恶意代码

主要分类

• 计算机病毒（virus）

  • 特征：
    • 会破坏计算机的硬件、软件或数据。
    • 能自我复制，感染其它计算机。
  • 病毒通常是一些程序软件，但一组计算机指令也可能产生病毒的作用。
  • 有的病毒会结合蠕虫、木马的功能，称为蠕虫病毒、木马病毒。

• 蠕虫（worm）

  • 特征：
    • 能自动运行，并通过网络传播自身。
  • 计算机病毒一般是嵌入在某个宿主程序内，等待被用户执行而触发。而蠕虫可以主动运行，更容易传播。

• 木马（trojan）

  • 特征：
    • 会伪装成正常程序，不具有明显的破坏性，而是具有隐蔽性、欺骗性。
  • 常见行为：
    • 伪装成正常程序、网站，引诱用户使用，从而获取用户输入的私密信息。
    • 在计算机中隐蔽运行，窃取私密信息。比如记录用户通过键盘输入的密码。
    • 让计算机被远程控制，称为傀儡机、肉鸡。

计算机病毒

按寄生方式分类：

• 引导性病毒：寄生在磁盘引导区中。
• 文件型病毒：寄生在文件中。
• 复合型病毒：同时具有两种寄生方式，更难清除。

rootkit

：一种隐藏病毒的技术。泛指通过一些工具，将病毒隐藏到操作系统中，使其难以被检测、清除。

• 不是用于入侵系统，而是用于在入侵系统获得操作权限之后，将病毒隐藏起来，类似木马。
• 常见行为：
  • 将病毒代码隐藏到内核、固件中。
  • 清空 /var/log/secure 文件，删除主机被非法登录的记录。
  • 通过 LD_PRELOAD 注入动态库文件，使得用户无法通过 ps、top 等命令发现病毒进程。

勒索病毒

• 常见行为：
  • 感染主机之后，会将重要文件加密。然后显示勒索信息，要求用户通过 BTC 等方式支付赎金，才能获得解密密钥。

挖矿病毒

• 常见行为：
  • 感染主机之后，运行一个挖矿进程，主要消耗 CPU 资源，进行挖矿运算。
  • 挖矿进程需要通过公网连接到矿池，输出挖矿的运算结果。

相关概念

• cve (opens new window)

  • ：一个记录计算机安全漏洞的网站，全称为通用漏洞披露（Common Vulnerabilities and Exposures ，CVE）。
  • 大部分人会将他们发现的漏洞提交到该网站，分配一个 CVE ID 。

• PacketStorm (opens new window)

  • ：一个公布最近 CVE 、安全新闻的网站。

• virustotal (opens new window)

  • ：一个检测恶意代码的网站。可以上传文件，检测它是否包含已知的恶意代码。

• 腾讯哈珀分析系统 (opens new window)

  • ：一个检测恶意代码的网站。