什么是间谍软件

间谍软件是一种恶意软件，它会在用户不知情或未经许可的情况下进入用户的计算机设备中，秘密收集个人信息并转发给第三方。间谍软件通常会通过监控用户的应用程序、浏览器、文档、摄像头或麦克风等，收集用户互联网使用情况、信用卡和银行帐户详细信息，并将其发送给广告商、数据收集公司或恶意行为者以获取利润。间谍软件是最常用的网络攻击方法之一，容易造成数据泄露和数据滥用，某些间谍软件甚至可以更改计算机设置，从而导致用户网络连接速度缓慢、应用程序冻结、无法启动或系统崩溃等。

间谍软件的常见类型

间谍软件有多种类型，常见的四种间谍软件类型分别是广告软件、跟踪Cookie、特洛伊木马和系统监视器。一些危害较小的间谍软件只会监视用户的数据，例如广告软件和跟踪Cookie。但是特洛伊木马和系统监视器的情况要糟糕得多，它们不仅收集数据，还可能对用户的系统进行修改。

• 广告软件：广告软件通常会秘密安装在用户的计算机或移动设备中，通过监控用户的浏览器历史记录或下载情况收集用户数据，预测用户感兴趣的产品或服务，用于出售或用于有针对性的广告或用户分析。
• 跟踪Cookie：当用户访问某些网站时，网站会将跟踪Cookie文件嵌入到用户设备中，后续用户再次访问该网站时，跟踪Cookie文件就会记录用户的浏览信息。通常一些广告公司会用此方式收集用户的兴趣，并提供针对性的广告或服务。
• 特洛伊木马：特洛伊木马是一种伪装成合法软件来误导用户的恶意软件。就像希腊神话中的特洛伊木马一样，特洛伊木马表现得像正常软件一样，诱骗用户安装。特洛伊木马可能隐藏在游戏、应用程序、软件补丁或网络钓鱼电子邮件的附件中。一旦用户下载，木马就可以控制受害者的操作系统，执行一系列恶意操作。
• 系统监视器：系统监视器通常会伪装成免费的软件，它几乎可以捕获用户在计算机上执行的所有操作。例如，系统监视器可以记录用户的所有击键、网络聊天、电子邮件、浏览器访问记录或运行的程序。

间谍软件的攻击原理

间谍软件一旦进入用户的计算机或移动设备中，就会开始秘密记录用户数据信息。以下三步概述了间谍软件的攻击过程。

• 渗透设备：大多数间谍软件是在用户不知情的情况下安装的，主要通过欺骗用户或利用软件漏洞安装在用户的系统中。间谍软件可以通过以下几种方式渗透进入用户设备：

1. 安全漏洞：攻击者通常以代码或硬件漏洞为目标，在未经用户授权的情况下，植入间谍软件。
2. 软件捆绑：攻击者通过将间谍软件与合法软件捆绑在一起，或将间谍软件合并到其他合法应用程序中，间接让用户安装间谍软件。
3. 网络钓鱼：与其他大多数的恶意软件一样，间谍软件会附加到电子邮件、恶意链接或文件中，诱骗用户安装。

• 捕获数据：一旦间谍软件成功渗透进入用户的计算机或移动设备中，间谍软件就会执行一系列操作捕获用户数据信息，主要包括：

1. 记录用户键盘输入的所有内容，包括用户名、密码和银行信息。
2. 记录用户的音频、视频和屏幕截图。
3. 记录用户电子邮件或应用程序中的数据。
4. 记录用户的浏览器浏览信息。
5. 远程访问控制用户设备。

• 向第三方提供数据：间谍软件创建者收集数据后，会将其出售给第三方，发起各种恶意活动。

如何判断是否感染了间谍软件

间谍软件具有欺骗性且难以发现，它就像间谍一样，行动十分隐蔽。如果您发现以下迹象，则很可能表明您的设备中已存在间谍软件，需要引起重视，及时处理。

• 硬件设备性能下降：

1. 计算机设备运行速度比平常缓慢。
2. 计算机设备频繁崩溃或死机。
3. 计算机设备突然空间或内存不足。

• 应用程序或浏览器表现异常：

1. 浏览器中反复弹出广告。
2. 浏览器会重定向到尚未导航到的页面。
3. 无需用户下载，新的工具栏、搜索引擎或程序就会出现在用户的计算机设备上。
4. 防病毒和其他安全软件无法运行。

如何防御间谍软件

移动端防御间谍软件方法

• 提高安全意识，不访问未知的网站，不点击可疑链接。
• 卸载不认识的应用程序。
• 从官方应用商店下载受信任的应用程序，避免从非官方应用商店下载应用程序。
• 定期更新操作系统。操作系统更新通常包括修补已知漏洞的安全补丁，定期更新有助于降低被恶意软件感染的风险。
• 限制应用程序权限。部分应用程序没有明确需要访问摄像头、麦克风或位置数据，请根据实际情况确定是否授予应用程序相关权限。

计算机防御间谍软件方法

• 提高安全意识，不打开未知电子邮件链接或附件。
• 启用或下载弹出窗口阻止程序，不点击弹出广告。
• 从官方可信来源下载软件，避免从其他非官方来源下载软件。
• 定期更新软件、操作系统或浏览器等。
• 使用防病毒软件。防病毒软件可阻止间谍软件感染设备并自动删除间谍软件。
• 保持防火墙打开，以防范间谍软件。

华为如何帮您防御间谍软件

华为HiSecEngine USG6000E/6000F系列AI防火墙提供入侵防御（Intrusion Prevention System，IPS）功能，能够全方位防御各种攻击行为，保护网络免受侵害。当外网用户访问企业内网时，防火墙设备会对访问流量进行检测。如果发现入侵行为，则阻断连接；反之则放行。同样，当内网用户访问外网时，如果访问的网页或服务器包含恶意代码时，设备将阻断连接；反之则放行。

入侵防御示意图

入侵防御的主要优势如下：

• 全方位防护：入侵防御可以提供针对间谍软件、蠕虫、病毒、木马、僵尸网络、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具等多种攻击的防护措施，全方位保护网络安全。
• 内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。设备对经过的流量都可以检测，既可以对服务器进行防护，也可以对客户端进行防护。
• 精准防护：入侵防御特征库持续更新，使设备拥有最新的入侵防御能力。您可以从云端安全中心定期升级设备的特征库，以保持入侵防御的持续有效性。