安全杂记——病毒篇（自我笔记与小白普及）

想写点什么，但是感觉无从下笔，感觉自己脑子里面没有一个很好的架构，学的一些东西也比较杂，就写一写随笔吧，大家随意看看，希望能够对大家有一些帮助（持续手打更新）。

1.病毒

1. 比较火的病毒类型：鬼影病毒、AV终结者末日版、网购木马、456游戏木马、连环木马（后门）、QQ粘虫木马、淘宝客病毒、浏览器劫持病毒、传奇私-Fu劫持者、QQ群蠕虫病毒等。
2. 我看了看手机木马，总结了一些挺有意思的：基本都是跟黄色有关的
   比如：无码高清、咪咪影院、色啦影音、真人美女这种，其他的主要就是一些盗版游戏了。

2.恶意软件生态系统

1. 犯罪集团头目——编写恶意软件——投放恶意软件——进行管理——数据劫持——转移财产
2. 普及一下英文Cybercrime——意思就是：网络犯罪
3. 想实施这一些就需要通过中间人来进行促进：想办法把恶意软件安装到你手机上，这个方法多种多样，不赘述了（这个是可以写本书的）
4. 总而言之，不明来路的软件不要安装
5. OK 这一切完成以后，你就有了一个身份了——“受害者”，然后你就报警然后就看情况了。

谈谈病毒木马啥的怎么在你电脑上秀操作的

1. 简单一点可以分为：感染模块、触发模块、破坏模块、引导模块
2. 工作机制：静态——引导模块——动态——触发模块——触发条件（进行判断）
   如果满足触发条件——感染——然后判断是否满足破坏条件——满足了你就中大奖了——病毒破坏
   不满足触发条件或者破坏条件——病毒潜伏或消散
3. 引导模块：引导前——寄生
   寄生位置：引导区（早期引导型病毒） 可执行文件（文件型病毒）
   寄生手段：替代法（引导型） 链接法（文件型）
   引导过程：驻留内存——窃取系统控制权——恢复系统功能
4. 引导区病毒引导过程
   搬迁系统引导程序->替代为病毒引导程序启动时->病毒引导模块->加载传染、破坏和触发模块到内存->使用常驻技术，最后转向系统引导程序->引导系统
5. 文件型病毒引导过程
   修改入口指令->替代为跳转到病毒模块的指令
   执行时->跳转到病毒引导模块->病毒引导模块->加载传染、破坏和触发模块到内存-〉使用常驻技术，最后，转向程序的正常执行指令一>执行程序

APT攻击（对私人的很少）

1. APT攻击，即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
2. (1)攻击者：拥有高水平专业知识和丰富资源的敌对方。
   (2)攻击目的：破坏某组织的关键设施,或阻碍某项任务的正常进行
   (3)攻击手段：利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
   (4)攻击过程：在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。
3. 比如最近的一次India事件大家都懂
4. 攻击前奏
   在攻击前奏环节，攻击者主要是做入侵前的准备工作。
   入侵实施
   在入侵实施环节，攻击者针对实际的攻击目标，展开攻击。
   后续攻击
   在后续攻击环节，攻击者窃取大量的信息资产或进行破坏，同时还在内部深度的渗透以保证发现后难以全部清除。
5. 社交工程的恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始，就是针对某些特定员工发送钓鱼邮件，以此作为使用APT手法进行攻击的源头。
6. APT28工具系列：SPLM、CORESHELL、Zebrocy等

病毒传染的条件

1. 被动传染(靜态时) ：用戶在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。
2. 主动传染（动态时) ：以计算机采统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。
3. 传染过程：系统（程序）运行过程——>各种模块进入内存——>按多种传染方式传染

传染方式

1. 立即传染：即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感梁磁盘上的其他程序，然后再执行宿主程序。
   驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序，浏览一个网页时传染磁盘上的程序，驻留在采统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。
2. 文件型病毒传染机理
   首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒;
   当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中;
   完成传染后，继续监视系统的运行，试图寻找新的攻击目标；
3. 传染途径：加载执行文件.;浏览目录过程；创建文件过程；

破坏模块

破坏是Vxer的追求，病毒魅力的体现。
破坏对象：系统数据区、文件、内存、系统运行速度、磁盘、CMOS 、主板、网络等。

触发条件

计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。

触发模块

目的:调节病毒的攻击性和潜伏性之间的平衡如果病毒攻击性太强，容易被发现并且被查杀;如果其潜伏性太强，就很难体现其的感染魅力。
可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。

病毒常用触发条件

日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、CPU型号/主板型号触发

常见计算机病毒的技术特征

驻留内存、病毒变种、EPO技术、多态性病毒技术、插入型病毒技术、超级病毒技术、抗分析技术、破坏性感染技术、隐蔽性病毒技术、网络病毒技术
(1)感染引导区病毒(2)感染可执行文件的病毒(3)感染数据文件的病毒
DOS病毒是非常容易书写的恶意代码，5000多种

PC引导流程

1. 加电
2. CPU\BIOS初始化
3. POST自检
4. 引导区、分区表检查
5. 发现操作系统、执行引导程序

正常的引导过程

1. MBR和分区表装载DOS引导区
2. 运行DOS引导程序
3. 加载IO.sys MSDOS.sys
4. 加载DOS

用被感染的软盘启动

1. 引导型病毒从软盘加载到内存
2. 寻找DOS引导区的位置
3. 将DOS引导区移动到别的位置
4. 病毒将自己写入原DOS引导区的位置

病毒在启动时获得控制权

1. MBR和分区表将病毒的引导程序加载进内存
2. 运行病毒引导程序
3. 病毒驻留内存
4. 原DOS引导程序执行并加载DOS系统

BIOS和UEFI固件引导病毒简介

著名的情报组织“方程式”就具有其在硬盘控制芯片中植入恶意代码的能力，并在我国多个重要部门陆续发现相关样本。

植入前提条件

1. 需要物理控制目标机器
2. 插入移动存储设备
3. COM(Copy Of Memory) COM格式文件最大64KB
4. EXE一般叫做MZ格式，EXE文件打开二进制前两位字母为M和Z。比COM先进于动态重定位功能，感染难度高。
5. 根据文件头信息将代码装入内存、根据重定位表修正代码、从文件头中指定入口开始执行
6. 
   
   
   
   

一堆图片

忘记说了，病毒、木马并不是一个概念，但可以简单概括到恶意代码里面，关于恶意代码的内容大家可以自行搜一下。出于篇幅太大，我就不赘述了。