恶意代码分析入门小知识

恶意代码分析入门

参考书籍《恶意代码分析实战》
参考视频，配有实验讲解哦

概述

分析方法主要有两类，静态分析和动态分析，区别在于分析的时候是否运行代码

恶意代码类型

• 后门:恶意代码将自身安装到一台计算机来允许攻击者访问。后门程序通常让攻击者只需很少认证甚至无须认证，便可连接到远程计算机上，并可以在本地系统执行命令。
• 僵尸网络:与后门类似，也允许攻击者访问系统。但是所有被同一个僵尸网络感染的计算机将会从一台控制命令服务器接收到相同的命令。
• 下载器:这是一类只是用来下载其他恶意代码的恶意代码。下载器通常是在攻击者获得系统的访问时首先进行安装的。下载器程序会下载和安装其他的恶意代码。
• 间谍软件:这是一类从受害计算机上收集信息并发送给攻击者的恶意代码。比如:嗅探器、密码哈希采集器、键盘记录器等。这类恶意代码通常用来获取E-mail、在线网银等账号的访问信息。
• 启动器:用来启动其他恶意程序的恶意代码。通常情况下，启动器使用一些非传统的技术，来启动其他恶意程序，以确保其隐蔽性，或者以更高权限访问系统。
• 内核套件:设计用来隐藏其他恶意代码的恶意代码。内核套件通常是与其他恶意代码（如后门)组合成工具套装，来允许为攻击者提供远程访问，并且使代码很难被受害者发现。
• 勒索软件:设计成吓唬受感染的用户，来勒索他们购买某些东西的恶意代码。这类软件通常有一个用户界面，使得它看起来像是一个杀毒软件或其他安全程序。它会通知用户系统中存在恶意代码，而唯一除掉它们的方法只有购买他们的“软件”，而事实上，他们所卖软件的全部功能只不过是将勒索软件进行移除而已。
• 发送垃圾邮件的恶意代码:这类恶意代码在感染用户计算机之后，便会使用系统与网络资源来发送大量的垃圾邮件。这类恶意代码通过为攻击者出售垃圾邮件发送服务而获得收益。
• 蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码。
• 等等