计算机病毒基础概述
病毒
恶意代码,感染或附着在应用程序或文件中,一般通过邮件或者文件共享等协议传播,威胁用户主机和网络安全。
有些会耗尽主机资源,占用网络带宽。
有些会控制主机权限,窃取用户数据
有些会对主机硬件造成破坏
威胁场景
内网访问外网,且从外网下载文件。
内网服务器接受外网用户上传文件。
传播途径
电子邮件
HTML正文可能被嵌入恶意脚本
邮件附件携带病毒压缩文件
利用社会工程学进行伪装,增大病毒传播机会
快捷传播特性
网络共享
病毒会搜索本地网络中存在的共享,包括默认共享,比如ADMIN$、IPC$、E$、D$、C$。
通过空口令或弱口令猜测,获得完全访问权限
病毒自带口令猜测列表
将自身复制到网络共享文件夹中
通常以游戏、CDKEY等相关名字命名。
p2p共享软件
将自身复制到P2P共享文件夹
通常以游戏、CDKEY等相关名字命名
通过P2P软件共享给网络用户
利用社会工程学进行伪装,诱使用户下载
系统漏洞
由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可以执行任意代码。
病毒往往利用系统漏洞进如系统,达到传播的目的。
比如:
微软IIS漏洞
快捷方式文件解析漏洞
RPC远程执行漏洞
打印机后台程序服务漏洞
广告软件/灰色软件
灰色软件:不被认为是病毒木马,但对用户的计算机会造成负面影响的软件。比如说广告软件,他们有时候是由用户主动安装,更多的是与其他正常软件进行绑定而被安装。
其他
网页感染、与正常软件捆绑、用户直接运行病毒程序、由其他恶意程序释放。
计算机病毒分类
按照恶意代码功能分类:病毒、蠕虫、木马
按照传播机制分类:可移动媒体、网络共享、网络扫描、电子邮件、P2P网络
按照感染对象分类:操作系统、应用程序、设备
按照携带者对象分类:可执行文件、脚本、宏、引导区
病毒组成
感染标记
感染程序模块
破坏程序模块
触发程序模块
工作原理
计算机病毒感染的一般过程为:
当计算机运行染毒的宿主程序时,病毒夺取控制权
寻找感染的突破口
将病毒程序嵌入感染目标中