4.1恶意代码(P540-562)
1、恶意代码的定义与分类
(1)恶意代码的定义
未经用户授权便干扰或破坏计算机系统/网络的程序或代码被称为恶意软件(malware)或恶意代码。
(2)恶意代码分类
种类很多,主要类型有计算机病毒、网络蠕虫、特洛伊***、后门、DDoS程序、僵尸程序、Rootit、******工具、间谍软件、广告软件、垃圾邮件和弹出窗体程序等。
2、常见的恶意代码命名规则
恶意代码的一般命名格式为:
<恶意代码前缀>.<恶意代码名称>.<恶意代码后缀>
前缀表示了该病毒发作的操作平台或者病毒的类型,常见的前缀有:Trojan(***程序)、Worm(网络蠕虫)、Macro、PE、Win32、Win95、VBS、BackDoor等。如果没有前缀,一般表示DOS操作系统下的病毒。
名称是指一个恶意代码的家族特征,是用来区别和标识恶意代码家族的。如:CIH、Sasser(振荡波蠕虫)。
后缀是指一个恶意代码的变种特征,一般 都采用英文中的26个字母来表示,也可以采用数字与字母混合表示变种标识。
注意P544所列出的10种病毒前缀。
3、典型的恶意代码
(1)计算机病毒
定义:是一段附着在其他程序上的、可以自我繁殖的程序代码。复制后生成的新病毒同样具有感染其他程序的功能。
A、特点:传染性、程序性、破坏性、非授权性、隐蔽性、潜伏性、可触发性、不可预见性。其中是否具有传播(染)性是判别一个程序是否为计算机病毒的最重要条件之一。
B、生命周期:潜伏阶段(并不是所有的病毒都经历此阶段)、传播阶段、触发阶段、发作阶段。
C、传播途径:软盘和光盘、移动存储设备、网络。
网络传播主要有以下几种方式:
通过局域网传播
通过穷举局域网其他计算机的管理员弱口令
电子邮件
各类即时通信软件
利用各类浏览器漏洞的网页挂马
P2P下载渠道
各类软件下载站点
各类应用软件漏洞
各类系统漏洞
ARP欺骗
无线设备传播
D、多种状态:静态病毒、动态病毒。内存中的动态病毒又分为:能激活态和激活态,另外还有一种特殊的状态:失活态,一般不会出现。
E、Windows环境下的几类常见计算机病毒
Windows PE病毒、脚本病毒、宏病毒。
(2)网络蠕虫
不需要用户干预来触发,其传播速度要远远大于网络病毒。
A、计算机病毒与蠕虫的区别:
注意P553表4-2
B、基本功能模块:
目标搜索或生成模块、***模块、传输模块。
C、扩展功能模块:
主机驻留模块、隐藏模块、破坏模块、通信模块、控制模块。
(3)特洛伊***
(4)后门
是留在计算机系统中,供特殊使用者通过某种特殊方式控制计算机系统的途径。
(5)网页***
表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页***就会利用对方系统或者浏览器的漏洞自动将配置好的***的服务端下载到访问者的电脑上来自动执行。
(6)Rootkit程序
(7)Exploit与ShellCode
Exploit即漏洞被***利用。有漏洞不一定就有Exploit(利用)。有Exploit就肯定有漏洞。
ShellCode是用来执行shell的字节码。
(8)******程序
(9)流氓软件
4、典型反病毒技术和常用反病毒软件
(1)典型反病毒技术介绍
A、特征值查毒法 B、校验和技术 C、启发式扫描技术
D、虚拟机技术 E、行为监控技术 F、主动防御技术
(2)典型反病毒产品介绍
注意了解P562中的表。