『壹』 什麼是惡意軟體
分類: 電腦/網路 >> 軟體
解析:
"惡意軟體"用作一個 *** 名詞,來指代故意在計算機系統上執行惡意任務的病毒、蠕蟲和特洛伊木馬。
那麼,計算機病毒或蠕蟲的確切含散坦義是什麼?它們和特洛伊木馬之間有哪些不同之處?防病毒應用程序是僅對蠕蟲和特洛伊木馬有效,還是僅對病毒有效?
所有這些問題都起源於令人迷惑且通常被曲解的惡意代碼世界。現有惡意代碼的數目和種類繁多,因此很難為每個惡意代碼類別提供一個准確的定義。
對於籠統的防病毒討論,可使用以下簡單的惡意軟體類別定義:
.特洛伊木馬。該程序看上去有用或無害,但卻包含了旨在利用或損壞運行該程序的系統的隱藏代碼。特洛伊木馬程序通常通過沒有正確明此程序的用途和功能的電子郵件傳遞給用戶。它也稱為特洛伊代碼。特洛伊木馬通過在其運行時傳遞惡意負載或任務達到此目的。
.蠕蟲。蠕蟲使用自行傳播的惡意代碼,它可以通過網路連接自動將其自身從一台計算機分發到另一台計算機上。蠕蟲會執行有害操作,例如,消耗網路或本地系統資源,這樣可能會導致拒絕服務攻擊。某些蠕蟲無須用戶干預即可執行和傳播,而其他蠕蟲則需用戶直接執行蠕蟲代碼才能傳播。除了復制,蠕蟲也可能傳遞負載。
.病毒病毒代碼的明確意圖就是自行復制。病毒嘗試將其自身附加到宿主程序,以便在計算機之間進行傳播。它可能會損害硬體、軟體或數據。宿主程序執行時,病毒代碼也隨之運行,並會感染新的宿主,有時還會傳遞額外負載。
對於本指南的用途而言,負載是一個 *** 術語,表示惡意軟體攻擊在已感染計算機上執行的操作。各種惡意軟體類別的上述定義使得可以通過一個簡單的流程圖來明這些類別之間的不同之處。下圖明了可用來確定程序或腳本是否屬於這些類別的元素:
圖1 惡意代碼決策樹
通過此圖,可以區分對於本指南用途而言的每種常見惡意代碼類別。但是,了解單個攻擊所引入的代碼可能適合一個或多個類別是非常重要的。這些類型的攻擊(稱作混合威脅,包含使用多種攻擊方法的多個惡意軟體類型)會以極快的速度傳播。攻擊方法是惡意軟體可用於發起攻擊的常式。由於這些原因,混合威脅特別難以應對。
以下部分對每種惡意軟體類別進行了更為詳細的解釋,以幫助明每種類別的一些主要元素。
特洛伊木馬
特洛伊木馬不被認為是計算機病毒或蠕蟲,因為它不自行傳播。但是,病毒或蠕蟲可用於將特洛伊木馬作為攻擊負載的一部分復制到目標系統上,此過程稱為"發送"。特洛伊木馬的通常意圖是中斷用戶的工作或系統的正常運行。例如,特洛伊木馬可能在系統中提供後門,使黑客可以竊取數據指銷或更改配置設置。
在提及特洛伊木馬或特洛伊類型活動時,還有兩個經常使用的術語,其識別方法和解釋如下:
. 遠程訪問特洛伊。某些特洛伊木馬程序使黑客或數據竊取者可以遠程地控制系統。此類程序稱為"遠程訪問特洛伊"(RAT) 或後門。RAT 的糾Back Orifice、Cafeene 和 SubSeven。
有關此類特洛伊木馬的詳細明,請參閱 Microsoft TechNet 網站上的文章"Danger:Remote Access Trojans",網址為
microsoft/tech/security/topics/virus/virusrat.mspx(英文)。
. Rootkit。Rootkit 是軟體程序集,黑客可用來獲取計算機的未經授權的遠程訪問許可權,並發動其他攻擊。這些程序可能使用許多不同的技術,包括監視擊鍵、更改系統日誌文件或現有的系統應用程序、在系統中創建後門,以及對網路上的其他計算機發起攻擊。Rootkit 通常被組織到一組工具中,這些工具被細化為專門針對特定的操作系統。第一批 Rootkit 是在 20 世紀 90 年代被識別出來的,當時 Sun 和 Linux 操作系統是它們的主要攻擊對象。目前,Rootkit 可用於許多操作系統,其中包括 Microsoft Windows 平台。
注意:請注意,RAT 和某些包含 Rootkit 的工具具有合法的遠程式控制制和監視使用。但是,這些工具引入的安全性和保密性問題給使唯掘游用它們的環境帶來了整體風險。
蠕蟲
如果惡意代碼進行復制,則它不是特洛伊木馬,因此為了更精確地定義惡意軟體而要涉及到的下一個問題是:"代碼是否可在沒有攜帶者的情況下進行復制?"即,它是否可以在無須感染可執行文件的情況下進行復制?如果此問題的答案為"是",則此代碼被認為是某種類型的蠕蟲。
大多數蠕蟲試圖將其自身復制到宿主計算機上,然後使用此計算機的通信通道來進行復制。例如,Sasser 蠕蟲依賴服務的安全漏洞最初感染一個系統,然後使用已感染系統的網路連接來試圖進行復制。如果已安裝最新的安全更新(來停止感染),或已在環境中啟用防火牆來阻止蠕蟲所用的網路埠(來停止復制),則攻擊將會失敗。
病毒
如果惡意代碼將其自身的副本添加到文件、文檔或磁碟驅動器的啟動扇區來進行復制,則認為它是病毒。此副本可以是原始病毒的直接副本,也可以是原始病毒的修改版本。有關詳細信息,請參閱本章後面的"防護機制"部分。正如前面所提及的,病毒通常會將其包含的負載(例如,特洛伊木馬)放置在一個本地計算機上,然後執行一個或多個惡意操作(例如,刪除用戶數據)。但是,僅進行復制且不具有負載的病毒仍是惡意軟體問題,因為該病毒自身在其復制時可能會損壞數據、消耗系統資源並佔用網路帶寬
┏^ǒ^**^ǒ^**^ǒ^**^ǒ^**^ǒ^*^ǒ^┓
┃╭の╮┏┯┓┏┯┓ ┏┯┓┏┯┓ ╬ ┃
┃ ╲╱ ┠緣┨┠份Lǒvの天┨┠空┨╭║╮┃
┃┗戀┛┗┷┛┗┷┛ ┗┷┛┗┷┛ ╲╱ ┃
┗^ǒ^**^ǒ^**^ǒ^**^ǒ^**^ǒ^*^ǒ^┛