软考网络规划设计师学习笔记连载之二十二（4.1恶意代码）

第4章网络安全4.1恶意代码（P540-562）

 

1、恶意代码的定义与分类
（1）恶意代码的定义
     未经用户授权便干扰或破坏计算机 系统/网络的程序或代码被称为恶意软件（malware）或恶意代码。
（2）恶意代码分类
    种类很多，主要类型有计算机病毒、网络蠕虫、特洛伊木马、后门、DDoS程序、僵尸程序、Rootit、黑客攻击 工具、间谍软件、广告软件、垃圾邮件和弹出窗体程序等。

2、常见的恶意代码命名规则
恶意代码的一般命名格式为：
< 恶意代码前缀>.<恶意代码名称>.<恶意代码后缀>
前缀表示了该病毒发作的操作平台或者病毒的类型，常见的前缀有：Trojan（木马程序）、Worm（网络蠕虫）、Macro、PE、Win32、Win95、VBS、BackDoor等。如果没有前缀，一般表示DOS操作系统下的病毒。
名称是指一个恶意代码的家族特征，是用来区别和标识恶意代码家族的。如：CIH、Sasser（振荡波蠕虫）。
后缀是指一个恶意代码的变种特征，一般 都采用英文中的26个字母来表示，也可以采用数字与字母混合表示变种标识。
注意P544所列出的10种病毒前缀。

3、典型的恶意代码
（1）计算机病毒

A、特点：传染性、程序性、破坏性、非授权性、隐蔽性、潜伏性、可触发性、不可预见性。其中是否具有传播（染）性是判别一个程序是否为计算机病毒的最重要条件之一。

B、生命周期：潜伏阶段（并不是所有的病毒都经历此阶段）、传播阶段、触发阶段、发作阶段。

C、传播途径：软盘和光盘、移动存储 设备、网络。
       网络传播主要有以下几种方式：
通过 局域网传播
通过穷举局域网其他计算机的 管理员弱口令
电子邮件
各类即时通信软件
利用各类浏览器漏洞的网页挂马
P2P下载渠道
各类软件下载站点
各类 应用软件漏洞
各类系统漏洞
ARP欺骗
无线设备传播

D、多种状态：静态病毒、动态病毒。内存中的动态病毒又分为：能激活态和激活态，另外还有一种特殊的状态：失活态，一般不会出现。

E、 Windows环境下的几类常见计算机病毒


Windows PE病毒、脚本病毒、宏病毒

（2）网络蠕虫
     不需要用户干预来触发，其传播速度要远远大于网络病毒。

A、计算机病毒与蠕虫的区别：
        注意P553表4-2

B、基本 功能模块：
        目标搜索或生成模块、攻击模块、传输模块

C、扩展功能模块：
        主机驻留模块、隐藏模块、破坏模块、通信模块、控制模块

（3）特洛伊木马
     详情请参阅：特洛伊木马

（4）后门
     是留在计算机系统中，供特殊使用者通过某种特殊方式控制计算机系统的途径。

（5）网页木马
     表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将 配置好的木马的服务端下载到访问者的电脑上来自动执行。

（6）Rootkit程序
    详情请参阅：rootkit程序

（7）Exploit与ShellCode

Exploit即漏洞被黑客利用。有漏洞不一定就有Exploit（利用)。有Exploit就肯定有漏洞。

ShellCode是用来执行shell的字节码。

（8）黑客攻击程序
   
（9）流氓软件
    详情请参阅：流氓软件

4、典型反病毒 技术和常用反病毒软件
（1）典型反病毒技术介绍

A、特征值查毒法

B、校验和技术

C、启发式扫描技术

D、 虚拟机技术

E、行为监控技术

F、主动防御技术
（2）典型反病毒产品介绍
    注意了解P562中的表。