網(wǎng)友解答: “無文件”惡意程序攻擊的反取證技術(shù)和基于內(nèi)存的惡意軟件技術(shù)將來會變得越來越普遍，特別是針對銀行業(yè)的攻擊?？刹恍业氖牵壳斑€沒有什么檢測工具來對這樣的攻擊進(jìn)行檢測。幸運(yùn)的是，卡

“無文件”惡意程序攻擊的反取證技術(shù)和基于內(nèi)存的惡意軟件技術(shù)將來會變得越來越普遍，特別是針對銀行業(yè)的攻擊?？刹恍业氖牵壳斑€沒有什么檢測工具來對這樣的攻擊進(jìn)行檢測。

幸運(yùn)的是，卡巴斯基實(shí)驗(yàn)室的安全專家曾在Duqu 2.0的分析過程中實(shí)現(xiàn)過類似的分析。在刪除硬盤驅(qū)動器并啟動其惡意的MSI軟件包之后，Duqu 2.0會從文件重命名的硬盤驅(qū)動器中刪除該軟件包，并將其自身的一部分留在內(nèi)存中。

卡巴斯基實(shí)驗(yàn)室的產(chǎn)品能夠成功檢測使用上述攻擊策略和技巧實(shí)施的攻擊行動。

硬件級別的沒有辦法，比如說 intel 處理器后門，板卡固件什么的后門之內(nèi)的。

軟件方面的，首先 UEFI 加上 Secure Boot 必不可少，他要校驗(yàn)引導(dǎo)程序的數(shù)字簽名保證引導(dǎo)程序的安全。（傳統(tǒng)的BIOS+MBR絕對不行，因?yàn)镸BR/PBR本身就是最佳無文件藏毒的地方）

其次，文件系統(tǒng)有條件必須加密，Linux可以使用luks加密root分區(qū)。Win7/8/10使用自帶的BitLocker加密系統(tǒng)盤。一來防止在外部環(huán)境（如winpe，linux live）給系統(tǒng)種植病毒。二來防止有程序繞過文件系統(tǒng)直接讀寫磁盤扇區(qū)。

在接下來的方法就是常規(guī)方法了，用殺毒軟件，控制用戶賬號權(quán)限等。