在看Awake產品的時候，涉及到一些網路安全知識。下面就是我整理的網路安全知識（哈哈哈，可能不全哦）：）

 一. 無檔案惡意軟體

經過觀察分析我們發現，無檔案惡意軟體通過進駐記憶體來保持自己隱身，以減少被檢測到的機會，保持不被發現的時間越長，就越有可能實現自己的目標。在無檔案惡意軟體攻擊中，系統變得相對乾淨因而沒有很多惡意檔案可被檢測出來去通知安全管理員。正因如此，無檔案惡意軟體變得很難防禦更不易被分析。

什麼是無檔案惡意軟體？

究竟什麼是無檔案惡意軟體，有一點需要明確，就是無檔案惡意軟體有時候也會使用檔案。最初，無檔案惡意軟體的確指的是那些不使用本地持久化技術、完全駐留在記憶體中的惡意程式碼，但後期這個概念的範圍逐漸擴大，現在，將那些依賴檔案系統的某些功能以實現惡意程式碼啟用和駐留的惡意軟體也包括進來，傳統的防毒產品無法識別這種感染。

攻擊者為什麼使用無檔案惡意軟體？

首先我們要明白黑客攻擊的目標是什麼：首先是隱形，儘可能避免被安全產品檢測到的能力；再者，就是利用漏洞進行特權升級，使自己能夠以管理員的身份訪問系統，做任何他們想要的；還有就是資訊收集，儘可能收集有關受害者和受害者計算機的資料，用於後續其他攻擊；最後，就是永續性，即在系統中保持惡意軟體的能力，延長被發現的時間。

要知道，不是每種終端解決方案都直接檢查記憶體，寫磁碟的操作會觸動防禦佈網，而讓惡意軟體僅進入記憶體則可避免該風險，因此記憶體是一個理想的藏身之所。此外，PowerShell等工具已經存在於系統中，這為攻擊者留下了多個好處，能依靠區域網為生，減少因在受害者主機上部署惡意軟體而產生的動靜。

無檔案惡意軟體是如何工作的？

那麼，無檔案惡意軟體如何實現隱身的？早前，McAfee還還歸屬Intel時曾發表過一份威脅報告，介紹了無檔案惡意軟體如何刪除它在受感染系統磁碟中儲存的所有檔案，在登錄檔中儲存加密資料，注入程式碼到正在執行的程序，並使用PowerShell、WindowsManagementInstrumentation和其他技術使其難以被檢測以及分析。

登錄檔中儲存資料的方式讓惡意軟體可在啟動時執行而不被使用者檢視或訪問，此時攻擊者便有更多的時間利用其惡意軟體繼續執行攻擊。實際上，惡意軟體也可能會被檢測到，但在分析前大多數反惡意軟體產品都很難發現和移除無檔案惡意軟體。

例如Kovter惡意軟體，其通過電子郵件或惡意軟體網站進行分發，在本地計算機執行最初的惡意軟體攻擊後，Kovter會編寫JavaScript到登錄檔，呼叫同樣儲存在該登錄檔中加密的PowerShell指令碼，由於它並不會儲存檔案，且利用Powershell進行隱藏很難被檢測到。

無檔案惡意軟體的威力

近期，俄羅斯至少八臺ATM取款機，在一夜之間被竊取了80萬美元，黑客只是走向ATM，甚至都沒有觸碰機器就取走了現金，且在ATM機上找不到任何入侵的痕跡，唯一的‘線索’（甚至稱不上線索）是ATM機硬碟上發現的兩個包含惡意軟體日誌的檔案，kl.txt和logfile.txt，可以理解為“取款”和“取款成功”。

為此，安全員建立YARA識別規則捕獲樣本（YARA是一款模式識別工具，幫助研究人員識別惡意軟體），攻擊銀行所用的正是一種隱藏在記憶體中的無檔案病毒，而非傳統惡意程式駐足在硬碟中.

實際上，無檔案病毒正是利用了ATM機上的合法工具，ATM將這些惡意程式碼識別為正規軟體，之後遠端操控傳送指令，與此同時黑客等在ATM前將錢取走，當所有現金被取出後，黑客就會“登出”，留下非常少的線索。