文章目录
一、恶意代码的发展史
1.发展史
1949年——冯诺依曼在《复杂自动机组织论》提出概念
1960年——生命游戏(约翰·康维)
磁芯大战(道格拉斯·麦耀莱、维特·维索斯基、罗伯·莫里斯)
1973年——真正的恶意代码在实验室产生
1981年-1982年——在APPLE-II的计算机游戏中发现EIk cloner
1986年——第一个PC病毒: Brain virus
1988年——Morris Internet worm 6000多台
1990年——第一个多态病毒(躲避病毒查杀)
1991年——virus construction set-病毒生产机
1994年——Good Times(joys)
1995年——首次发现macro virus
1996年——netcat的UNIX版发布(nc)
1998年——第一个Java virus(StrangeBrew)
1998年——netcat的Windows版发布 (nc)
1998年——back orifice(BO)/CIH
1999年——melissa/worm(macrovirus by email)
1999年——back orifice(BO) for WIN2k
1999年——DOS/DDOS-Denial of Service TFT/trin00
1999年——knark内核级rootkit(linux)
2000年——love Bug(VBScript)
2001年——Code Red - worm(overflow for IIS)
2001年——Nimda-worm(IIS/outlook/file share etc.)
2002年——setiri后门
2002年——SQL slammer(sqIserver)
2003年——hydan的steganography工具
2003年——MSBlaster/Nachi
2004年——MyDoom/Sasser
2006年——熊猫烧香
……
二、恶意代码分类与传播方式
1.恶意代码的发展趋势
(1)从传播速度 上来看
恶意代码爆发和传播速度越来越快
(2)从攻击意图 来看
从游戏、炫耀逐步转向恶意牟利
(3)从功能上来看
恶意代码的分工越来越细
(4)从实现技术来看
恶意代码实现的关键技术不断变化
(5)从传播范围来看
恶意代码呈现多平台传播的特征
2.传播方式
(1)移动存储
①自动播放功能
例:Windows默认、自动执行autorun.inf指定的文件
②设置
例:组策略编辑器
(2)恶意代码传播方式文件传播
①文件感染
②软件捆绑
强制安装:在安装其他软件时被强制安装上
默认安装:在安装其他软件是被默认安装上
(3)网页
①将木马伪装为页面元素
②利用脚本运行的漏洞
③伪装为缺失的组件
④通过脚本运行调用某些com组件
⑤利用软件漏洞
(4)邮件
①社会工程学
欺骗性标题
吸引人的标题
②利用系统及邮件客户端漏洞
(5)通讯与数据传播
①即时通讯
②P2P下载
(6)共享
①管理共享
②用户共享
③典型病毒
(7)主动放置
利用系统提供的上传渠道(FTP、论坛等)
攻击者已经获得系统控制权
攻击者是系统开发者
(8)软件漏洞
①利用各种系统漏洞
②利用服务漏洞
三、恶意代码的启动技术
1.加载方式
(1)随系统启动而加载
开始菜单启动项、启动配置文件、注册表、服务、组策略
(2)随文件执行加载
感染/文件合并、浏览器插件、修改文件关联
(3)其他
四、恶意代码生存技术
1.进程保护
进程守护、超级权限
2.检测对抗
反动态调试、反静态调试
五、恶意代码隐蔽技术
1.隐藏通常包括本地隐藏和通信隐藏
其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等通信隐藏主要包括通信内容隐藏和传输通道隐藏。
2.RootKit技术
本地隐藏,就是rookit技术
恶意代码的隐藏或多或少都与RootKit技术相关