击的计算机没有足够的资源来处理所有传入的请求，这就会导致拒绝服务。

为了成功地进行DoS攻击，恶意用户通常会提前用这种类型的木马感染许多计算机（例如，作为大量垃圾邮件的一部分）。因此，所有受感染的计算机都会攻击受害者的机器。

9、Trojan-Downloader

该类程序用于下载并安装恶意程序到受害者的计算机上，包括木马和广告软件等。一旦从互联网上下载，这些程序就会被启动或包含在一个程序列表中，这些程序将在操作系统启动时自动运行。有关被下载的程序的名称和位置的信息在木马代码中，或由木马从一个互联网资源（通常是一个网页）下载。

这种类型的恶意程序经常用于访问者对包含漏洞的网站的初始感染。网页挂马挂的一般都是此类木马。

Trojan-Downloader.Js.xxx ：JavaScript写的木马下载器

Trojan-Downloader.VBS.xxx ：VbScript写的木马下载器

Trojan-Downloader.Win32.xxx ：本身是Win32 PE的木马下载器

10、Trojan-Dropper

这种类型的恶意程序通常会将一系列文件保存到受害者的驱动器中（通常保存到Windows目录、Windows系统目录、临时目录等），并在没有任何通知（或有存档错误、操作系统版本过时的虚假通知等）的情况下启动它们。类似于木马下载器，不同的是木马下载器需要联网下载额外的恶意软件。而Dropper中则包含恶意安装代码。

这些程序被黑客用于：

秘密安装木马程序或病毒
保护已知的恶意程序不被防病毒解决方案检测到；并不是所有的防病毒程序都能够扫描这类木马中的所有组件。

Trojan-Dropper.Ichitaro.xxx ：木马本身是一个Ichitaro文件（JTD），Ichitaro是日本最流行的文本编辑器

Trojan-Dropper.MSWord.xxx ：木马本身是一个Word宏，被包含在一个Word文档中

Trojan-Dropper.JS.xxx ：JavaScript写的木马释放器

Trojan-Dropper.VBS.xxx ：VbScript写的木马释放器

Trojan-Dropper.Win32.xxx ：本身是Win32 PE程序的木马释放器

11、Trojan-FakeAV

微软定义为：Rogue security software流氓安全软件

一类模拟杀毒软件或部分操作系统安全模块的活动的恶意程序。这些程序旨在向用户勒索金钱，以换取所谓的检测和消除威胁，而这些威胁实际上是不存在的。一般来说，这个恶意软件显示了许多重复的弹出窗口，试图让用户担心他们的系统的安全，并为假的AV软件付费。此外，Trojan-FakeAV程序可以阻止计算机正常工作，但并不能完全抑制操作系统，以使用户相信该威胁是可信的。

12、Trojan-GameThief

这种类型的恶意程序旨在窃取在线游戏的用户账户信息。然后，这些数据将被传输给控制该木马的恶意用户。可以使用电子邮件、FTP、网络（包括请求中的数据）或其他方法来传输被盗的数据。

13、Trojan-IM

一种恶意程序，旨在窃取即时通信软件中的用户帐户凭证，如Facebook Messenger、Skype和 Telegram。从受感染的计算机中检索到的信息将被发送给网络罪犯。

14、Trojan-Mailfinder

这种类型的恶意程序被设计为从计算机中获取电子邮件地址，然后通过电子邮件、web、FTP或其他方法将它们发送给恶意用户。被盗的地址就会被网络罪犯用来大量发送恶意软件和垃圾邮件。

15、Trojan-Notifier

一种向网络犯罪分子发出受感染设备与网络连接的信号的恶意程序。该消息包含有关计算机或智能手机及其所有者的信息，例如，IP地址、打开的端口号和电子邮件。信号可以通过电子邮件、网络罪犯网站上的特殊电话或即时消息发送。

此类程序在多组件特洛伊木马中用于通知攻击者在目标系统中成功安装恶意程序。

16、Trojan-Proxy

木马代理程序的设计目的是让恶意用户通过受害者的计算机访问各种互联网资源。这些恶意程序通常用于发送大量的垃圾邮件。

Trojan-Proxy.Win32.xxx ：目前只有这一类，木马都是Win32 PE程序

17、Trojan-PSW

Trojan-PSW程序旨在从受感染的计算机上窃取用户的账户信息，如登录名和密码。PSW是偷密码软件（Password Stealing Ware）的首字母缩写。

当启动时，PSW木马会搜索存储一系列机密数据或注册表的系统文件。如果发现这样的数据，木马将其发送到它的“控制端”。可以使用电子邮件、FTP、网络（包括请求中的数据）或其他方法来传输被盗的数据。

一些这样的木马程序还窃取了某些软件程序的注册信息。

Trojan-PSW.Win32.xxx ：体为Win32 PE程序

Trojan-PSW.VBS.xxx ：VbScript写的偷密码木马

18、Trojan-Ransom

这种类型的木马会修改受害者计算机上的数据，从而使受害者不能再使用这些数据，或者它会阻止计算机正确运行。一旦数据被“劫持为人质”（被屏蔽或加密），用户将会收到赎金要求。

赎金要求告诉受害者发送恶意用户的金钱；收到这些信息后，网络罪犯将向受害者发送一个程序来恢复数据或恢复计算机的性能。

如果你被勒索病毒勒索了……

勒索软件 — 定义、预防和删除

19、Trojan-SMS

短信木马攻击移动设备的消息传递服务，拦截短信。他们还可以向高级费率的短信号码发送短信。卡巴斯基实验室在2010年4月检测到了第一个安卓短信木马。

Trojan-SMS.J2ME.xxx ：Java平台手机短消息木马
Trojan-SMS.SymbOS.xxx ：SymbOS平台手机短消息木马

20、Trojan-Spy

木马间谍程序用于监视用户的行为（跟踪通过键盘输入的数据，制作屏幕截图，检索正在运行的应用程序列表等）。然后，收集到的信息被传输给控制该木马的恶意用户。可以使用电子邮件、FTP、web（包括请求中的数据）和其他方法来传输数据。

Trojan-Spy.HTML.xxx ：一类利用IE的框架欺骗漏洞（MS04-004）的间谍木马
Trojan-Spy.Linux.xxx ：Linux系统的间谍木马
Trojan-Spy.Win32.xxx ：Win32 PE程序的间谍木马
Trojan-Spy.SymbOS.xxx ：SymbOS系统的间谍木马

木马部分介绍完了，下一篇继续，敬请关注

敲字不易，如需转载文章：

1、请先在大兵说安全的公众号后台留言，注明转载的【文章题目】以及转载的平台【您的公众号ID】，我会给您添加白名单授权。

2、转载公众号文章请在文首备注以下信息：

公众号：大兵说安全（ID：dabingshuoanquan)

作者：大兵

历史文章查看：

新版《网络安全法》来了，看看变动在哪

Wed, 29 Oct 2025 16:48:00 +0800

大兵说安全 2025-10-29 16:48 河南

新修订的《中华人民共和国网络安全法》于2025年10月28号经第十四届全国人民代表大会常务委员会第十八次会议通过。对比老版的，看看区别在哪？

新修订的《中华人民共和国网络安全法》于2025年10月28号经第十四届全国人民代表大会常务委员会第十八次会议通过。新版的网络安全法共七章81条，较老版的七章79条增加了两条，现将详细对比列示如下：

绿色为新增，黄色为修改，红色为删除

第一章总则

2016版第一章共14条，新版增加了第三条：

第三条网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。

突出了党的网络安全的领导地位，将网络安全纳入国家安全的一部分。

第二章网络安全支持与促进

将原来的第18条：

国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。

调整为第十九条，将原来18第第二款调整为第二十条，并将其中的运用网络新技术，修改为运用人工智能等新技术，同时将增加了关于人工智能的内容：

第十九条国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

第二十条国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。

国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。

第四章网络信息安全

原文第四十条：

第四十条网络运营者应当对共收集的用户信息严格保密，并建立健全用户信息保护制度。

修改为第四十二条，并增加了对于个人信息的法律依据，尤其是是2023年通过的《中华人民共和国个人信息保护法》：

第四十二条网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。

第六章法律责任

这一章是本次法律修订最重要的部分。

原第五十九条：

网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

修改为第六十一条，并增加了造成数据泄露和关基设施功能丧失等后果的处理措施。处罚口径与《数据安全法》保持了一致：

第六十一条网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处五万元以上十万元以下罚款；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前两款行为，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。

原第六十条：

第六十条违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：

（一）设置恶意程序的；

（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；

（三）擅自终止为其产品、服务提供安全维护的。

修改为第六十二条，并增加了关于造成后果的处罚措施：

第六十二条违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：

（一）设置恶意程序的；

（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；

（三）擅自终止为其产品、服务提供安全维护的。

有前款第一项、第二项行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。

新增第六十三条：要求销售或提供的网络关键设备和网络安全专用产品必须有安全认证证书或安全检测合格。

第六十三条违反本法第二十五条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。

原文第六十一条：

第六十一条网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

修改为第六十四条，删除了“由有关主管部门”增加了“关闭应用程序”：

第六十四条网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

原第六十二条：

第六十二条违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

修改为第六十五条，修改了处罚金额，增加了处罚措施：

第六十五条违反本法第二十八条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处一万元以上十万元以下罚款；拒不改正或者情节严重的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。

原文第六十五条：

第六十五条关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

修改为第六十七条，增加了”消除对国家安全的影响“内容：

第六十七条关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

原文第六十八条：

第六十八条网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第四十八条第二款规定的安全管理义务的，依照前款规定处罚。

修改为第六十九条：

第六十九条网络运营者违反本法第四十九条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告，或者违反本法第五十二条规定，不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告、予以通报，可以处五万元以上五十万元以下罚款；拒不改正或者情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

有前款行为，造成特别严重影响、特别严重后果的，由有关主管部门处二百万元以上一千万元以下罚款，责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。

电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第五十条第二款规定的安全管理义务的，依照前两款规定处罚。

原文第六十九条：

第六十九条网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：

（一）不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的；

（二）拒绝、阻碍有关部门依法实施的监督检查的；

（三）拒不向公安机关、国家安全机关提供技术支持和协助的。

修改为第七十条，并将第一项合并入第71条：

第七十条网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：

（一）拒绝、阻碍有关部门依法实施的监督检查的；

（二）拒不向公安机关、国家安全机关提供技术支持和协助的。

原文第六十四条、第六十六条、第七十条，合并为新版第71条：

第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

第六十六条关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第七十条发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚。

合并为新版第71条：

第七十一条有下列行为之一的，依照有关法律、行政法规的规定处理、处罚：

（一）发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的；

（二）违反本法第二十四条第三款、第四十三条至第四十五条规定，侵害个人信息权益的；

（三）违反本法第三十九条规定，关键信息基础设施的运营者在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。

违反本法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。

新增第73条：

第七十三条违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚。

关于这一点，可参考9月15号发布的《国家网络安全事件报告管理办法》，里面也有从轻、减轻或者不予处罚的内容。

原文第七十五条：

第七十五条境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

修改为第77条：

第七十七条境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

第七章附则

原文第79条：

第七十九条本法自2017年6月1 日起施行。

修改为：

第八十一条本法自2026 年1月1日起施行。

阅读原文

跳转微信打开

我看《国家网络安全事件报告管理办法》

Sun, 21 Sep 2025 08:00:00 +0800

原创大兵说安全 2025-09-21 08:00 河南

2025年9月15日，网络安全周的第一天，中央网信办和国家互联网信息办公室网站发布了《国家网络安全事件报告管理办法》（以下简称《办法》），2025年11月1日正式执行。上周一直在忙着给不同单位培训，没顾上仔细看，今天周末，在家看了看这个《办法》，看完之后谈谈自己的一些看法。一家之言，欢迎各位同行探讨。

我在2018年1月29日，曾经写过一篇文章：《不能说的秘密！》，文章中就呼吁，建立网络安全事件报告的管理制度。明确界定安全事件披露、通报和案例分析制度，明确界定安全事件“披露”和“隐瞒”的相应责任，要让隐瞒的代价大于披露的代价，要建立安全事件收集和响应中心，指导受攻击单位进行应急处理。

之所以有这个想法，是因为在平时遇到了太多的安全事件，国家在2017年出台了《网络安全法》，其中第二十一条明确了网络运营者有义务保护自己的网络，否则就要承担相应的法律责任（网络安全法第五十九条），这本身也没有问题，这些年，我们国家的网络安全有了长足的进步，《网络安全法》功不可没，让单位的领导意识到网络安全是一个法律问题，大大加快了网络安全建设。

但不得不承认的是，任何单位的网络都不可能做到百分百安全，即使按照等保三级要求做了建设，也不能避免安全事件的发生。而当单位上报安全事件之后，往往得不到什么有益的指导，只会得到一份冰冷的罚单，这也让一些单位出了事之后选择沉默。而这种沉默对于行业的发展来说并不是一件好事。

针对这个《办法》，我比较感兴趣的几点是：

一、《办法》明确规定了对采取了合理必要的防护措施的单位，出现安全事件后的减责或免责条款。

在新的《办法》第十一条，明确规定了：

第十一条 发生网络安全事件时，网络运营者已采取合理必要的防护措施，按照应急预案进行处置、有效降低网络安全事件影响和危害，并按照本办法规定及时报告的，可视情从轻或不予追究相关单位和人员责任。

同时，也规定了如果隐瞒不报所应当承担的责任：

第十条 网络运营者未按照本办法规定报告网络安全事件的，有关主管部门按照有关法律、行政法规的规定进行处罚。

因网络运营者迟报、漏报、谎报或者瞒报网络安全事件，造成重大危害后果的，对网络运营者及有关责任人依法从重处罚。

承担网络安全事件报告的部门未按照本办法规定报告网络安全事件的，依据有关法律、行政法规和网络安全工作责任制追究相关单位和人员责任。

这无疑是给那些按规定做了安全防护措施的单位减了压，毕竟网络安全事件是不可能避免的，不能出了事就怪单位没有尽到义务，这对受害单位以及他们的安全管理员来说无疑是不公平的。当然，如果你真的没有尽到保护义务，那该有责任还是要承担的。

这就是在鼓励大家出现问题及时上报，不要再藏着掖着了。而且你不报的代价要大于你上报的代价。这样一家单位受到攻击，监管单位就可以快速分析通知其他单位，起到共同免疫的效果。

二、《办法》中明确了安全事件标准，并分为了特别重大、重大、较大和一般四级，并明确特别重大和重大安全事件上报的时间和主管单位。

第四条网络运营者在发现或获知涉及本单位的网络安全事件时，应当按照《网络安全事件分级指南》（见附件）进行研判，属于较大以上网络安全事件的，按以下程序报告：

涉及关键信息基础设施的，网络运营者应当第一时间向保护工作部门、公安机关报告，最迟不得超过1小时。属于重大、特别重大网络安全事件的，保护工作部门在收到报告后，应当第一时间向国家网信部门、国务院公安部门报告，最迟不得超过半小时。

网络运营者属于中央和国家机关各部门及其直属单位的，应当及时向本部门网信工作机构报告，最迟不得超过2小时。属于重大、特别重大网络安全事件的，各部门网信工作机构在收到报告后，应当第一时间向国家网信部门报告，最迟不得超过1小时。国家网信部门收到报告后及时向有关部门通报。

其他网络运营者应当及时向属地省级网信部门报告，最迟不得超过4小时。属于重大、特别重大网络安全事件的，省级网信部门在收到报告后，应当第一时间向国家网信部门报告，最迟不得超过1小时，并同时向同级有关部门通报。

本行业领域有专门规定的，网络运营者还应当按照行业主管监管部门要求报告。

涉嫌违法犯罪的，网络运营者应当及时向公安机关报案。

这对单位和运维团队的安全响应提出了较高的要求。我相信目前大多数单位是没有这个能力的。

首先有没有工具（如EDR\NDR\XDR等）可以快速检测到攻击事件？

其次，安全人员有没有能力去响应和分析事件？

第三，有没有预案？有没有日常的响应团队和组织？上报的时候不是只报告出事了就完了，是有具体的要求的。

下一步，各单位的重点是不是应该往应急响应团队建设和能力提升上来了？

三、这个是我比较关注的点，是第七条：

第七条报告网络安全事件时，应当包括下列内容：

（一）涉事单位名称及涉事系统或设施基本情况；

（二）网络安全事件发现或发生的时间、地点、类型、级别，以及已造成的影响和危害，已采取的措施及效果；对勒索软件攻击事件，还应当包括要求支付赎金的金额、方式、日期等；

（三）事态发展趋势及可能造成的进一步影响和危害；

（四）网络安全事件原因初步分析意见；

（五）溯源调查工作线索，包括但不限于可能的攻击者信息、攻击路径、存在的漏洞等；

（六）拟进一步采取的应对措施以及请求支援事项；

（七）网络安全事件现场保护情况；

（八）其他应当报告的情况。

对于规定时间内不能判定事发原因、影响或发展趋势等网络安全事件情况的，可先报告第一项、第二项内容，其他情况及时补报。

网络安全事件报告后出现新的重要情况或调查工作取得阶段性进展的，涉事单位应当及时报告。

同时，第五条还规定了：

第五条 网络运营者应当以合同等形式要求为其提供网络安全、系统运维等服务的组织或个人，及时向其报告监测发现的网络安全事件，并协助其按照本办法规定报告网络安全事件。

这就对网络运营者和运维人员提出了新的要求，如何检测威胁，查找攻击者信息，找到攻击者路径，分析出攻击者的动作和失陷指标(IOC），也会逼着网络运营者和运维团队去提升人员的安全能力，从防范攻击向检测和响应攻击转变。领导者的要求不能再是简单的不出事，而出事后如何应对的问题。这其实也跟我昨天在一个CIO会议上讲的韧性安全是一样的理念，不再强调不能出事，而是出事后如何应对。

第十一条明确规定：”网络运营者已采取合理必要的防护措施，按照应急预案进行处置、有效降低网络安全事件影响和危害，“并且按本《办法》及时上报的，才可以从轻或不予追究相关单位和人员责任。

那么，你单位有没有采取合理必要的防护措施？单位有没有应急响应预案？有没有应急团队和组织？有没有检测攻击和响应能力？有没有事件溯源和取证能力？

对于单位来说，可能以后的投资建设方向也该有所转变了。一些EDR\NDR\XDR、威胁狩猎、SIEM平台、威胁情报等威胁可视化工具应该更能发挥作用了。对于那些真正的EDR\NDR\XDR产品来说，应该是一个好消息。你所用的EDR是真的还是假的，是骡子是马，总可以拉出来遛遛了。

如果单位没有能力做到上面的提到的要求，购买运维服务或者MDR服务也是一个不错的选择，让专业的安全团队帮你做事件的检测与响应，并出具应急响应报告。

《国家网络安全事件报告管理办法》

Sat, 20 Sep 2025 18:37:00 +0800

大兵说安全 2025-09-20 18:37 河南

2025年9月15日，网络安全周的第一天，中央网信办的官网发布了《国家网络安全事件报告管理办法》。

国家网络安全事件报告管理办法

（2025年9月11日国家互联网信息办公室）

第一条 为规范网络安全事件报告管理，及时控制网络安全事件造成的损失和危害，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规，制定本办法。

第二条 在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者，在发生网络安全事件时，应当按照本办法的规定进行报告。

第三条 国家网信部门负责统筹协调全国网络安全事件报告管理工作。省级网信部门负责统筹协调本行政区域内网络安全事件报告管理工作。

第四条 网络运营者在发现或获知涉及本单位的网络安全事件时，应当按照《网络安全事件分级指南》（见附件）进行研判，属于较大以上网络安全事件的，按以下程序报告：

本行业领域有专门规定的，网络运营者还应当按照行业主管监管部门要求报告。

涉嫌违法犯罪的，网络运营者应当及时向公安机关报案。

第六条鼓励社会组织和个人报告所获悉的较大以上网络安全事件。

第七条 报告网络安全事件时，应当包括下列内容：

（一）涉事单位名称及涉事系统或设施基本情况；

（三）事态发展趋势及可能造成的进一步影响和危害；

（四）网络安全事件原因初步分析意见；

（五）溯源调查工作线索，包括但不限于可能的攻击者信息、攻击路径、存在的漏洞等；

（六）拟进一步采取的应对措施以及请求支援事项；

（七）网络安全事件现场保护情况；

（八）其他应当报告的情况。

对于规定时间内不能判定事发原因、影响或发展趋势等网络安全事件情况的，可先报告第一项、第二项内容，其他情况及时补报。

网络安全事件报告后出现新的重要情况或调查工作取得阶段性进展的，涉事单位应当及时报告。

第八条 网络安全事件处置工作结束后，网络运营者应当于30日内对相关事件发生原因、应急处置措施、造成的危害、责任追究、完善整改情况、教训等进行全面分析总结，形成事件处置总结报告按照原渠道上报。

第九条 网信部门建设12387网络安全事件报告热线电话和网站、邮箱、传真等方式，统一接收网络安全事件报告。

第十条 网络运营者未按照本办法规定报告网络安全事件的，有关主管部门按照有关法律、行政法规的规定进行处罚。

因网络运营者迟报、漏报、谎报或者瞒报网络安全事件，造成重大危害后果的，对网络运营者及有关责任人依法从重处罚。

承担网络安全事件报告的部门未按照本办法规定报告网络安全事件的，依据有关法律、行政法规和网络安全工作责任制追究相关单位和人员责任。

第十二条 本办法所指网络安全事件是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对网络和信息系统或其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件。

本办法所指网络运营者是指网络的所有者、管理者和网络服务提供者。

本办法所指《网络安全事件分级指南》参照《信息安全技术网络安全事件分类分级指南》国家标准（GB/T 20986-2023）制定，以有限枚举的方式给出相关事件的分级定量指标。

第十三条 涉及国家秘密的网络安全事件报告，按照有关部门规定执行。

第十四条 本办法自2025年11月1日起施行。

附件

网络安全事件分级指南

一、特别重大网络安全事件

符合下列情形之一的，为特别重大网络安全事件：

1.重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

2.核心数据、重要数据、海量公民个人信息丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

3.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

通常情况下，满足下列条件之一的，可判别为特别重大网络安全事件：

1.省级以上党政机关门户网站、中央重点新闻网站因攻击、故障，导致24小时以上不能访问。

2.关键信息基础设施整体中断运行6小时以上或主要功能中断运行24小时以上。

3.影响一个或多个省级行政区50%以上人口，或者1000万人以上用水、用电、用气、用油、取暖、交通出行、就医、购物等工作、生活。

4.核心数据、重要数据泄露或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

5.泄露1亿人以上公民个人信息。

6.省级以上党政机关门户网站、中央重点新闻网站、超大型网络平台等被攻击篡改，导致违法有害信息特大范围传播。以下情况之一，可认定为“特大范围”：

（1）在主页上出现并持续6小时以上，或在其他页面出现并持续24小时以上；

（2）通过社交平台转发10万次以上；

（3）浏览或点击次数100万以上；

（4）省级以上网信部门、公安机关认定为是“特大范围传播”的。

7.造成1亿元以上的直接经济损失。

8.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

二、重大网络安全事件

符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：

1.重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

2.核心数据、重要数据、大量公民个人信息丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

3.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

通常情况下，满足下列条件之一的，可判别为重大网络安全事件：

1.地市级以上党政机关、企事业单位门户网站，省级以上重点新闻网站因攻击、故障，导致6小时以上不能访问。

2.关键信息基础设施整体中断运行1小时以上或主要功能中断运行3小时以上。

3.影响一个或多个地市级行政区50%以上人口，或者100万人以上用水、用电、用气、用油、取暖、交通出行、就医、购物等的工作、生活。

4.核心数据、重要数据泄露或被窃取、篡改、仿冒，对国家安全和社会稳定构成严重威胁。

5.泄露1000万人以上公民个人信息。

6.地市级以上党政机关、企事业单位门户网站，省级以上重点新闻网站，大型以上网络平台等被攻击篡改，导致违法有害信息大范围传播。以下情况之一，可认定为“大范围”：

（1）在主页上出现并持续2小时以上，或在其他页面出现并持续12小时以上；

（2）通过社交平台转发1万次以上；

（3）浏览或点击次数10万以上；

（4）省级以上网信部门、公安机关认定为是“大范围传播”的。

7.造成2000万元以上的直接经济损失。

8.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

三、较大网络安全事件

符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：

1.重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

2.重要数据、较大量公民个人信息丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

3.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

通常情况下，满足下列条件之一的，可判别为较大网络安全事件：

1.地市级以上党政机关、企事业单位门户网站，省级以上重点新闻网站因攻击、故障，导致2小时以上不能访问。

2.关键信息基础设施整体中断运行10分钟以上或主要功能中断运行30分钟以上。

3.影响一个或多个地市级行政区30%以上人口，或者10万人以上用水、用电、用气、用油、取暖、交通出行、就医、购物等工作、生活。

4.重要数据泄露或被窃取，对国家安全和社会稳定构成较严重威胁。

5.泄露100万人以上公民个人信息。

6.党政机关、企事业单位门户网站，重点新闻网站，网络平台等被攻击篡改，导致违法有害信息较大范围传播。以下情况之一，可认定为“较大范围”：

（1）在主页上出现并持续30分钟以上，或在其他页面出现并持续2小时以上；

（2）通过社交平台转发1000次以上；

（3）浏览或点击次数1万以上；

（4）省级以上网信部门、公安机关认定为是“较大范围传播”的。

7.造成500万元以上的直接经济损失。

8.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

四、一般网络安全事件

除上述网络安全事件外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件。

注：本指南中的“以上”均包括本数。

阅读原文

跳转微信打开

从《论持久战》看网络安全建设

Tue, 02 Sep 2025 10:47:00 +0800

原创大兵说安全 2025-09-02 10:47 河南

最近闲暇时间在重读毛主席的《论持久战》，结合当前网络安全建设中的一些问题，颇有感悟，与大家分享。

这是五月份在一次会议上讲的内容，后来整理成的一篇文章，迟迟没有发表，正好马上到抗战胜利80周年了，拿出来与各位同仁分享，欢迎批评指正。

最近在跟一些单位的网络负责人聊天时，他们经常说的一个话题就是关于网络安全，有人说：

单位花了这么多钱，购买了大量的安全设备，也按照等保三级要求作了建设，为什么还是防不住这些黑客？还是会被勒索？下一步该怎么走？

正好，最近闲暇时间在重读毛主席的《论持久战》，结合当前网络安全建设中的一些问题，颇有感悟，与大家分享。

《论持久战》是毛主席于1938年5月26日至6月3日在延安抗日战争研究会上的演讲稿,那个时候，全面抗战才刚刚开始，日本人节节胜利，速胜论、亡国论和焦土抗战论都出现了，很多人对于抗战没有信心，毛主席写了这篇文章，把抗战过程做了分析，并给出了具体的战术和走向。

《论持久战》是一篇奇文，有人说这是千古第一阳谋，由于是公开发表，日本人也能看到这部著作。《论持久战》的高明，连对手也为之折服。说白了就是，这场仗该怎么打，我都告诉你，但就算你提前知道了，最终你还是要输给我，只不过是时间的问题。而历史的走向也证实了这一点，《论持久战》就像是对抗日战争的总结复盘，里面准确预言了抗日战争各个时间段的发展，揭露了日本帝国主义必然会失败的事实。

我们不能简单的当成是一篇抗日的文章，里面很多的思想，是可以应用到很多领域的，比如网络安全。

一、要从战略的眼光看网络安全

主席说：抗日战争是一个长期的战争，中国必亡论和中国速胜论都是不对的，是不科学的。同样，网络安全也是一个长期战争，也需要有长远的战略规划。就像《论持久战》中分析战争的三个阶段（战略防御、战略相持、战略反攻）一样，网络安全也需要分阶段、有层次地进行防御和应对。

我们从一个业务系统的生命周期来看，包括论证、设计、建设、运营、退役等几个阶段。假设一个业务系统的生命周期是10年，那么前期的论证设计和建设等只是占整个生命周期的10%-15%左右。占大多数时间的是运营阶段。因此，不是说我的网络安全建设好了就万事大吉了。更多的是要考虑在业务系统的运营阶段如何做好安全，前期购买网络安全设备只是做好的建设，但如何用好，如何在长期的使用过程中，及时的发现威胁并进行响应才是重中之重。

这是很多企业管理者经常会犯的一个错误，以为自己购买了大量的安全设备，已经过了等保三级，就安全了，认为就不应该再有安全事件发生，这是非常错误的想法。建设好只是相当于修好了工事，但在相持阶段跟敌人（黑客）的斗争过程中，需要不断的修补不断的提升。这个阶段的核心是人，而不是设备。

如果对比主席提出的三个阶段，我们现在大多数的企业其实是处于被动防御阶段。被动防御，并不是真的被动，而是指的堡垒政策，在基础架构的基础之上，通过纵深防御构建自己的堡垒，通过堡垒，消耗攻击者的资源和时间，迟滞攻击，最终使得攻击者放弃攻击，防火墙，补丁，入侵防御和入侵检测，都是被动防御的方法。被动防御，随着时间推移，会失效，尤其在对手绝不放弃的决心和拥有丰富的资源的情况下，而且作为防守方，我们要投入更多的精力和资金，因为你不知道攻击者从哪里来，因此只能尽可能的高筑墙。在这个阶段的核心是修补漏洞。认为只要把漏洞补上了，就能抵御外来威胁，从而降低风险。主要特征是安全靠设备，自动化处理，不太需要人的参与。

而在相持阶段，更重要的是检测和响应能力。工事构建好了，下一步就是要如何快速地发现攻击和响应攻击。这个阶段最重要的人的参与。或许有人说，我们单位也购买的有EDR和NDR之类的检测和响应产品啊，是不是已经脱离了被动防御阶段进入你所说的相持阶段了？其实不是，是否脱离了被动防御阶段的重点并不是你有没有检测和响应类的产品，而是有没有人，能利用这些DR产品进行安全事件分析、溯源和响应的人。没有人，买了再多的安全产品仍然是没用的，还是被动防守的阶段。

下一步，我们要考虑的就是如何化被动为主动，在网络安全这个领域，针对大多数企业来讲，不需要进行反攻，因此我用了主动防御这个说法。什么是主动防御？为什么要主动？因为防守是被动的，我们要解决安全问题就不能总是站在防守者的角度是思考问题，要从攻击者的视角去看。只有了解攻击才能先他一步，因此，要具有收集内部情报的能力，建立SIEM系统，对内部数据进行收集，同时也要有外部情报，这样才能进行关联分析，进而准确预警，先发制人。这个阶段的核心就是要构建以情报为核心的态势感知系统。

看到这里，有人可能会说了，这不就是态势感知吗？我们已经买了态势感知产品了，是不是可以说已经进入这个阶段了？还是刚才说的，这不是设备的问题，首先你要满足相持阶段的关键要素，你有没有人？能不能分析溯源攻击事件？不仅要知道是不是被攻击了，还要知道是谁在攻击我？为什么攻击我？攻击者的特点是什么？一般用什么工具用什么战术等信息。其次，态势感知是一个能力，不是一个产品。

我曾经写过一篇文章，里面总结过四句话：

把态势感知当产品卖的都是在吃政府豆腐；

没有大数据支撑的态势感知就是无米之炊；

不结合情报系统的态势感知就是在耍流氓；

没有人才支持的态势感知最终都沦为鸡肋。

也来聊聊态势感知（上）

也来聊聊态势感知（中）

也来聊聊态势感知（下）

二、决定战争最终胜利的核心因素

在《论持久战》，毛主席列举了取得战争最后胜利的几个核心要素：

1、组织与人

主席说：“武器是战争的重要的因素，但不是决定的因素，决定的因素是人不是物。”

“全国党派，从共产党到国民党；全国人民，从工人农民到资产阶级；全国军队，从主力军到游击队；国际方面，从社会主义国家到各国爱好正义的人民；敌国方面，从某些国内反战的人民到前线反战的兵士。总而言之，所有这些因素，在我们的抗战中都尽了他们各种程度的努力。”

“这个政治上动员军民的问题，实在太重要了。我们之所以不惜反反复复地说到这一点，实在是没有这一点就没有胜利。没有许多别的必要的东西固然也没有胜利，然而这是胜利的最基本的条件。抗日民族统一战线是全军全民的统一战线，决不仅仅是几个党派的党部和党员们的统一战线；动员全军全民参加统一战线，才是发起抗日民族统一战线的根本目的。”

在文章中，主席多次提到了人的问题，人是决定因素。这里所说的人不是单纯的指共产党的军队，而是方方面面。要想取得胜利，必须全员动员。在网络安全中也一样，网络安全不是信息部门一个部门的事。而是全体人员的事，包括单位领导以及每位员工，甚至还包括外来人员（如第三方运维人员、开发人员等），进行动员，对全体员工进行网络安全意识的培训，领导也要充分认识到网络安全的重要性，技术人员要有克敌制胜的能力。才能上下一心，战胜敌人。习总书记在419讲话也提出建立科学的网络安全观，他说：“网络安全是共同的而不是孤立的。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。“

这个过程中，组织与领导者的作用非常大。主席说：竞赛结果，有胜有败，除了客观物质条件的比较外，胜者必由于主观指挥的正确，败者必由于主观指挥的错误。

在网络安全中，领导者的作用同样重要，领导有没有认识到安全的责任所在，有没有制定安全流程和管理制度的能力，有没有执行的魄力，都是在网络安全斗争中重要的因素，大家都知道，网络安全“三分靠技术，七分靠管理”，这里的管理就是领导者能力的具体体现。

2、物资与保障

主席说：“战争就是两军指挥员以军力财力等项物质基础作地盘，互争优势和主动的主观能力的竞赛。”“除了主要地看中国自己的力量之外，国际间所给中国的援助和日本国内革命的援助也很有关系。”“同时，争取外国的援助，使中国军队的装备逐渐加强起来。”

战争，考验的是领导者的指挥能力和后勤保障。网络安全同样如此。

要做好网络安全，强有力的后勤保障必不可少，这个保障既包括人员保障，物资的保障，更包括财力的保障。这种保障的来源，一方面是内部，全体人员共同的努力，另一个重要的方面，是来自外部的外国的甚至全世界的援助，包括物资的援助、人的援助和武器的援助。通过外部援助，让我们有可以反击敌人的趁手的武器，同时，也可以迅速提升内部人员的能力。反对日本法西斯的战争不是中日两国的战争，而是世界人民共同的战争，全世界的反法西斯者都要联合起来。习总书记在419讲话中也明确指出，要树立科学的网络安全观，他指出：“网络安全是开放的而不是封闭的。只有立足开放环境，加强对外交流、合作、互动、博弈，吸收先进技术，网络安全水平才会不断提高”，

我们不能只强调自身努力而忽略了外部力量的重要性，甚至抵触外部的援助。这不利于我们取得斗争的胜利。

三、战略与战法

毛席提出了对日战争的战法：主动性，灵活性，计划性

主动性：“在斗争中，由于主观指导的正确或错误，可以化劣势为优势，化被动为主动；也可以化优势为劣势，化主动为被动。一切统治王朝打不赢革命军，可见单是某种优势还没有确定主动地位，更没有确定最后胜利。主动和胜利，是可以根据真实的情况，经过主观能力的活跃，取得一定的条件，而由劣势和被动者从优势和主动者手里夺取过来的。”

灵活性：“古人所谓“运用之妙，存乎一心”，这个“妙”，我们叫做灵活性，这是聪明的指挥员的出产品。灵活不是妄动，妄动是应该拒绝的。灵活，是聪明的指挥员，基于客观情况，“审时度势”（这个势，包括敌势、我势、地势等项）而采取及时的和恰当的处置方法的一种才能，即是所谓“运用之妙”。

计划性：“由于战争所特有的不确实性，实现计划性于战争，较之实现计划性于别的事业，是要困难得多的。然而，“凡事预则立，不预则废” ，没有事先的计划和准备，就不能获得战争的胜利。战争没有绝对的确实性，但不是没有某种程度的相对的确实性。我之一方是比较地确实的。敌之一方很不确实，但也有朕兆可寻，有端倪可察，有前后现象可供思索。这就构成了所谓某种程度的相对的确实性，战争的计划性就有了客观基础。”

我们承认战争现象是较之任何别的社会现象更难捉摸，更少确实性，即更带所谓“盖然性”。但战争不是神物，仍是世间的一种必然运动，因此，孙子的规律，“知彼知己，百战不殆”，仍是科学的真理。错误由于对彼己的无知，战争的特性也使人们在许多的场合无法全知彼己，因此产生了战争情况和战争行动的不确实性，产生了错误和失败。”

在网络安全建设中，现在的我们，人员能力、武器工具、组织管理等各个方面都处于初级阶段，目前的建设体系是以漏洞修补为核心，通过防火墙、漏洞扫描、权限管理、防病毒、加密等构建堡垒型防御体系，但这种被动的防守终究是防不住，一方面，我们要加强防守，另一方面，我们也要主动出击。

下一步，我们要逐渐加加强人员意识和能力，通过EDR\NDR\XDR等工具，加强检测与响应能力，构建以情报为核心的主动防御体系，通过威胁狩猎（Threat Hunting）主动查找威胁、通过诱捕系统（蜜罐）主动发现攻击者，通过渗透测试和数据足迹服务(Digital Footprint Intelligence)等主动发现泄露的数据和暴露的资产的漏洞，通过外部威胁情报主动出击先行一步干扰其行动（类似游击战）。加强主动性的前提是我们的能力、意识、保障都达到了一定的程度，攻防易形，逐步进行战略的主动阶段。

“防御必须同时有进攻，而不应是单纯的防御，也是这个道理”。

在具体的做法上，我们要根据当前的实际情况灵活应对，而不能墨守成规。习总书记说：“网络安全是动态的而不是静态的。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念”。

风险总是不确定的，我们无法预测会发生什么，但我们不能因为不能预测就什么都不做。我们要学会识别风险、分析风险、规避风险，根据风险评估进行有针对性的预案，这样，当安全事件发生的时候，才可以做有从容不迫，比如最重要的安全事件响应流程、业务连续性计划、灾难恢复计划等。

“抗日战争应该是有计划的。战争计划即战略战术的具体运用，要带灵活性，使之能适应战争的情况。要处处照顾化劣势为优势，化被动为主动，以便改变敌我之间的形势。”

四、主要风险与次要风险

不能说的秘密！

在网络安全防护中，我们要清楚地知道自己的底线是什么？在资金有限的情况下，我们不可能做到面面俱到，好钢要花在刀刃上，如何将最有限的资金保护最核心的资产，这是安全工作者要考虑的一个问题，这就要求我们要做好风险评估，了解自己公司最核心的资产是什么，是数据？是业务系统？还是其他……对于这些资产而言，保密性更重要？还是完整性更重要?还是可用性最重要？

但在实际工作中，我们去问哪些是重要的？客户经常的反应是都重要，问到要求的RTO和RPO，都会告诉我们是零。这样看似很重视，但实际结果却恰恰相反，因为你没有对你的资产做好评估，看似都重要，结果只能是为了全面照顾而忽略对真实核心资产的保护，我们的资金和精力都是有限的，不可能做到全面防护。

就像主席在文中所说，古今中外，很多以弱胜强的例子，“都是以少击众，以劣势对优势而获胜。都是先以自己局部的优势和主动，向着敌人局部的劣势和被动，一战而胜，再及其余，各个击破，全局因而转成了优势，转成了主动”。

在战争中，我们不要在意一城一地的得失，重要核心不是土地，而是军力，因此“放弃土地是为了保存军力，也正是为了保存土地；因为如不在不利条件下放弃部分的土地，盲目地举行绝无把握的决战，结果丧失军力之后，必随之以丧失全部的土地，更说不到什么恢复失地了。资本家做生意要有本钱，全部破产之后，就不算什么资本家。赌汉也要赌本，孤注一掷，不幸不中，就无从再赌。事物是往返曲折的，不是径情直遂的，战争也是一样，只有形式主义者想不通这个道理。”

“留得青山在，不愁没柴烧”“在无可避免的情况下（也仅仅是在这种情况下），只好勇敢地放弃。情况到了这种时候，丝毫也不应留恋，这是以土地换时间的正确的政策。”

所以，对于我们网络安全从业人员而言，一定要做好资产梳理，搞清楚哪些资产是你要保护的重点，切不可贪大求全。只要确保核心资产的安全，其他的是可以适当放弃的。

底线思维的另外一方面是我们梳理出来核心资产之后，一定要对其做好备份工作，不管是系统还是数据，都要定期备份并做好恢复演练，确保其是可以恢复的。

现在，很多单位往往重视防御工作，而忽视了对于万一防不住的准备，只期待数据不能丢，一点都不能丢，业务不能停，一刻都不能停。但是，万一呢？万一数据丢了，业务停了，你有没有可以快速恢复的措施和手段？

其实安全无非是两件事件：降低安全事件发生的概率，减少安全事件发生后带来的损失。

但很多领导更强调的不能出事，这当然不错，但是也一定要有最坏的打算。

所以在建设网络安全体系时，我们要的事情，一方面要根据风险评估的结果，构建安全防御体系，另一方面，也要做好防不住的最坏打算，做好数据备份和灾难恢复措施。不仅要有业务连续性计划BCP，也要有灾难恢复计划DRP。一方面防止事件发生影响业务连续性，另一方面，做好DRP，万一安全事件发生了，我们如何降低损失。

三、总结

网络安全也是一场持久战，我们要从人员与组织、物资与保障、战略与战术等多个方面进行认真的准备与全面对抗，尤其是人的主观能动性，因此不能只是大量购买产品，而忽略了人的能力的培养。当然购买好的产品也是非常重要的，工欲善其事，必先利其器，说的就是这个道理，没有称手的武器，就会被动挨打而无还手之力。

“革新军制离不了现代化，把技术条件增强起来，没有这一点，是不能把敌人赶过鸭绿江的。军队的使用需要进步的灵活的战略战术，没有这一点，也是不能胜利的。”

网络安全是一个长期的战争，必亡论和速胜论都是不对的，是不科学的。

写在最后：

马上就是九三了，纪念抗日战争胜利，牢记民族耻辱、牢记先辈付出，把祖国变得更强大，是每一个中国人都应该做的事，抗战是中国人的胜利，是无数先辈用生命换来的成果，无论是正面战场，还是敌后战场，无论是冲在前线的勇士，还是在支援抗战的百姓，都在为抗战的胜利牺牲自己，才换来我们现在的幸福生活，值得我们永远怀念。

向伟大的抗战前辈致敬！！！

阅读原文

跳转微信打开

教你如何看懂反病毒软件报告（二）

Sun, 24 Aug 2025 09:56:00 +0800

原创大兵说安全 2025-08-24 09:56 河南

这一期，我们讲一讲病毒和蠕虫的命名规则。

之前的文章《教你一招，轻松变成反病毒高手》，我们讲了病毒命名规则：

[前缀]：类型（行为）.平台.名称.[变种]

前缀描述了检测时所使用的功能模块。上一期《教你如何看懂杀毒软件病毒报告！》，我们讲了病毒命名的前缀代表的含义，今天，我们接着讲病毒行为和平台。还以卡巴斯基为例，其他产品的命名规则以后再讲。各厂商的命名大同小异，学会了一通百通。

卡巴斯基将检测到的程序分为两大类：恶意程序和广告、色情及风险工具，其中广告、色情及风险工具被归类为：not-a-virus，上期（《教你如何看懂杀毒软件病毒报告！》）已经讲过，今天讲恶意程序。

行为特征决定了检测对象的具体表现。卡巴斯基将恶意程序又分为四类：病毒和蠕虫、木马、可疑封装程序和恶意工具，在此基础上细化出了几十种行为的恶意程序，如Trojan-downloader是一个下载型木马，在后台执行下载恶意程序，Trojan-Ransom表示是一个勒索型木马。不同类型的分类依据是：

针对病毒和蠕虫，其行为特征根据传播方式确定；
特洛伊木马和恶意工具则依据恶意载荷类型选择行为特征；
可疑打包器的行为特征取决于其运作模式；
而广告软件、风险软件及色情软件的行为特征则根据检测对象的功能特性来设定。

平台是程序代码执行的环境，可以指软件和硬件。对于可以在多个平台上运行的检测到的对象，平台定义为“Multi”。Virus.Multi.Etapux是一个多平台恶意程序的一个示例。该程序会感染Windows和Linux操作系统的可执行文件。

有两个平台支持启发式分析器：Win32和Script（一个用于多种脚本的通用平台）。有一个平台用于主动防御模块：Win32。

先来看第一个类型：病毒和蠕虫

【一、病毒和蠕虫】

病毒和蠕虫是恶意程序，它们在用户不知情的情况下在计算机上或通过计算机网络自我复制；此类恶意程序的每一个后续副本也能够自我复制。

注意：通过网络传播或在“所有者”命令下感染远程计算机的恶意程序（如后门、木马等）或创建多个无法自我复制副本的程序不属于病毒和蠕虫子类。也就是说病毒（和蠕虫）与木马的显著区别就是是否具有自我复制性（传染性）。

用于确定程序是否被分类为病毒和蠕虫子类中的单独行为的主要特征是该程序如何传播（即恶意程序如何通过本地或网络资源传播自身的副本）。

病毒（指的传统病毒）主要通过引导区和文件对计算机和计算机上的文件进行感染，可以根据用于感染计算机的方法对病毒进行分类，包括：文件病毒、引导扇区病毒、宏病毒、脚本病毒。

大多数已知的蠕虫是通过电子邮件附件发送的文件、通过网络或FTP资源的链接、通过ICQ或IRC消息中的链接、通过P2P文件共享网络等传播的。有些蠕虫通过网络数据包传播，这些数据包直接进入计算机内存，然后蠕虫代码就激活了。

蠕虫使用以下技术渗透远程计算机并启动自身的副本：社会工程（例如，建议用户打开附件的电子邮件），利用网络配置错误（如复制到完全可访问的磁盘），以及利用操作系统和应用程序安全漏洞。

当然，此子类中的任何程序也都可以具有其他特洛伊木马功能。这里的分类仅是依据传播方式，并不是按功能分类的。

还应该注意，许多蠕虫使用不止一种方法通过网络传播副本。

此恶意程序子类包括以下行为：

Email-Worm
IM-Worm
IRC-Worm
Net-Worm
P2P-Worm
Virus
Worm

我们先来说说病毒（virus)：

这里所说的病毒是指传统病毒。病毒利用本地计算机的资源进行复制。与蠕虫不同，病毒不会使用网络服务来传播或侵入其他计算机。只有当受感染对象由于某些原因在另一台计算机上被激活时，病毒的副本才会到达远程计算机。例如：

当感染可访问的磁盘时，病毒会渗透到位于网络资源上的文件
病毒将自身复制到可移动存储设备或感染可移动设备上的文件
用户发送带有受感染附件的电子邮件。

……

病毒都以VIRUS命名，后面根据感染的方式不同，可以分为引导区（boot)、可执行文件(操作系统）、宏（office或autocad等）、脚本（脚本语言）等。如：

引导区病毒：感染引导区的病毒，感染磁盘引导区，命名为virus.boot，如：

脚本病毒：一般感染使用脚本语言编写的代码，如网页等，后面一般跟脚本语言，如：

Virus.BAT.xxx ：BAT脚本病毒Virus.WinHLP.xxx ：Windows帮助文件脚本病毒Virus.JS.xxx ：JavaScript脚本病毒Virus.WinINF.xxx：Inf脚本病毒Virus.PHP.xxx ：PHP脚本病毒Virus.VBS.xxx ：VbScript脚本病毒

文件病毒：一般感染可执行程序或二进制文件，如.EXE\.COM\.DLL等文件。后面一般跟操作系统，如：

Virus.w32.xxx ：感染32位windows平台

Virus.w64.xxx：感染64位windows平台

宏病毒：利用宏技术的病毒，后面一般跟应用程序名称，如：

virus.MSWord.xxx：感染word的病毒。

virus.MSExcel.xxx：感染excel的病毒。

virus.Acad.xxx：感染AutoCad的病毒等。

再来说说蠕虫（worm):

蠕虫指通过局域网或Internet传播，具有如下目标的程序——

渗透远程机器
在受害机器上加载自己的拷贝
进一步向新的机器传播

蠕虫按照它们的传播途径又分为如下类型——

通过Email传播的蠕虫
通过及时通讯系统传播的蠕虫
通过网络（包括局域网和Internet)传播的蠕虫
通过IRC传播的蠕虫
通过文件共享网络传播的蠕虫

Email-Worm：电子邮件蠕虫通过电子邮件传播。该蠕虫将自身的副本作为电子邮件的附件发送，或者发送到网络资源上的其文件的链接（例如，指向受感染的网站或黑客拥有的网站上受感染文件的URL）。在第一种情况下，蠕虫代码在打开（启动）受感染的附件时激活。在第二种情况下，蠕虫代码在打开受感染文件的链接时激活。在这两种情况下，结果都相同：蠕虫代码被激活。

电子邮件蠕虫使用多种方法发送受感染的电子邮件。最常见的方法是：

使用蠕虫代码中内置的电子邮件目录，直接连接到SMTP服务器
使用MS Outlook服务
使用Windows MAPI函数。

电子邮件蠕虫使用许多不同的来源来查找受感染的电子邮件将被发送到的电子邮件地址：

MS Outlook中的通讯簿
WAB地址数据库
硬盘驱动器上存储的.txt文件：蠕虫可以识别文本文件中哪些字符串是电子邮件地址
收件箱中的电子邮件（某些电子邮件蠕虫甚至会对收件箱中的电子邮件进行“回复”）

许多电子邮件蠕虫使用以上列出的一个以上的来源。还有其他电子邮件地址来源，如与基于Web的电子邮件服务关联的通讯簿。

卡巴斯基命名为：

Email-Worm.HTML.xxx ：利用Email传播，但感染方式是在邮件的HTML格式代码中包含可执行的ActiveX对象
Email-Worm.JS.xxx ：包含在邮件中的恶意代码是Javascript程序
Email-Worm.VBS.xxx ：包含在邮件中的恶意代码是Vb Script脚本
Email-Worm.PIF.xxx ：包含在邮件中的病毒体是标准的windows PIF文件
Email-Worm.Win32.xxx ：以邮件附件的方式传播的32位windows exe病毒
……

IM-Worm：能够在即时通讯系统中自我复制的恶意软件，如Facebook Messenger、Skype或WhatsApp。为此，蠕虫会向受害者的联系人发送带有指向包含蠕虫主体的文件的URL链接的消息。这几乎与电子邮件蠕虫使用的传播方法完全相同。

卡巴斯基命名为：

IM-Worm.Mac.xxx, IM-Worm.OSX.xxx ：这两类都是感染Mac OS X系统及其上的应用程序。
IM-Worm.Win32.xxx ：windows系统上的及时通讯蠕虫
……

IRC-Worm：此类型的蠕虫通过互联网中继聊天（Internet Relay Chat，简称：IRC）传播。与邮件蠕虫类似，IRC蠕虫通过IRC频道传播主要有两种方式。第一种是发送一个指向蠕虫副本的URL链接。第二种则是将受感染文件发送给IRC频道用户。不过，接收方需要先接受该文件，将其保存到磁盘，然后才能打开（启动）它。

卡巴斯基命名为：

IRC-Worm.Win32.xxx ：病毒体是win32可执行文件，自动向IRC的活动联系人发送带毒链接
IRC-Worm.VBS.xxx ：病毒体为VB Script，通过IRC通道传播
IRC-Worm.MSWord.xxx ：能够利用IRC传播的Word宏蠕虫
IRC-Worm.IRC.xxx ：在IRC内利用mIRC客户进行传播的蠕虫，本身可能是一个批命令或VBE程序
IRC-Worm.DOS.xxx ：病毒体为DOS可执行文件，利用mIRC客户传播
……

Net-Worm：Net-Worms通过计算机网络传播。这种蠕虫的显著特征是它不需要用户的操作即可传播。这类蠕虫病毒通常会扫描联网计算机上运行的软件中的关键漏洞。为了感染网络中的计算机，它会发送精心设计的网络数据包（称为“漏洞利用程序”），从而使蠕虫代码（或其部分）渗透并激活目标计算机。有时网络数据包仅包含用于下载并运行主蠕虫模块文件的代码片段。某些网络蠕虫会同时使用多个漏洞利用程序进行传播，从而加快其感染目标的速度。

卡巴斯基命名为：

Net-Worm.Win32.xxx ：利用Windows漏洞进行主动攻击并传播的蠕虫，比较著名的像冲击波、Nimda等
Net-Worm.Linux.xxx ：利用Linux系统漏洞传播的蠕虫
Net-Worm.Perl.xxx ：用Perl写的通过某些基于Perl的有漏洞的论坛传播的蠕虫
……

P2P-Worm：P2P蠕虫通过点对点文件共享网络（如Kazaa、Grokster、EDonkey、FastTrack、Gnutella等）传播。这类蠕虫的运作机制相对简单：要接入点对点网络，它们只需将自身复制到文件共享目录（通常位于本地计算机上）。剩下的工作由网络自动完成：当用户进行文件搜索时，这些蠕虫会主动通知远程用户存在该文件，并提供下载服务，让用户能够从受感染的计算机中获取文件。还有更复杂的P2P蠕虫，它们模仿特定文件共享系统的网络协议，并对搜索查询做出积极反应；提供一个P2P蠕虫的副本作为匹配。

卡巴斯基命名为：

P2P-Worm.Win32.xxx ：目前只有这类，病毒体为Win32 PE文件，将自身拷入p2p系统的共享文件夹，有的会响应p2p请求并将自身传播给每个客户

Worm：蠕虫通过网络资源在计算机网络上传播。与网络蠕虫Net-Worm不同，用户必须启动蠕虫才能激活它（Net-Worm命名的蠕虫无需用户启动蠕虫就可以自动激活）。这类蠕虫会扫描远程计算机网络，并将自身复制到可读写访问的目录中（如果发现的话）。此外，这些蠕虫要么利用内置操作系统功能搜索可访问的网络目录，要么随机搜索互联网上的计算机，连接后试图完全控制这些计算机的磁盘。此类别还涵盖那些由于某种原因而无法归入上文定义的其他类别的蠕虫（例如，用于移动设备的蠕虫）。

卡巴斯基命名为：

Worm.Win32.xxx ：32位windows系统上的蠕虫，病毒体为win PE文件。
Worm.SymbOS.xxx ：Symbian OS上传播的蠕虫
Worm.SunOS.xxx ：Solaris/SunOS 上传播的蠕虫，有一些会攻击IIS Server
Worm.OSX.xxx ：Mac OSX上的蠕虫，有一些会通过蓝牙传播
Worm.FreeBSD.xxx ：FreeBSD上传播的蠕虫
Worm.Acad.xxx：利用AutoCAD进行传播的蠕虫
Worm.VBS.xxx：利用VBS进行传播蠕虫
Worm.Python.XXX：利用Python进行传播的蠕虫

病毒和蠕虫的命名先介绍到这，木马的内容较多，分了19种，我们下一期单独讲。敬请关注。

敲字不易，如需转载文章：

1、请先在大兵说安全的公众号后台留言，注明转载的【文章题目】以及转载的平台【您的公众号ID】，我会给您添加白名单授权。

2、转载公众号文章请在文首备注以下信息：

公众号：大兵说安全（ID：dabingshuoanquan)

作者：大兵

历史文章查看：

欢迎关注：

教你如何看懂杀毒软件病毒报告！

Mon, 11 Aug 2025 07:00:00 +0800

原创大兵说安全 2025-08-11 07:00 河南

防病毒厂商对于病毒的命名都有一套基本规则，读懂了病毒报告便于你清晰的知道病毒类型和处理方法。本文教你如何根据病毒名称看懂病毒。

这是一篇迟到的作业，在2023年，我曾写过一篇文章《教你一招，轻松变成反病毒高手》，里面提到具体的类型下期再讲，结果一下让大家等一年多。废话不多说，开始正文。

我们在使用杀毒软件的时候，经常会看到杀毒软件提示感染了某病毒，我们该如何处理呢？要了解如何处理，首先就要明白这些提示所代表的含义，我们以卡巴斯基为例给大家讲一下如何根据病毒命名判断中了什么病毒以及如何处理。

先来回顾一下上期讲的病毒命名规则：

[Prefix:]Behaviour.Platform.Name[.Variant]

[前缀:]行为.平台.名字[.变种]

其中前缀标识了检测到该对象的子系统。前缀“HEUR：”用于表示启发式分析器检测到的对象，前缀“PDM：”用于表示主动防御模块检测到的对象。前缀不是全名的强制性部分，也可能不存在。

卡巴斯基将检测到的程序分为两大类：恶意程序和广告、色情及风险工具，恶意程序又分为四类：病毒和蠕虫、木马、可疑封装程序和恶意工具，在此基础上细化出了60种行为的恶意程序，如Trojan-downloader是一个下载型木马，在后台执行下载恶意程序，Trojan-Ransom表示是一个勒索型木马。

在平台方面，定义了操作系统、脚本语言、应用程序等48种运行平台，如W32表示运行在windows32位平台上，VBS表示该恶意程序是使用VBSCRIPT脚本编写的，MSEXCEL是表示该恶意程序是一个运行在EXCEL上的宏病毒。

那我们今天就来学习一下病毒命名中各代码所代表的含义。先来看看前缀。

【前缀】

先来看前缀。前缀标识了检测到该对象的子系统，卡巴斯基目前常用的前缀有以下几种：

1、PDM (Proactive Defense Module):

含义： 主动防御模块。
解释： 这是卡巴斯基的行为监控组件。当它检测到一个正在运行的程序表现出恶意行为模式（例如尝试修改系统文件、注入代码、隐藏自身、窃取数据等）时，即使该程序不在病毒库中或未被启发式分析识别，PDM也会触发警报并阻止该行为。
特点： 基于运行时行为的检测，对未知威胁（零日漏洞攻击）非常有效。需要说明的是，有恶意行为的不一定是病毒程序，有时候正常的应用程序也可能会有恶意程序才有的恶意行为。这有可能是该程序使用了开源模块，里面包含一些恶意行为。也有可能是程序作者为了达到某些目的而采用了一些恶意动作。也有可能是该程序出于功能性需要而有该动作。需要管理员去判断或者提交给厂商进行进一步的分析。

2、HEUR (Heuristic Analysis):

含义： 启发式分析。
解释： 这是基于静态和动态特征的通用检测技术。卡巴斯基的引擎分析文件的代码结构、指令序列、API调用模式等，寻找与已知恶意软件家族相似或符合恶意软件典型特征的模式。它可以在没有精确病毒签名的情况下检测新的或变种的恶意软件。如果在扫描设置中开启启发式分析功能，就会触发该报警。
说明： 你可能会看到 HEUR:Trojan..., HEUR:Backdoor... 等，表示启发式引擎判断该文件属于哪一类恶意软件。有时后面还会跟 .xx (如 HEUR:Trojan.Win32.Generic.xx)，表示检测到的威胁家族或变种，xx 是家族标识符或内部编号。需要说明的是，有时候在第三方交付的安装中，也经常会出现该报警，说明代码中有与已知恶意软件家族相似或符合特征的代码，也可能该程序使用了某开源代码，其中有恶意代码存在，这也是供应链攻击经常用的一种手法。这时，不要一味的认为是误报（当然也可能有误报的可能），建议发给厂商进行分析。如下例，是在某医院的HIS安装程序中发现的恶意代码。

3、MEM (Memory Scan):

含义： 内存扫描。
解释： 表示该威胁是在计算机内存 (RAM) 中被检测到的。卡巴斯基的扫描器在内存中发现了一段符合恶意软件特征的代码或注入的恶意模块。
场景： 常见于检测文件无文件（Fileless Malware）攻击、恶意软件注入到合法进程中的代码、或解密后直接在内存中执行的恶意载荷。

4、UDS: (Urgent Detection System)，紧急检测系统。

解释：这通常代表通过卡巴斯基安全网络 (KSN - Kaspersky Security Network) 进行的云检测。当用户的计算机检测到一个可疑对象时，它会立即查询卡巴斯基的云端数据库。如果云端数据库最近（通常是几小时内）收到了大量关于该对象的报告并确认其恶意性，就会通过 UDS 标记快速下发检测结果（MD5哈希值）。当该在本地执行的时候，卡巴斯基会自动将该程序的MD5值送入云端进行对比，发现该HASH被标识为恶意程序后，会自动阻止该文件运行，同时按照云端建议进行处理（响应）动作。从而达到免疫的效果。这也是被大家称为云拉黑功能的意思，就是该程序在云端已经被标记为恶意程序了，该文件已经被拉黑了，进入不了你的系统了。

特点：响应速度极快，用于快速拦截正在传播的新爆发威胁（如钓鱼邮件附件、勒索软件、利用新漏洞的恶意软件）。检测名称通常直接包含恶意软件家族名（如上一篇（与银狐的一次亲密接触）提到的UDS:Trojan.W32.poolInject）。UDS 检测最终会被整合到本地病毒库中，后续检测可能就不再显示 UDS 前缀。

5、VHO:（VisHash Offline）

定义：VisHash特征，基于局部敏感哈希技术的机器学习检测，VisHash就是一种基于LSH（局部敏感哈希（Locality Sensitive Hashing，LSH））的技术，一个VisHash可以通杀一批类似的恶意软件，具备一定的抗混淆能力。这是一个相对较新的前缀，这个比较不常见。

解释：主要用于标识那些经过高度混淆或加壳处理的恶意软件样本。

特点： 强调检测对象使用了复杂的反分析技术。

6、not-a-virus:不是一个病毒

解释：这是一个非常重要的前缀！它表示卡巴斯基检测到的对象不是传统意义上的病毒、木马、蠕虫等恶意软件，但可能具有潜在的不受欢迎行为或风险。

关键点：卡巴斯基默认会检测并报告这类软件，但是否将其移除由用户决定（通常在检测结果中会提供“忽略”或“不处理”选项）。用户需要根据自身情况判断这些软件是否是自愿安装和使用的。客户在设置中需要选择对应选项，才会出现类似报警。如果在卡巴斯基设置中选中了广告软件、自动拨号程序和其他软件，则当检测此类软件时，会出现not-a-virus的提示。

主要分为三类：Adware(广告软件)、Pornware(色情软件）和Riskware (风险软件)。

Adware(广告软件)：会显示大量广告、弹窗、修改浏览器设置、收集浏览习惯（通常用于广告目的）

Pornware(色情软件）：是指向用户显示色情内容的程序。用户可能有意安装Pornware类中的程序来搜索和获取色情内容。另一方面，恶意用户也可以利用操作系统或浏览器漏洞，或者使用特洛伊木马程序（如下载器型木马和投放型木马）在用户的计算机上安装同样的程序。其通常目的是推送付费色情网站和服务的广告，而这些网站和服务是普通用户可能根本不会注意到的。包括以下三类：

not-a-virus:Porn-Dialer 成人网站的拨号工具——这类程序会拨打成人内容电话服务、电话号码和 / 或特殊代码，这些内容都包含在程序主体中。与恶意程序不同，拨号程序会将其操作告知用户。
not-a-virus:Porn-Downloader 成人网站的下载工具——此行为会从Internet将色情媒体文件下载到用户的计算机。与恶意程序不同，此类程序会通知用户其操作。
not-a-virus:Porn-Tool 成人软件工具——被归类为Porn-Tool的程序会在用户的计算机上搜索并显示色情内容（例如，用于Internet浏览器的特殊工具栏和特殊视频播放器）。

Riskware (风险软件)：合法的软件（如远程管理工具、密码破解工具、下载器、加密货币挖矿程序、拨号软件等），但如果被恶意利用或在用户不知情/非自愿的情况下安装运行，可能对用户的安全、隐私或系统资源构成风险。包括以下类别：
not-a-virus:Client-IRC 风险软件之IRC客户端
not-a-virus:Dialer 风险软件之拨号程序
not-a-virus:Downloader 风险软件之下载器
not-a-virus:Monitor 风险软件之监视工具
not-a-virus:PSWTool 风险软件之口令窃取工具
not-a-virus:RemoteAdmin 风险软件之远程管理工具
not-a-virus:Server-FTP 风险软件之FTP客户端
not-a-virus:Server-Proxy 风险软件之代理程序
not-a-virus:Server-Telnet 风险软件之TELNET工具
not-a-virus:Server-Web 风险软件之WEB客户端
not-a-virus:RiskTool 风险软件之风险工具
not-a-virus:NetTool 风险软件之网络工具
not-a-virus:Client-P2P 风险软件之P2P客户端
not-a-virus:Client-SMTP 风险软件之SMTP客户端
not-a-virus:WebToolbar 风险软件之WEB工具栏
not-a-virus:FraudTool 风险软件之诈骗工具
not-a-virus:Hoax 风险软件之玩笑程序

以上是卡巴斯基病毒报告中出现的几种常见的前缀。没有标识前缀的，就是传统意义上的恶意程序，是经过工程师识别分析后的准确的恶意程序。当然，也有的有可能有两个前缀，如下例，主动防御模块识别出有恶意行为，是一个黑客工具，因此标识为不是病毒。

启发式扫描模块扫描出包含广告代码，标注为不是病毒。

据公司技术人员说，还看到了一个ML开头的，代表机器学习模块的前缀，不过当时没有截图，所以不确定，以后遇到了再补充。

下期接着讲关于病毒命名中类型的介绍。敬请关注

前期文章回顾：

如果你被勒索病毒勒索了……

Thu, 07 Aug 2025 15:34:00 +0800

原创大兵说安全 2025-08-07 15:34 河南

最近，又收到好多关于电脑被勒索的消息。本文针对非专业人员，告诉你关于勒索病毒的一些基本常识。

最近，又收到好多关于电脑被勒索的消息。而且有几个共同点：

1、都是财务系统，用的国内某著名的财务软件。

2、都是小微型企业，财务部门只有一两台电脑。

3、没有管理员，老板自己对电脑也是不懂。

虽然之前写过很多关于勒索病毒的文章，比如这篇《注意：新一轮勒索病毒攻击医院行业》，阅读量将近七万，解答了关于勒索病毒一些常见的问题，但都是针对技术人员的，专业性较强，一些用户反映看不懂。

今天这篇文章针对的是对电脑和病毒一窍不通的普通工作人员和老板。如果你很懂，请跳过。

针对大家提出的几个问题我逐一回答，尽量用通俗的语言。

一、啥是勒索病毒？

答：顾名思义，就是一种病毒，把你电脑上的文件都加密了，打不开了，只有向黑客支付赎金才能继续使用，就跟我们社会上遇到的勒索事件一样，不过这次的人质不是人，是你电脑上的文件。所以叫勒索病毒。

对你来说，是要钱还是要数据？

二、我怎么知道是不是被勒索了？

答：被勒索后的一个典型特征就是你的文件打不开了，所有文件后面都增加了一个后缀。黑客还会留下一封勒索信，告诉你要付多少钱以及如何联系黑客。

三、问：我们是小企业，为啥会勒索我？

答：目前，很多电脑上存在漏洞，有操作系统的，也是应用软件的，比如财务软件，《畅X通T+客户注意：又一个客户被加密勒索》，这些漏洞一旦公布出去，就会有大量黑客在互联网上扫描有这些漏洞的主机。就像一个人在走廊里挨个敲门，如果你家的也有这个漏洞，他就进来了。既然进来了，就顺便把你的文件加密一下，你愿意付钱了，就小赚一笔，不愿意就拉倒，对黑客来说也没啥损失。最近小微型企业中招多，有几个原因：

1、因为小微型企业对安全不重视，也没有管理员，老板也不舍得花钱进行安全上的投资。没有任何安全措施，或者使用一些免费的不专业的安全产品。

2、安全意识差，电脑开机没有密码或者很简单，没有安装专业杀毒软件、没有防火墙、没有备份，有的有备份但是备份在同一台电脑上，从来不给电脑和应用程序打补丁、电脑从来不关机等等。

3、对于黑客来说，这样的客户就是一个最佳选择，防护差，又容易赚到钱，还不容易被抓。所以有越来的越多的人铤而走险。

对于这些没有安全措施和意识，又经常上网的电脑来说，就跟家里没门、没锁、大门敞开是一个道理。

四、这都是偶然现象，被勒索的都是运气不好的。

答：人们普遍都有这样的心理，看到好事都想自己也有这样的运气，所以看到别人中彩票，就会去买。看到别人出事就认为是运气问题，跟自己无关。

准确的说，不是被勒索的运气不好。是你运气有点好。对于网络安全来说，就目前大家的安全意识和防护水平，出事是必然的，不出事是偶然的，只是中招时间问题，只是损失大小问题。

只要你的电脑上有有价值的数据，那就一定会受到黑客的觊觎。

普通人吃一堑长一智，聪明人看到别人吃堑自己长智。不要等到出事了再想起来保护，有可能是你无法承受的痛。

五、既然是勒索，黑客为啥不联系我们，也没有收到黑客的电话啊？

答：既然是黑客，干的是见不得人的事，怎么会电话联系你呢？一打电话不就暴露了吗？这是违法的事，被抓了是要被判刑的。再说了，黑客也不知道你是谁，怎么联系你？黑客很大可能也不是国内的。

六、不打电话怎么收钱呢？

答：黑客加密完你的文件，会在你的电脑内留下一封勒索信，上面有黑客的邮箱（这个邮箱也不会是国内的），有的还会有暗网地址，需要你主动跟他联系。

七、我联系不上黑客，能不能找人解密文件？

答：黑客用的是国际上常用的加密方法进行的加密，必须要有密钥（你可以理解为钥匙或者密码）才能解密，没有密钥是解不开的。如果能解开，那就乱套了，因为现在国际上通用的都是这个方法加密的，如果谁能解开，就封神了，世界上所有的加密可能都要失效了。所以说，被加密的文件是无法解密的，除非有密钥。

八、为什么有人说可以解密文件？也确实有人恢复了数据。

答：刚才说了，解密是不可能的，除非你有密钥。但是如果是某些数据库文件有恢复的可能，但这不是解密，也仅仅是可能，并不是所有的都能恢复。而其他文件比如文档文件（DOC\XLS\PPT等）、照片、压缩文件等是不能恢复的。

确实是有人解密了，有几种可能：

1、对方替你联系了黑客，支付了赎金，他从中赚个差价。这是最常见的一种可能。

2、该病毒的密钥已经公布。《来看看你被勒索病毒加密的文件是否可解》《号称完美破解GandCrab勒索病毒的某厂商，你真的不会脸红吗？》

九、我到底要不要付费给黑客或者恢复数据的人？

答：这要看你的数据重要不重要，你认为值，就付费，认为不值，就不付费。但我们不鼓励付费给黑客。这样会鼓励黑客行为。勒索病毒之所以会这么猖狂，就是因为太多人付费给他们，赚钱太容易了，如果大家都不付费，或许就不会有这么多人愿意当黑客去勒索别人了。

恢复数据库是一个技术活，靠能力吃饭，付费是应该的，但付多少合适，你根据你数据的价值自己估计。

十、恢复数据付多少钱合适？

答：恢复数据库多少钱划算，这个我不好回答，你可以参考几个金额，一是黑客勒索信中要支付的赎金的金额。当前的比特币汇率是一比特币兑换人民币82.2万人民币。我曾经过见黑客要几十个比特币的。

二是放弃这些数据给你带来的损失，包括重建这些数据所需要的人工等因素。

十一、如果我要向黑客付费，应该怎么转账？

答：黑客不会通过正常的支付渠道让你支付的，这样会被抓。勒索病毒的黑客都是通过数据货币进行收款的，比如比特币，这样可以逃脱警察监控。但我国目前已经禁止了比特币交易，必须得翻墙才可以，所以如果你不懂，可以交给懂的人去（比如一些公司代理），但对方会收取一定的手续费。

十二、中毒之后我该怎么办？有人说格式化系统就没有病毒了，有人说换个网卡就行了，我该听谁的？

答：听到过太多不懂的技术人员给客户瞎指挥，安全和反病毒是个专业活，不是所有会用计算机的都懂，别听那些人瞎说，做为一名专业人士，给你的建议如下：

1、不要急于格式化和重装系统，这样会消除证据。如果不知道你这次为什么为会中毒，那么你下次还会继续中毒被勒索。所以要保留证据，不要格式化和重装，可以联系我们，做一个简单的取证，找到中毒的原因，避免下次中招。

2、跟网卡没关系。

3、检查你的系统，有没有病毒，有没有后门，有没有漏洞。找个专业的人检查并加固你的系统才是正事。

4、找个专业的公司给你做好预防措施和备份措施。这是最根本的解决办法。

十三、中勒索后，我要不要报警？

答：站在官方角度，公司中遭遇勒索病毒攻击时，应当立即报案。勒索病毒攻击属于严重的网络犯罪行为，不仅可能对公司的数据安全造成严重威胁，还可能导致经济损失。及时报案是维护公司合法权益、打击犯罪行为的必要举措。也是每个公民的基本义务。

站在私人角度，友情提醒：如果报警，请不要自行处理和取证分析，以免担上毁灭证据的嫌疑。报警的同时也请先检查贵单位是否按等保的要求进行了安全建设，有没有采取安全措施。不然，根据网络安全法的规定，报警之后等到的可能是——一张罚单。因为你没有按照网络安全法的要求做好网络安全建设，这样的案例比比皆是。

十四、我以后该如何做，才能防止下次被勒索？

答：做好两件事：

1、做好预防措施，安装专业的防病毒软件，及时给系统打补丁，给内部员工做做安全培训，提升一下安全意识。

2、做好备份。一定要有备份，一定不要备份到本电脑上。看到太多用户，说起来也是有备份，但把数据从C盘备到D盘，那能有啥用嘞？一样会被勒索，一定要备份到另外的地方或者你用移动硬盘每天备份出来一份都行，但千万不要把移动硬盘长时间插到电脑上。

如果你不懂怎么做，那么请交给专业的人去帮你。

我们有专门的解决方案，也有服务和托管方案，欢迎咨询。

如需转载文章：

1、请先在大兵说安全的公众号后台留言，注明转载的【文章题目】以及转载的平台【您的公众号ID】，我会给您添加白名单授权。

2、转载公众号文章请在文首备注以下信息：

公众号：大兵说安全（ID：dabingshuoanquan)

作者：大兵

以前还有一些相对专业的防勒索的文章，可以看看：

欢迎关注：大兵说安全

勒索软件 — 定义、预防和删除

Mon, 04 Aug 2025 22:30:00 +0800

原创大兵说安全 2025-08-04 22:30 河南

这几年，勒索软件很火，今天就来聊聊啥是勒索软件？为啥让人闻之色变。

勒索软件会对您和您的设备构成威胁，但是什么让这种形式的恶意软件这么特殊？“勒索”这个词就告诉了您需要对这个祸害知道的一切。勒索软件是一种敲诈勒索软件，可以锁定您的计算机，或者加密你的文件，然后要求赎金进行释放。

就像他的名字：Ransomware。勒索和软件两个单词组成，首先他是一个软件，一个程序，其功能是锁定你的计算机或者加密你的文件。是不是觉得很面熟。市面上的加密软件或者以前我们曾经听过说的逻辑锁事件，是不是一回事？原理差不多，只不过性质不同。加密软件是按照文件所有者的意愿对文件进行加密，防止文件的泄露，而勒索软件加密你的文件完全没有经过所有者的同意，加密要要求支付赎金，是一种勒索行为。

大多数情况下，勒索软件感染发生的步骤如下：

恶意软件首先获得对设备的访问权限。取决于勒索软件类型，整个操作系统或者单个文件会被加密。

然后会向受害者索取赎金。

如果想要最小化勒索软件攻击的风险，您应该依靠高质量的终端安全软件，如XXXX（此处省略N个字）的EDR和反病毒软件。

勒索软件：恶意软件家族的一员

恶意软件是“恶意”和“软件”两个词的复合体。恶意软件这个词因此覆盖了所有可能对您的计算机有危险的恶意软件。这包括病毒和木马。

如何检测勒索软件和防御它

谈到防御勒索软件，预防胜于治疗。要做到这点，保持警惕和合适的安全软件至关重要。如果你不知道哪个杀毒软件好，可以参考一些国际上的测试机构的结果，如AVTEST(https://www.av-test.org/)、AV-Comparatives(AV-Comparatives.org)等。

漏洞扫描也可以帮助您发现系统中的侵入者。首先，确保您的计算机不成为勒索软件的理想目标很重要。设备软件应该始终保持最新，以便受益于最新的安全补丁。此外，加强安全意识，尤其是对于流氓网站和电子邮件附件，极其重要。

但是，即使最好的预防措施也可能失败，使得应急预案更加必不可少。就勒索软件而言，应急方案包括备份您的数据。要了解如何正确创建备份和可以采取什么其他措施来保护设备，请阅读我之前的文章。

打击加密木马 — 您可以做到！

最普遍的勒索软件感染路线包括访问恶意网站、下载恶意附件或者下载时通过恶意添加组件。一次不经意就足以成为勒索软件攻击的受害者。由于恶意软件的目的是尽可能长不被检测到，要检测感染很难。

勒索软件攻击行为最有可能被安全软件检测到。显然，文件扩展名变化、CPU 活动增加和计算机上的其它可疑活动可能表明有感染。

移除勒索软件时，基本上有三个选择可用：

第一个是支付赎金，这绝对不建议。

第二个是解密文件，这几乎不可能。

第三个，只剩下最后一步：进行系统和数据恢复，而进行恢复的前提是一定要有备份。

有什么形式的勒索软件，对您意味着什么？

如上所述，勒索软件构成的威胁取决于病毒变种。首先要考虑的是有两种主要类别的勒索软件：锁定勒索软件和加密勒索软件。这些可以区分如下：

锁定（Locker）勒索软件 – 计算机的基本功能会受影响
加密（Crypto ）勒索软件 — 单个文件被加密

当涉及到识别和处理勒索软件时，恶意软件的类型也会产生巨大差异。在这两种主要的类别内，无数其它类型的勒索软件之间也有区别。例如，这些包括 Locky、WannaCry和 Bad Rabbit。

勒索软件的发展史

用这种方式敲诈勒索计算机用户不是21世纪的发明。早在1989年就有人使用原始先驱版的勒索软件。2005 年，俄罗斯报道了首批勒索软件的具体案例。自那时起，勒索软件传遍全球，新类型不断得手。2011年，人们观察到勒索软件攻击急剧增长。在进一步攻击的过程中，反病毒软件制造商日益将病毒扫描程序聚焦于勒索软件，特别是从2016年以来。

经常可以在各种勒索软件攻击中看到地区差异。例如：

有关未授权应用程序的不正确消息：

在有些国家，木马程序会通知受害者他们的计算机上安装了未授权的软件。消息然后会提示用户付款。

有关非法内容的假冒声明：

在有的国家非法软件下载很普遍，这种做法对于网络犯罪分子来说不是特别成功。相反，勒索软件消息声称他们来自执法部门，在受害者的计算机上发现了儿童色情或其它非法内容。消息中还包含要求支付罚款。

最大的勒索软件攻击

最大和最严重的一次勒索软件攻击发生在2017年春天，叫作 WannaCry。在攻击过程中，约150个国家的200,000名受害者左右被要求用比特币支付赎金。

结论

各种形式和变种的勒索软件对个人用户和公司都构成了巨大威胁。这使得警惕其构成的威胁并尽可能为各种后果做好准备变得更加重要。因此，了解勒索软件、使用设备时高度警惕、并拥有最好的安全软件至关重要。

“工欲善其事，必先利其器”，一个好的工具可以让你事半功倍。欢迎私信咨询。

如需转载文章：

1、请先在大兵说安全的公众号后台留言，注明转载的【文章题目】以及转载的平台【您的公众号ID】，我会给您添加白名单授权。

2、转载公众号文章请在文首备注以下信息：

公众号：大兵说安全（ID：dabingshuoanquan)

作者：大兵

历史文章：

与银狐的一次亲密接触

Sun, 27 Jul 2025 10:22:00 +0800

原创大兵说安全 2025-07-27 10:22 河南

银狐是近年来比较火的一个病毒，经常有客户中招，今天结合前一段处理的一个银狐的案例来跟大家聊聊如何防治银狐攻击。

银狐是近年来比较火的一个病毒，很多客户对此束手无策。每次培训，我都会讲到，但仍有不少客户中招，今天结合前一段处理的一个银狐的案例来跟大家聊聊如何防治银狐。

事件发生

2025年4月30日下午四点左右，收到一个曾经的客户的信息中心负责人发来消息。说他单位同事通过微信给他发了一个可执行文件，他感觉有些可疑，但用杀毒软件扫描提示没有病毒。打电话给同事，同事说他没有发，这个文件不是他发的。直觉告诉他这个文件有问题，于是打电话求助我们能否帮忙看一下是不是病毒。虽然他现在不是我们的客户，但一直保持的良好的沟通，对我们的产品和技术也一直很信任。

客户的描述来看，这应该又是一次银狐病毒的新变种。

分析过程

技术人员拿到样本后，上传到了VIRUSTOTAL网站，发现仅有5个杀毒软件可以发现该文件是病毒，绝大多数还不能识别。

用卡巴斯基扫描了一下，发现确实没有提示没有病毒。

但在执行该样本的时候（友情提示，请勿在自己的电脑上执行），卡巴阻止了该程序的运行并删除了该文件。报告中显示的名字为：UDS:Trojan.W32.poolInject。

其实，对于普通用户来讲，到这里基本就可以结束了，证明了该文件是一个病毒，卡巴也把他拦截并删除了。前期测试过程如下：

但做为一个专业的安全公司和一群喜欢研究病毒的技术人员，我们不能止步于此。我们还要进行更详细的分析，这到底是什么病毒？怎么工作的？我该如何防范？

下面我们接着分析：

首先我们来分析一下这个病毒名称，就能得到很多信息。我之前写过一篇文章，讲关于病毒的命名，详见（教你一招，轻松变成反病毒高手），杀毒软件对病毒的命名是是一个规则的。以卡巴为例，他的病毒命名规则是：

[Prefix:]Behaviour.Platform.Name[.Variant]

[前缀:]行为.平台.名字[.变种]

第二部分是行为，表明了该恶意程序的类型。

第三部分是平台，表明了该恶意程序运行的平台。

第四部分是名称，是对该病毒的命名。

我们看一下这个病毒的名字：UDS:Trojan.W32.poolInject

熟悉卡巴斯基的同学都知道，如果一个病毒命名被标识为UDS，意味着该病毒是在云端被发现，但还没有具体的特征码，没有被加入病毒库中。UDS，是Urgent Detection System的缩写，紧急检测系统，也有人称之为云拉黑功能。这个功能是啥意思呢？

如果一个程序被送入卡巴斯基云网络（KSN）或者情报平台(TIP），利用其云沙箱进行分析，一旦检测到该程序是恶意程序，会记录该文件的HASH，如MD5。当该在本地执行的时候，卡巴斯基会自动将该程序的MD5值送入云端进行对比，发现该HASH被标识为恶意程序后，会自动阻止该文件运行，同时按照云端建议进行处理（响应）动作。从而达到免疫的效果。这也是被大家称为云拉黑功能的意思，就是该程序在云端已经被标记为恶意程序了，该文件已经被拉黑了，进入不了你的系统了。

第二个关键字是Trojan，说明这是一个木马程序，木马通常伪装成合法软件，诱骗用户执行，然后在后台执行恶意操作，既然是木马，一定会有一些木马该有的动作，比如连接远程的服务器、盗窃文件、控制键盘、控制摄像头、打开端口之类的动作。

第三个关键字是Win32，说明这是一个主要运行在32位Windows平台的恶意程序（当然也有可能会在64位平台上运行）。

第四个关键字是PoolInject。根据命名规则，如果是技术人员分析过程序，提出了特征码，那么这个命名一般跟特征码有一定关系，而没有经过这个过程的命名，一般跟该程序的技术特征有关。从这个命名来看，有两个关键点，一个是POOL，一个是INJECT。说明该恶意程序使用了内存池注入技术。

补充知识点，什么是内存池注入技术：

内存池注入技术是一种相对高级且隐蔽性较强的代码注入技术，其目的在逃避传统安全软件的检测。其核心思路如下：

1、利用合法进程：木马首先会找到一个正在运行的、受信任的、通常是系统关键或常见的进程（如 explorer.exe, svchost.exe, rundll32.exe 等）。

2、操作内存池：恶意代码会利用 Windows 内核中管理内存池的机制或相关的漏洞（可能涉及未公开的 API 调用、利用特定对象类型等），在目标进程的地址空间内分配一块可执行的内存区域。关键在于，这块内存是通过操作内存池管理器获得的，因此不容易被杀毒软件监控。

3、写入恶意代码：木马将自己的一部分恶意代码（通常是 Shellcode - 一段能执行特定任务的机器码）写入到这块分配好的内存区域中。

4、执行恶意代码：木马通过某种方式（如创建远程线程、利用异步过程调用、劫持线程执行流等）触发目标进程去执行写入到内存池中的那段恶意代码。

5、隐藏与持久化：恶意代码在受信进程内部运行，继承了该进程的权限和信任级别。这使得恶意活动看起来像是来自合法进程，大大增加了检测难度。该注入技术本身也使得在内存中定位恶意代码变得困难。

*以上内容来自网络

初步分析：该恶意程序是一个使用内存池注入技术的木马。

下面我们继续分析。

技术人员将该程序丢入卡巴斯基情报平台，发现4月30日凌晨6点已经收录该程序并在沙箱中检测为恶意威胁。

利用卡巴斯基沙箱进一步分析附件包含的病毒，发现该程序采用诱骗客户点击附件后自动运行的方式植入键盘记录器等后门。

同时，该恶意程序为了逃避沙箱的检测，还有规避措施，检测运行环境是否为虚拟环境。

并进行权限提升和访问令牌操作。安装键盘记录器，持续记录相关动作。

除了在情报平台分析之外，技术人员还关闭了卡巴斯基杀毒软件后在本地运行了该程序，通过EDR检测到了该程序的动作。

可以清晰地看到该程序注入到了系统的SVCHOST进程。在内存池中写入代码、连接远程主机（124.156.115.170:80），等等动作。更详细的内容就不点开细说了，有兴趣的朋友私下交流。

关于这个病毒的分析就先到这里。下一期我们来聊聊这个银狐病毒的传播方式及防范难点和要点。敬请关注。

*感谢技术工程师刘西亮同学、崔兴耀同学的处理和分析过程

欢迎关注：大兵说安全

阅读原文

跳转微信打开

2025网络安全人才生态调查

Tue, 01 Jul 2025 11:53:59 +0800

2025-07-01 11:53 河南

国家网络安全人才与创新基地编制《2025网络安全人才白皮书》，需要对对网信安全从业人员调研，欢迎大家踊跃参与，共同为网络安全人才建设献言献策。

2025网络安全人才生态调查

跳转微信打开

网络安全人怎么过520

Tue, 20 May 2025 10:28:00 +0800

原创大兵说安全 2025-05-20 10:28 广东

今天是520，网民们流行的网络情人节，后来被商家加以宣传推广。这是一个标准的中国专属的人造节日。

今天是520，网民们流行的网络情人节，后来被商家加以宣传推广。

这是一个标准的中国专属的人造节日。

我上网大致搜索了一下他的来历：

台湾注音符号：早期台湾网络用语中，数字“520”的注音符号“ㄨˇ（5）”“ㄦˋ（2）”“ㄌㄧㄥˊ（0）”连读近似“我爱你”，成为表达爱意的暗号。

大陆简化谐音：大陆直接以数字发音“五二零”对应“我爱你”（“五二〇”与“我爱你”发音相近），更易传播。

1998年范晓萱的《数字恋爱》：歌词中“520是我爱你”首次将数字与爱情绑定，成为标志性事件。

2000年代网络聊天室：QQ等社交平台兴起，年轻人用“520”代替直白的表白，形成网络默契。

对于我们网络安全人士来讲，520也有独特的含义，要做好网络安全也要做到520：5个到位，2个措施，0信任。

（本图片使用豆包AI生成)

5个到位

岗位责任到位：做好安全，必须有组织和人员，并且明确各方责任，奖惩制度、考核办法都要有。

后勤保障到位：保障措施包括资金保障、物资保障等。做安全是要有投入的，必须要有资金上的保障。

管理流程到位：安全工作“三分技术，七分管理”，制定完善的管理制度和流程是做安全的基础。

技术手段到位：“工欲善其事，必先利其器”，技术手段必不可少，要选择好用的武器，能大大加强安全能力。

意识能力到位：武器很重要，但决定战争胜利的因素一定是人，要加强人员的安全意识培训，包括领导、员工和IT人员的安全意识，要对安全有敬畏之心。心存敬畏安全常在

(本图片由AI生成)

2个措施

安全管理就是对风险的管理，我们要做的主要就是两件事：一是如何防止安全事件的发生。二是如果安全事件发生了，如何减少损失？

因此必须要有的两类措施：

一个是必须要有防御措施

一个是必须要有恢复措施。

防御措施是指为了防止安全事件发生而采取的措施，比如加密措施、身份鉴别和访问控制措施、防病毒措施、网络隔离措施等。

恢复措施是指万一安全事件发生了，如何减少损失的措施，如备份与恢复措施、应急响应措施、灾难恢复计划等。

（本图片由AI生成，有点错误）

0信任

零信任包括技术上的零信任和意识上的零信任。

技术的零信任是一种安全模型，其核心理念是“永不信任，始终验证”。它摒弃了传统基于网络边界的信任模式，假设网络内外都存在潜在威胁，主要的技术包括：

动态身份验证：根据用户的行为、设备状态和访问上下文实时评估信任级别。
最小权限原则：用户和设备仅被授予完成任务所需的最低权限。
微隔离技术：将网络划分为多个独立的“信任区”，防止攻击扩散。
持续监控与威胁检测：实时监控用户行为和设备状态，快速发现并响应异常

意识上的零信任是指面对日常工作的邮件、电话等社会工程学常用的手段时，我们要多想，不要轻易相信。

对于邮件中的链接不要轻易点，要想想你看到地址是真实的地址吗？

对于邮件中的附件不要轻易打开执行，万一是病毒呢？

对于要求跟你裸聊的不要同意，对面真的是个小姐姐吗？

对于要求你转款的不要相信，要想想会不会是骗子？

……

（本图片由AI生成)

好了，祝大家度过一个安全的节日！

欢迎关注：大兵说安全

阅读原文

跳转微信打开

畅X通T+客户注意：又一个客户被加密勒索

Tue, 13 May 2025 07:03:00 +0800

原创大兵说安全 2025-05-13 07:03 河南

看一个真实的财务软件客户被勒索的案例

今天临近下班，突然接到客户电话，说他一个朋友公司服务器被勒索了，让我们帮忙看一下。

技术人员远程连接到该服务器，这是一个很有代表性的情况：

1、服务器上没有安装任何的杀毒软件。

2、使用的畅X通T+财务软件。

3、使用财务软件自带的备份功能将数据库进行了备份，但备份文件在本硬盘的不同分区。

4、客户的数据库密码就以明文方式存储在桌面上。

技术人员将日志导了出来，进行分析。通过分析找到了攻击源和攻击路径，黑客利用畅X通的漏洞，对系统进行注入攻击，从远程下载恶意程序后实施加密操作。

注：以上几个图片是用AI分析的结果。

根据分析结果，技术人员在服务器上找到了黑客留下的恶意程序。

将该恶意程序上传到卡巴斯基情报平台，通过后台归因引擎和沙箱分析，得知该病毒属于MALLOX家族，平台给出了该恶意程序的详细报告，包括哈希值、执行时的具体动作，如修改的注册表、释放的文件等，以及各动作对应在ATT&CK模型中所处的环节。

*恶意程序哈希值

恶意程序进入主机后执行的各种动作

该恶意程序攻击对象与ATT&CK模型的映射关系

应急建议：

1、网络隔离，暂时将该主机从网络中隔离出来，在防火墙上限制黑客使用的几个IP地址的访问权限。

2、日志深度排查：检查是否有成功返回200状态的攻击请求（如日志中部分请求返回200）。搜索服务器进程、计划任务中是否存在异常项（如sqlps、wscript.shell相关进程）

3、将分析出的恶意程序的IOC指标，在内网进行威胁狩猎，查找还有没有其他的失陷主机。

4、修复漏洞。联系财务软件厂商，升级至最新版本，修补已知漏洞。对KeyInfoList.aspx和keyEdit.aspx接口实施严格的输入过滤，禁止特殊字符（如;、exec）。

5、部署专业防病毒和EDR产品，可以有效阻止病毒攻击，并能在需要的时候进行事件溯源和损害评估。

6、备份数一定不能放在本机。要遵循32110原则，将备份数据放在不同的存储位置。

7、部署WAF（Web应用防火墙），拦截SQL注入和命令注入攻击。

感谢我公司技术总监邵博同学为客户响应处理，并提供素材！感谢卡巴斯基威胁情报平台提供技术支持。

最后再提醒一下大家，出现勒索病毒不要急于重装系统，一定要请专业人士进行溯源分析，找到本次出事的原因，才能更好的做好防范，避免下次更大的伤害。

欢迎扫码关注：大兵说安全

阅读原文

跳转微信打开