计算机恶意软件的本质完全解析

12888411

从大量各种各样的专业术语、定义和专用名词中，找出和计算机恶意软件相关的部分是一件非常困难的事情。因此，为了保证下面分析的可靠性，我们首先要确定的就是将用于整篇文章的关键术语：

　　· 恶意软件：所谓恶意软件指的是专门开发用于在没有获得用户许可的情况下潜入计算机或者给系统造成损害的软件。

　　· 恶意代码：恶意代码指的是恶意的程序代码，是基于软件的应用程序，通常被称为恶意软件的有效部分。

　　· 反恶意软件工具：这个概念包括了用来处理恶意软件的所有程序，不论它是用来进行实时保护，还是检测和删除现有的恶意软件。反病毒、反间谍软件应用和恶意软件扫描工具都属于反恶意软件工具的范畴。

　　关于恶意软件需要记住的一件重要事情就是，如同生物一样，它的首要目标是复制。至于破坏计算机系统、销毁数据或窃取敏感信息，都是次要的目标。

　　确定了相关的定义后，就让我们来看看目前流行的十种不同类型的恶意软件。

　　1. 臭名昭著的计算机病毒

　　计算机病毒是可以感染计算机的恶意软件，但它们需要其它方面的一些手段提供支持。一个真正的病毒可以通过某种形式的可执行代码从一台计算机传播到另一台。举例来说，病毒可以隐藏在电子邮件包含的PDF文件中。大多数病毒包括以下三个方面的功能：

　　· 复制：一旦宿主程序被激活，病毒和病毒恶意代码进行的第一个操作就是传播。

　　· 隐藏：计算机病毒可以采用多种方法隐藏起来，以防止被反恶意软件工具发觉。

　　· 有效部分：对于病毒来说恶意代码的有效部分可以用来进行任何操作，从关闭计算机到销毁数据都是可以实现的操作。

　　W32.Sens.A、W32.Sality.AM和W32.Dizan.F就是目前比较流行的计算机病毒实例。大部分优秀的反病毒软件都可以在获得病毒特征码后将其清除。

　　2. 日益流行的计算机蠕虫

　　与病毒比起来，计算机蠕虫复杂的多，可以在没有经过用户许可的情况下进行复制。如果恶意软件利用网络(因特网)进行传播，它属于蠕虫的可能性比病毒大得多。蠕虫的主要组成部分是：

　　· 入侵工具：利用受害人计算机的漏洞获取进入方式的恶意代码。

　　· 安装工具：入侵工具让计算机蠕虫可以绕过系统的安全防护机制。接下来，安装工具就接管了控制权，并开始将恶意代码的主体传输到受害的计算机上。

　　· 发现工具：一旦安装完毕，蠕虫就会开始使用几种不同的方法来查找网络上的其他计算机，这些方法包括了寻找电子邮件地址、主机列表以及进行DNS信息查询。

　　· 扫描工具：蠕虫利用扫描工具来确认新发现的目标计算机中是否存在可以被入侵工具攻击的漏洞。

　　· 有效部分：驻留在每个受害人计算机上的恶意代码，可以利用远程连接的应用从日志记录器那里获取用户名和密码。

　　自从1988年莫里斯蠕虫出现开始，这种类型已经成为恶意软件中数量最多的部分。直到今天，Conficker蠕虫还在四处感染计算机系统。包括MBAM、GMER在内的恶意软件扫描工具可以清除大部分的计算机蠕虫。

　　3. 未知的后门软件

　　后门软件类似我们当中的很多人一直在使用的远程访问程序。它们之所以被当着恶意软件，是因为在安装的时间没有经过使用者的容许，而这正是网络攻击者想做的事情。后门软件通常采用下面给出的安装模式：

　　· 一种安装方法是利用目标计算机上的漏洞。

　　· 另一种方法是通过社会工程的方法诱骗用户，让其在不知情的环境下安装后门软件。

　　一旦安装完成，后门软件就可以让攻击者通过远程访问攻击获得计算机的完全控制权。常见的后门软件包括SubSeven、NetBus、深喉(Deep Throat)、 Back Orifice以及Bionet等等。通常情况下，包括MBAM和GMER在内的恶意软件扫描工具可以成功地清除后门软件。

　　4. 神秘的特洛伊木马

　　很难找到比埃德·斯考迪斯和莱尼·泽来特在他们的作品《恶意软件的真相：我们应该怎样对抗恶意代码》中给出的关于特洛伊木马恶意软件更好的定义了：

　　“所谓特洛伊木马，就是指一种从表面上看起来包含了有用或好的功能，但实际上是为了掩盖恶意功能的程序。”

　　在安装的时间，特洛伊木马具有破坏性的有效部分会自动运行，并进行伪装，防止反恶意软件工具发现恶意代码的存在。下面列出的伪装技术就经常会被特洛伊木马采用：

　　· 重命名：恶意软件会伪装成为常见的文件。

　　· 暗中破坏：当系统中已经存在恶意软件的话，反恶意软件工具的安装往往是无法成功的。

　　· 多态代码：对代码进行多态变换可以让恶意软件特征码的更新速度比防御软件的检索速度更快，可以达到隐藏自身的目的。

　　Vundo就是一个最好的例子;它可以欺骗反间谍软件，创建弹出的广告窗口，降低系统的性能，并干扰网页浏览活动。通常情况下。安装在LiveCD上的恶意软件扫描工具可以检测并清除特洛伊木马。

如嫣然

支持下楼主！
谢谢分享。。















热血超辅 热血超辅 热血超辅
热血特辅 热血智辅 热血超辅