noahfeng 发表于 2024-2-27 23:23

恶意代码概述

最近一段时间开始了恶意代码分析的学习之路。
恶意代码的定义:
       英文名---> malware ;
       引用维基上的定义就是:恶意代码(英语:Malware, malicious software),又称“流氓软件”,一般是指通过网络、便携式存储设备等途径散播的,故意对个人电脑、服务器、智能设备、电脑网络等造成隐私或机密资料外泄、系统损害(包括但不限于系统崩溃等)、资料丢失等非使用预期故障及信息安全问题,并且试图以各种方式阻挡用户移除它们,如同“流氓”一样的软件。恶意软件的形式包括二进制可执行档、脚本、活动内容等。就定义来说,电脑病毒、电脑蠕虫、特洛伊木马、勒索软件、间谍软件、恐吓软件、利用漏洞执行的软件、甚至是一些广告软件,也被囊括在恶意软件的分类中。不过,无意的非使用预期的电脑设备故障,则一般视作软件臭虫(software bug)
恶意代码的类型:
计算机病毒:计算机程序中插入的破坏计算机功能或数据,影响计算机使用并能自我复制的一组计算机指令或程序代码。
       特洛伊木马:一种可以和远程计算机建立连接并接收远程计算机控制指令,隐蔽运行的远程控制工具。
       蠕虫:一种利用系统漏洞实现自我复制和恶意传播的恶意程序。
       Rookit:原本是指可以获得并维持系统超级用户root权限,以及可以完全控制主机的一组工具,但是在网络攻击中rootkit一般和木马,后门等恶意程序结合使用。
       流氓软件:强制安装,难以卸载,浏览器劫持,广告弹窗,收集用户信息,卸载防御软件等功能的恶意程序。
       逻辑炸弹:一般是在特定逻辑条件下满足时进行破环的恶意程序。
       僵尸网络:大量主机感染僵尸程序,从而在控制者和被控主机之间形成的一个一对多控制的网络。
       网络钓鱼:指攻击者通过精心设计大量欺骗性信息,从而获取被攻击者的敏感信息,触发恶意程序等。
       恶意脚本:比如php,powershell等语言的恶意可执行脚本。

       勒索软件:通过加密,隐藏,迁移用户数据资产进行勒索的软件。
攻击模型:

[*]入侵系统
[*]维护和权限提升蠕虫:worm
木马:trojan
脚本病毒: scripts,vbs,js ... ...
宏病毒: macro
后门:backdoor
恶作剧:joke
捆绑:binder
漏洞利用:exploit
Rootkit:rootkit
勒索软件:ransom
黑客工具:hacktool
[*]隐蔽策略
[*]潜伏
[*]破坏
[*]传播和感染
恶意代码的命名:

[*]个性化命名:比如发作时间,发作症状,发作行为,代码中包含的标志
[*]三元组命名法: 为了管理与日俱增的恶意代码很多安全公司提出并遵循了由‘前缀.名称.拓展名’,各元素分别表示恶意代码的类型,恶意代码的家族恶整,恶意代码的变种特征。

思考:
挖矿软件是恶意程序吗?

矿机与植入程序不同,如前所述,矿机并不是恶意应用。为此,我们把矿机归类为风险软件 – 软件是合法的,但可能被用于不法目的(在此可以了解哪些软件归入此类别的更多详情)。默认情况下,卡巴斯基安全软件不会阻止或删除这类应用;因为很可能是用户有意安装的。
思考有些恶意代码综合利用了病毒的感染技术,蠕虫的漏洞利用传播技术,木马的隐藏技首段和对数据的破坏功能,那这个恶意代码应该如何划分类别呢?
恶意代码的入侵方式有哪些?
在技术快速发展的时代,能够流传下的技术都是经典的,通过拓展阅读恶意代码的发展史,总结哪些技术是经典的技术?

hwjqc 发表于 2024-2-28 08:22

总结不错,概念区分,学习了

d199212 发表于 2024-2-28 08:32

scripts和js不是一样的吗

dubuqingyun 发表于 2024-2-28 09:38

谢谢楼主分享。

shaohyuntt 发表于 2024-2-28 09:47

总结的挺全面的,学习了

67haha 发表于 2024-2-28 09:58

现在病毒防护,设备倒是大多能识别拦截
每次有攻防啥的,大多都是社工进来的

Ares009 发表于 2024-2-28 12:16

感谢楼主分享,学到了

zhy1992 发表于 2024-2-28 13:16

这个是总结吗

tohyueyun 发表于 2024-2-28 22:08

感谢分享,区分的注释很详细。{:1_893:}

noahfeng 发表于 2024-2-29 14:04

Ares009 发表于 2024-2-28 12:16
感谢楼主分享,学到了

在学习这个课,这是第一章总结
页: [1] 2 3 4
查看完整版本: 恶意代码概述