一文讀懂信息安全中的惡意代碼、病毒、木馬、蠕蟲......
病毒:破壞計算機功能或數據,以破壞為主,傳染其他程序的方式是通過修改其他程序來把自身或其變種複製進去完成的,典型的熊貓燒香。
蠕蟲:通過網絡的通信功能將自身從一個結點發送到另一個結點並啟動運行的程序,典型的應用於耗盡對方的計算機資源。
木馬:後門程序,以竊取信息為主,它的特點是能與外界通信。
邏輯炸彈:一種當運行環境滿足某種特定條件時執行其他特殊功能的程序。
ps:病毒、蠕蟲和木馬都是可導致計算機和計算機上的信息損壞的惡意程序,這三種東西都是人為編制出的惡意代碼。
惡意代碼
惡意代碼(Malicious Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是把所有不必要的代碼都看作是惡意的,包括所有可能與某個組織安全策略相沖突的軟件。
定義
定義一:惡意代碼又稱惡意軟件。這些軟件也可稱為廣告軟件(adware)、間諜軟件(spyware)、惡意共享軟件(malicious shareware)。是指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟件。與病毒或蠕蟲不同,這些軟件很多不是小團體或者個人秘密地編寫和散播,反而有很多知名企業和團體涉嫌此類軟件。有時也稱作流氓軟件。
定義二:惡意代碼是指故意編制或設置的、對網絡或系統會產生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有計算機病毒(簡稱病毒)、特洛伊木馬(簡稱木馬)、計算機蠕蟲(簡稱蠕蟲)、後門、邏輯炸彈等。
計算機病毒
病毒的明確定義是“指編制或者計算機程序中插入的破壞計算機功能和破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程序代碼 ”。具有感染性、潛伏性、觸發性和破壞性。
病毒必須滿足兩個條件:自行執行和自我複製
然後看一下病毒的種類:
按傳染方式分為
一、引導型病毒 引導型病毒主要是感染軟盤、硬盤的引導扇區或主引導扇區。在用戶對軟盤、硬盤進行讀寫動作時進行感染活動。在我國流行的引導型病毒有Anti-CMOS、GENP/GENB、Stone、 6.4、Torch、Monkey等。引導型病毒感染軟盤時並不理會該軟盤是否為可啟動的系統盤,因此一般的數據盤也會被感染。在系統重新啟動時首先嚐試讀盤,當染有引導區病毒的軟盤插在驅動器中,只要軟盤的引導扇區內容被讀進PC機,即使啟動不成功,病毒也已經駐留在內存中,可以繼續去感染硬盤和其他未染病毒的軟盤了。
二、可執行文件病毒 可執行文件病毒主要是感染可執行文件(對於DOS或Windows來說是感染COM和EXE等可執行文件)。被感染的可執行文件在執行的同時,病毒被加載並向其他正常的可執行文件傳染。像在我國流行的Die_Hard、DIR Ⅱ和感染Windows 95/98操作系統的CIH、HPS、Murburg,以及感染NT操作系統的Infis、RE等病毒都屬此列。文件型病毒與引導型病毒工作的方式是完全不同的,在各種PC機病毒中,文件型病毒佔的數目最大,傳播最廣,採用的技巧也多。而且,各種文件型病毒的破壞性也各不相同,如令中國用戶大受損失的CIH病毒,是通過感染系統的可執行文件,同時利用Windows系統的VxD技術,破壞計算機BIOS,使計算機無法啟動。
三、宏病毒 宏病毒是利用宏語言編制的病毒,與前兩種病毒存在很大的區別。宏病毒充分利用宏命令的強大系統調用功能,實現某些涉及系統底層操作的破壞。宏病毒僅向Word、Excel和Access、PowerPoint、Project等辦公自動化程序編制的文檔進行傳染,而不會傳染給可執行文件。在我國流行的宏病毒有:TaiWan1、Concept、Simple2、ethan、“7月殺手”等,我們所說的蠕蟲病毒也應納入宏病毒範圍。蠕蟲病毒能通過網絡郵件系統快速自動擴散傳播,在短時間內造成大面積網絡阻塞。今年的“美麗殺手”之類蠕蟲病毒及其變種就曾造成轟動世界的互聯網絡癱瘓事件。
四、混合型病毒 混合型病毒是以上幾種病毒的混合。混合型病毒的目的是為了綜合利用以上3種病毒的傳染渠道進行破壞。在我國流行的混合型病毒有One_half、Casper、Natas、Flip等。 混合型病毒不僅傳染可執行文件而且還傳染硬盤引導區,被這種病毒傳染的系統用Format命令格式化硬盤都不能消除病毒。
五、特洛伊木馬型病毒 特洛伊木馬型病毒也叫“黑客程序”或後門病毒,應該屬於文件型病毒的一種。但是由於我國公安部門已於1998年底向全國發出通告,提醒廣大計算機用戶注意防範此類特洛伊木馬病毒,所以在此我們將其單獨列為一種。一般此種病毒分成服務器端和客戶端兩部分,如計算機網絡中服務器端被此程序感染,別人可通過網絡任意控制此計算機,並獲得重要文件。在我國流行的此類病毒有BO、Netspy等。六、Internet語言病毒 隨著Internet的發展,Java、VB和ActiveX的網頁技術逐漸被廣泛使用,某些不良用心的人便利用Java、VB和ActiveX的特性來撰寫病毒。這些病毒雖然從現在的發展情況來看並不能破壞硬盤上的資料,但是如果用戶使用瀏覽器來瀏覽含有這些病毒的網頁,使用者就在神不知鬼不覺的狀態下,讓病毒進入機器進行復制,並通過網絡竊取寶貴的個人秘密信息或使計算機系統資源利用率下降,造成死機等現象。
按連接方式分
源碼病毒
- 源碼病毒較為少見,亦難以編寫。因為它要攻擊高級語言編寫的源程序,在源程序編譯之前插入其中,並隨源程序一起編譯、連接成可執行文件。此時剛剛生成的可執行文件便已經帶毒了。
入侵型病毒
- 入侵型病毒可用自身代替正常程序種的部分模塊或堆棧區。因此這類病毒只攻擊某些特定程序,針對性強。一般情況下也難以被發現,清除起來也較困難。
操作系統病毒
- 操作系統病毒可用其自身部分加入或替代操作系統的部分功能。因其直接感染操作系統,這類病毒的危害性也較大。
外殼病毒
- 外殼病毒將自身附在正常程序的開頭或結尾,相當於給正常程序加了個外殼。大部份的文件型病毒都屬於這一類。
