如何进行系统恶意文件检测?
检测的恶意文件类型可以包括:病毒、木马、蠕虫、钓鱼程序、黑客工具、漏洞利用代码、恶意宏文档等。通过恶意文件事件描述和解决方案,可查看恶意文件类型、文件MD5、文件路径、文件大小等详情信息和下载样本文件进行分析。可以进行恶意文件隔离与信任处置操作
收起查看其它 1 个回答击歌吟的回答
进行系统恶意文件检测可以给予CVE规则库对文件系统进行扫描:
1. 一般可以对宿主机上的所有镜像层进行扫描,一般docker镜像存储在/var/lib/docker目录下,我们可以运行进程对改目录下每一个镜像层进行扫描,然后根据 CVE库对每一层的文件进行匹配,判断是否存在恶意文件。
2.如果对运行时的容器进行扫描时,因为容器使用联合文件系统,我们可以对容器的可写层进行居于CVE规则的文件扫描和判断。
目前开源对镜像扫描的软件有clair、 Trivy等,我们还可以基于K8s提供的动态准入机制,在部署服务时,在APiServer认证之后就对服务的镜像就进行扫描,存在高危漏洞数量到一定量就不允许部署到K8s中。