一文读懂信息安全中的恶意代码、病毒、木马、蠕虫......
病毒:破坏计算机功能或数据,以破坏为主,传染其他程序的方式是通过修改其他程序来把自身或其变种复制进去完成的,典型的熊猫烧香
蠕虫:通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序,典型的应用于耗尽对方的计算机资源
木马:后门程序,以窃取信息为主,它的特点是能与外界通信
逻辑炸弹:一种当运行环境满足某种特定条件时执行其他特殊功能的程序
ps:病毒、蠕虫和木马都是可导致计算机和计算机上的信息损坏的恶意程序,这三种东西都是人为编制出的恶意代码。
恶意代码
恶意代码(Malicious Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,包括所有可能与某个组织安全策略相冲突的软件。
定义
定义一:恶意代码又称恶意软件。这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。
定义二:恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
计算机病毒
病毒的明确定义是“指编制或者计算机程序中插入的破坏计算机功能和破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。具有感染性、潜伏性、触发性和破坏性。
病毒必须满足两个条件:自行执行和自我复制
然后看一下病毒的种类:
按传染方式分为
一、引导型病毒
引导型病毒主要是感染软盘、硬盘的引导扇区或主引导扇区。在用户对软盘、硬盘进行读写动作时进行感染活动。在我国流行的引导型病毒有Anti-CMOS、GENP/GENB、Stone、 6.4、Torch、Monkey等。
引导型病毒感染软盘时并不理会该软盘是否为可启动的系统盘,因此一般的数据盘也会被感染。在系统重新启动时首先尝试读盘,当染有引导区病毒的软盘插在驱动器中,只要软盘的引导扇区内容被读进PC机,即使启动不成功,病毒也已经驻留在内存中,可以继续去感染硬盘和其他未染病毒的软盘了。
二、可执行文件病毒
可执行文件病毒主要是感染可执行文件(对于DOS或Windows来说是感染COM和EXE等可执行文件)。被感染的可执行文件在执行的同时,病毒被加载并向其他正常的可执行文件传染。像在我国流行的Die_Hard、DIR Ⅱ和感染Windows 95/98操作系统的CIH、HPS、Murburg,以及感染NT操作系统的Infis、RE等病毒都属此列。
文件型病毒与引导型病毒工作的方式是完全不同的,在各种PC机病毒中,文件型病毒占的数目最大,传播最广,采用的技巧也多。而且,各种文件型病毒的破坏性也各不相同,如令中国用户大受损失的CIH病毒,是通过感染系统的可执行文件,同时利用Windows系统的VxD技术,破坏计算机BIOS,使计算机无法启动。
三、宏病毒
宏病毒是利用宏语言编制的病毒,与前两种病毒存在很大的区别。宏病毒充分利用宏命令的强大系统调用功能,实现某些涉及系统底层操作的破坏。宏病毒仅向Word、Excel和Access、PowerPoint、Project等办公自动化程序编制的文档进行传染,而不会传染给可执行文件。在我国流行的宏病毒有:TaiWan1、Concept、Simple2、ethan、“7月杀手”等,我们所说的蠕虫病毒也应纳入宏病毒范围。蠕虫病毒能通过网络邮件系统快速自动扩散传播,在短时间内造成大面积网络阻塞。今年的“美丽杀手”之类蠕虫病毒及其变种就曾造成轰动世界的互联网络瘫痪事件。
四、混合型病毒
混合型病毒是以上几种病毒的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏。在我国流行的混合型病毒有One_half、Casper、Natas、Flip等。
混合型病毒不仅传染可执行文件而且还传染硬盘引导区,被这种病毒传染的系统用Format命令格式化硬盘都不能消除病毒。
五、特洛伊木马型病毒
特洛伊木马型病毒也叫“黑客程序”或后门病毒,应该属于文件型病毒的一种。但是由于我国公安部门已于1998年底向全国发出通告,提醒广大计算机用户注意防范此类特洛伊木马病毒,所以在此我们将其单独列为一种。一般此种病毒分成服务器端和客户端两部分,如计算机网络中服务器端被此程序感染,别人可通过网络任意控制此计算机,并获得重要文件。在我国流行的此类病毒有BO、Netspy等。
六、Internet语言病毒
随着Internet的发展,Java、VB和ActiveX的网页技术逐渐被广泛使用,某些不良用心的人便利用Java、VB和ActiveX的特性来撰写病毒。这些病毒虽然从现在的发展情况来看并不能破坏硬盘上的资料,但是如果用户使用浏览器来浏览含有这些病毒的网页,使用者就在神不知鬼不觉的状态下,让病毒进入机器进行复制,并通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降,造成死机等现象。
按连接方式分
源码病毒
- 源码病毒较为少见,亦难以编写。因为它要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。
入侵型病毒
- 入侵型病毒可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。
操作系统病毒
- 操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。
外壳病毒
- 外壳病毒将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。
渗透测试
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
渗透测试的方法分类:
1.黑盒测试
2.白盒测试
3.隐秘测试