# 恶意代码

# 主要分类

  • 计算机病毒(virus)

    • 特征:
      • 会破坏计算机的硬件、软件或数据。
      • 能自我复制,感染其它计算机。
    • 病毒通常是一些程序软件,但一组计算机指令也可能产生病毒的作用。
    • 有的病毒会结合蠕虫、木马的功能,称为蠕虫病毒、木马病毒。
  • 蠕虫(worm)

    • 特征:
      • 能自动运行,并通过网络传播自身。
    • 计算机病毒一般是嵌入在某个宿主程序内,等待被用户执行而触发。而蠕虫可以主动运行,更容易传播。
  • 木马(trojan)

    • 特征:
      • 会伪装成正常程序,不具有明显的破坏性,而是具有隐蔽性、欺骗性。
    • 常见行为:
      • 伪装成正常程序、网站,引诱用户使用,从而获取用户输入的私密信息。
      • 在计算机中隐蔽运行,窃取私密信息。比如记录用户通过键盘输入的密码。
      • 让计算机被远程控制,称为傀儡机、肉鸡。

# 计算机病毒

按寄生方式分类:

  • 引导性病毒:寄生在磁盘引导区中。
  • 文件型病毒:寄生在文件中。
  • 复合型病毒:同时具有两种寄生方式,更难清除。

# rootkit

:一种隐藏病毒的技术。泛指通过一些工具,将病毒隐藏到操作系统中,使其难以被检测、清除。

  • 不是用于入侵系统,而是用于在入侵系统获得操作权限之后,将病毒隐藏起来,类似木马。
  • 常见行为:
    • 将病毒代码隐藏到内核、固件中。
    • 清空 /var/log/secure 文件,删除主机被非法登录的记录。
    • 通过 LD_PRELOAD 注入 DLL ,使得用户无法通过 ps、top 等命令发现病毒进程。

# 勒索病毒

  • 原理:
    • 感染主机之后,会将重要文件加密。然后显示勒索信息,要求用户通过 BTC 等方式支付赎金,才能获得解密密钥。

# 挖矿病毒

  • 原理:
    • 感染主机之后,会运行一个挖矿进程,主要消耗 CPU 资源,进行挖矿运算。
    • 挖矿进程需要通过公网连接到矿池,输出挖矿的运算结果。

# 相关概念