什么是恶意代码源程序，并且有几种类型的恶意代码源程序？

不必要的2113代码（不需要的代码）是指无效但会带来5261危险的代码. 最安全的定义之一是将4102中的所有不必要的代码视为1653恶意和不必要的代码. 它的含义比恶意代码更广泛，包括可能与组织的安全策略冲突的所有软件.

I. 恶意代码的特征

恶意代码（恶意代码）或恶意软件（恶意软件）具有以下共同特征:

（1）恶意目的

（2）本身是一个程序

（3）通过执行生效

某些恶作剧程序或游戏程序不能被视为恶意代码. 有许多文献讨论了过滤病毒的特征. 尽管数量众多，但其机制相对相似. 在防病毒程序的保护范围内，值得注意的是未过滤的病毒.

第二种不可过滤的病毒

非过滤病毒包括密码破解软件，嗅探器软件，键盘输入记录软件，远程木马和软件等. 组织内部或外部的攻击者使用这些软件获取密码，侦察网络通信，记录私人通信，秘密接收以及从远程主机传输未经授权的命令，以及一些私人安装的P2P软件实际上等效于张扬企业防火墙. 非过滤病毒的趋势正在发展，针对它们的防御并非易事. 与非过滤病毒有关的概念包括:

（1）软件

软件与商业产品软件有关. 在用户计算机上安装某些商业软件产品后，无需用户授权即可通过Internet连接它们，从而允许用户软件与开发人员软件进行通信. 通信软件的这一部分称为软件. 只有安装基于主机的防火墙，用户才能通过记录网络活动来发现软件产品及其开发人员处于定期通信中. 作为商业软件包的一部分，软件几乎无害，其目的主要是扫描系统并获取用户的私人数据.

（2）远程访问Troy

远程访问Trojan RAT是安装在受害者计算机上的程序，用于实现未经授权的网络访问，例如NetBus和SubSeven可以伪装成其他程序，从而使用户无法安装，例如伪装成可执行电子邮件或Web下载. 文件，游戏和贺卡等也可以通过物理访问直接安装.

（3）僵尸

并非所有恶意代码都是从内部控制的. 在分布式拒绝服务攻击中，Internet上的许多站点都受到其他主机上的僵尸程序的攻击. 僵尸程序可以利用网络上计算机系统的安全漏洞，在多个主机上安装自动攻击脚本. 这些主机成为受害者并服从攻击者的命令. 在某个时刻，他们聚集在一起攻击其他受害者.

（4）破解和嗅探程序以及网络漏洞扫描

密码破解，网络嗅探和网络漏洞扫描是公司人员侦察同事获得非法资源访问权限的主要手段. 这些攻击工具不会自动执行，但会被秘密地操纵.

（5）键盘记录程序

一些用户组织使用PC活动监视软件来监视用户的操作，并使用键盘记录器来防止员工不当地使用资源或收集证据. 攻击者还可以使用这种软件来进行信息和网络攻击.

（6）P2P系统.

基于Internet的对等应用程序（例如Napster，Gomotypc，AIM和Groove）以及远程访问工具通道（例如Gotomypc），这些程序都可以通过HTTP或其他公共端口穿透防火墙，以便员工可以建立自己的自己的VPN，这种方式有时对组织或公司来说非常危险. 因为这些程序必须首先从内部PC远程连接到外部Gotomypc主机，然后用户才能通过此连接访问Office PC. 如果使用此连接，将对组织或企业造成极大伤害.

（7）逻辑和定时

逻辑和定时是旨在破坏数据和应用程序的程序. 它通常由对组织内部不满意的员工植入. 逻辑和定时会对网络和系统造成很大程度的破坏. 欧米茄工程公司的前网络管理员蒂莫西·劳埃德（Timothy Lloyd）于1996年将一台计算机埋在了原雇主的手中. 系统中的软件逻辑造成1000万美元的损失，他本人最近被判处41个月监禁.

三，恶意代码的传播

恶意代码编写者通常使用三种类型的方法来传播恶意代码: 软件漏洞，用户本身或二者的混合. 一些恶意代码是自启动的蠕虫和嵌入式脚本，它们本身就是软件. 这样的恶意代码不需要人类活动. 一些恶意代码，例如木马和电子邮件蠕虫，利用受害者的心理来操纵它们以执行不安全的代码. 其他人则在诱使用户关闭安装恶意代码的保护措施.

利用商品软件缺陷的恶意代码包括Red，KaK和BubbleBoy. 它们完全依赖于商业软件产品的缺陷和弱点，例如溢出漏洞和在不合适的环境中执行任意代码的能力. 就像没有打补丁的IIS软件一样，输入缓冲区溢出中也有缺陷. 利用Web服务漏洞的攻击代码包括Code Red，Nimda，Linux和Solaris上的蠕虫也利用远程计算机中的漏洞.

恶意代码编写者的典型方法是将恶意代码电子邮件伪装成其他恶意代码受害者的感染警告电子邮件. 恶意代码的受害者通常是Outlook通讯簿中的用户或缓冲区中WEB页面的用户. 这将最大程度地吸引受害者的注意力. 一些恶意代码的作者还展示了高度的心理操纵能力，LoveLetter是一个突出的例子. 普通用户越来越担心来自陌生人的电子邮件附件，恶意代码的作者还设计了一些诱饵来吸引受害者的兴趣. 附件的使用受到网关过滤器程序的限制，并且将受到限制，并且恶意代码编写者还将尝试绕过网关过滤器程序的检查. 使用的技术可能包括使用晦涩的文件类型，将常见的可执行文件类型压缩为zip文件等.

中的Internet中继聊天（IMC）和即时消息（IMC）系统上的攻击数量继续增加. 它的大多数方法都是诱使用户下载并执行自动代理软件，以便可以将远程系统用作分布式拒绝服务. （DDoS）攻击平台，或使用后门程序和木马程序对其进行控制.

四，恶意代码的传播

恶意代码的传播具有以下趋势:

（1）类型更加模糊

恶意代码的传播不仅取决于软件漏洞或社会工程，还可能是它们的混合. 例如，蠕虫会产生寄生文件病毒，木马程序，密码窃取程序和后门程序，从而进一步模糊了蠕虫，病毒和木马之间的区别.

（2）混合传播模式

“混合病毒威胁”和“趋同威胁”已成为新的病毒术语. “红色代码”利用IIS中的漏洞. Nimda实际上是1988年出现的Morris蠕虫的衍生物. 它们的特征是利用漏洞. 病毒模式已经从引导区模式发展为多种类似病毒的蠕虫模式，所需时间不是很长.

（3）多平台

多平台攻击开始出现，某些恶意代码可以在不兼容的平台上运行. Windows蠕虫可以利用Apache漏洞，而Linux蠕虫将以exe格式派生木马.

（4）使用销售技术

另一个趋势是，越来越多的恶意代码使用销售技术. 其目的不仅是使用受害者的邮箱来实现最大转发次数，更重要的是，唤起受害者的兴趣并允许受害者进一步操纵恶意文件. ，并使用网络检测，电子邮件脚本嵌入和其他不使用附件的技术来实现目标.

恶意软件制造商可能会将一些著名的攻击方法与新漏洞相结合，以创建下一代WM / Concept，下一代Code Red和下一代Nimda. 对于防病毒软件的制造商而言，需要花费很多时间来更改其方法以应对新的威胁.

（5）服务器和客户端也受到攻击

对于恶意代码，服务器和客户端之间的区别变得越来越模糊. 如果客户端计算机和服务器运行相同的应用程序，它们也将受到恶意代码的攻击. 就像IIS服务是操作系统的默认服务一样，因此其服务程序的缺陷对于所有计算机都是常见的. 红色代码的影响不仅限于服务器，还影响许多个人计算机.

（6）Windows操作系统遭受的攻击最多

Windows操作系统更容易受到恶意代码攻击. 它也是病毒攻击最集中的平台. 病毒总是选择配置不当的网络共享和服务作为入口点. 其他溢出问题，包括字符串格式和堆溢出，仍然是过滤后的病毒入侵的基础. 作者选择病毒和蠕虫的攻击点及其附带功能. 另一种缺陷是允许任意或不适当的代码执行. 随着scriptlet.typelib和Eyedog漏洞在中的传播，JS / Kak利用IE / Outlook漏洞恶意代码，导致在信任级别执行了两个ActiveX控件恶意代码，但是它们仍然在用户不知情的情况下执行了非法代码. 最近的一些漏洞文章报告说，Windows Media Player可用于绕过Outlook 2002的安全设置并执行HTML邮件中嵌入的JavaScript和ActiveX代码. 这种新闻肯定会引起黑客的热情. 使用漏洞绕过常规过滤方法是恶意代码使用的典型方法之一.

（7）更改恶意代码类型

此外，另一种恶意代码是使用MIME边界和uuencode标头来处理弱缺陷，将恶意代码伪装成安全的数据类型并诱使客户端软件执行不适当的代码.

五，与恶意代码有关的几个问题

（1）没有标准的病毒防护方法. 专家认为，更安全的方法是每周更新一次病毒，但是在特殊情况下，它需要更频繁地更新. 在1999年，Y2K病毒需要每天进行更新；在2000年5月，为了处理LoveLetter病毒变体，病毒每天进行了几次更新. 应该注意的是，有时这种频繁的更新对保护的影响很小.

（2）用户对Mi​​crosoft的操作系统和应用程序抱怨很多，但是病毒防护工具本身的功能确实是应该受到最多抱怨的因素之一.

（3）启发式病毒搜索没有得到广泛使用，因为删除病毒比调整启发式软件便宜，而且比喻为“治疗比疾病本身更糟糕. ”

（4）企业在防火墙管理和电子邮件管理上花费了大量精力. 建议使用单独的人员和工具来完成此任务.

（5）对恶意代码攻击的数据分析还不够. 尽管某些病毒扫描软件具有系统活动日志，但由于文件大小限制，无法将其长时间保存. 同时，对恶意代码感染程度的度量和分析还不够. 普通企业无法从战术和战略两个层面清楚地描述其公司的安全问题.

（6）病毒扫描软件仅通知用户更改设置，而不是自动修改设置.

（7）病毒防护软件本身具有安全漏洞，易于被攻击者使用，但是病毒软件制造商不愿意谈论它，因为他们害怕受到攻击.

（8）许多软件都可以用于安全管理和安全突破. 问题是故意的，例如攻击者可以使用漏洞扫描程序和嗅探器.

恶意代码的传播正在迅速发展，从引导区域到某些类型的文件的传播，再到宏病毒的传播，电子邮件的传播，互联网的传播以及发作和流行病越来越短. Form引导区病毒于1989年出现，并用了一年时间才开始流行. 宏病毒Concept Macro于1995年出现，花了三个月的时间才开始流行. LoveLetter花了大约一天的时间，而Code Red花了大约90分钟的时间. Nimda花了不到30分钟的时间. 这些数字背后的模式很明显: 在恶意代码演变的每个步骤中，从病毒和蠕虫释放到流行的时间越来越短.

恶意代码本身也越来越多地利用操作系统或应用程序中的漏洞，而不是仅仅依赖于社会工程. 服务器和网络设施越来越成为目标. L10n，PoisonBOx，Code Red和Nimda等蠕虫程序使用漏洞进行自我传播，不再需要采用其他代码

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-263495-1.html