河南大学恶意代码期末复习

知识点

2023年6月21日

8:06

第1章

为什么要提出恶意代码的概念

传统计算机病毒的定义为：在编制或者在计算机程序中插入一组破坏计算机功能或者损坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

计算机病毒的官方定义不能涵盖新型恶意代码，因为比如部分蠕虫以及绝大多数的木马并不具有自我复制的能够，但是他包含被触发时导致数据丢失甚至被窃取的恶意代码。传统定义强调：把破坏代码插入到正常程序中，而忽略把代码直接复制到硬盘上的独立恶意程序（如，木马），忽略恶意程序主动侵入设备（如蠕虫）。并且传统的计算机病毒只限于计算机平台，而智能手机恶意代码则运行于手机平台。关于手机上的恶意代码就不能简单地归类到传统的计算机病毒的概念了。

传统恶意代码没有排除具有恶意行为而不是有意为之，例如不小心形成的恶意行为。

这些不足可能会带来法律问题，使逃脱应有的惩罚。

计算机病毒的特征

• • 非授权可执行性
  • 破坏性
  • 隐蔽性
  • 潜伏性
  • 可触发性

恶意代码的定义：在未授权的情况下，以破坏软硬件设备，窃取用户信息，扰乱用户心理，干扰用户正常使用为目的而编制的软件或代码片段。

一个软件被看做是恶意代码主要是看创作者的意图而不是代码本身的特征。

恶意代码的特征

• • 目的性：是恶意代码的基本特征，是判断一个程序或代码片段是否为恶意代码的最重要特征，也是法律上判断恶意代码的标准。
  • 传播性：是恶意代码表现其生命力的重要手段。
  • 破坏性：是恶意代码的表现手段。
  • 恶意代码和传统计算机病毒有什么共同点和区别

第2章

病毒伪代码的共同性质

• • 对于每个程序，都存在该程序相应的感染形式。可以将病毒看做是一个从程序到一个被感染程序的映射
  • 每一个被感染的程序在每个输入上形成如下三个选择：
    • 破坏。不执行原先的功能，而去完成其他功能。任何一种输入导致破坏以及破坏的形式都与被感染的程序无关而与病毒本身有关。
    • 传染。执行原先的功能，并且如果程序能终止，则传染程序；一个程序被感染的形式与感染它的程序无关。
    • 模仿。不破坏也不传染，不加修改的执行原先的功能。可被看做是一个特例，被传染的程序的个数为0.

模型

• • 基于图灵机的计算机病毒计算模型
  • 基于随机访问计算机的模型
    • ENIAC

Fred. Cohen“四模型”理论

• • 基本隔离模型（杀毒软件）
    • 取消信息共享，将系统隔离开来，使得计算机病毒即不能从外部入侵，可不可能把系统内部的病毒扩散出去
  • 分隔模型
    • 将用户群分隔为不可能互相传递信息的若干封闭子集。由于信息处理流的控制，这些子集可以被看做是系统被分割承德相互独立的子系统。使得计算机病毒只能感染整个系统中的某个子系统，而不会在子系统之间进行相互传播
  • 流模型
    • 对共享的信息流通过的距离设置一个阈值，使得一定量的信息处理只能在一定的区域内流动，如果超过这个设定的阈值，则可能存在某种危险
  • 限制解释模型
    • 采用固定的解释模式，就有可能不被计算机病毒感染。

计算机病毒的结构和工作机制

四个模块之间的关联性

传统的计算机病毒一般由感染模块，触发模块，引导模块（主控模块），破坏模块（表现模块）组成。根据其是否被加载到内存，可分为静态病毒和动态病毒。处于静态的病毒存与存储介质中，一般不能执行感染和破坏的功能，只能通过第三方进行传播（下载，复制，邮件传输）。当病毒经过引导功能被执行而加入到内存时，其转换为动态病毒，满足一定触发条件后就可以进行传染和破坏，对计算机系统和资源造成威胁和损坏。工作流程如下：计算机静态病毒通过第一次非授权加载，其引导模块被执行，转为动态病毒。动态病毒通过某种触发手段不断检查是否满足要求，一旦满足就开始执行破坏和感染功能。病毒的破坏力取决于破坏模块。

引导模块：

为了传播，病毒需要寄生在可以获得执行权限的对象上

寄生对象：

• • 磁盘引导区
  • 特定执行文件

寄生方法：

• • 替代法
  • 链接法

引导过程：

• • 驻留在内存中（准备）
  • 窃取系统控制权（等待）
  • 恢复系统功能（隐蔽）

感染模块：

感染是指计算机病毒由一个载体传播到另一个载体，由一个系统进入到另一个系统的过程

病毒传染条件：

• • 被动传染
    • 用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上，或者通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式教计算机病毒的被动传染
  • 主动传染
    • 以计算机系统的运行以及病毒程序处于激活状态为先决条件，在病毒除以激活状态下，只要传染条件满足，病毒程序能够主动将病毒自身传染给另一个载体或者另一个系统。
  • 传染方式
    • 立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。
    • 驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。
  • 破坏模块
    • 在触发条件满足的情况下，病毒可对系统或磁盘上的文件进行破坏活动，这种破坏活动不一定是删除文件。
  • 触发模块
    • 触发条件：
      • 计算机病毒在传染和发作之前，往往要判断某些特定的条件是否满足，满足则传染或者发作。否则不传染或不发作或只传染不发作
    • 触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡，可以兼顾病毒感染和破坏的条件

第3章

引导型病毒

引导型病毒首先感染软盘的引导区，然后蔓延到硬盘的主引导记录。如果MBR被感染，那么就会视图感染软驱中的软盘引导区。工作原理是：引导型病毒潜伏在软盘引导区，那么就会在系统文件装入内存之前先装入内存，从而获得控制权。引导型病毒用自身的程序代替MBR中的程序，并将扇区移动到硬盘的其他地方。由于系统首先执行主引导区的代码，那么病毒就可以在系统装入之前完成以下操作：

• • 减少系统可用的最大内存量，以便自己需要
  • 改变必要的中断向量，以便传播
  • 读入病毒的其他部分，进行拼装

文件型病毒，有哪几个文件格式的，都是支持多少位的

COM扩展名的文件格式，EXE扩展名的文件格式（MZ-NE-LE-PE）

COM,MZ,NE都是16位，LE是兼容16位和32位，PE是32位

windows操作系统运行于保护模式，保护模式将指令执行分为了4个特权级，ring0，ring1，ring2，ring3.ring0的拥有最高的权限，可以执行诸如端口访问等操作，ring3层拥有最低的权限。应用程序工作在ring3层，只能访问ring3层的数据，操作系统工作在ring0层，可以访问所有层的数据。而其他驱动程序位于ring1、ring2层，每一层只能访问本层以及权限更底层的数据。如果普通程序企图执行ring0指令，那么则会显示“非法指令”的错误信息。

word中宏的定义：能够组织到一起，作为独立命令使用的一系列word命令

宏病毒的定义：利用系统的开放特性，专门制作的一个或多个带有病毒特点的宏的集合，这种病毒宏能够影响计算机的正常使用，并通过文档或模板进行自我复制和传播。

与普通病毒的不同点：

• • 它不感染EXE文件和COM文件，只感染文档文件
  • 宏病毒的编制者只需要懂一种宏语言

要达到宏病毒的传染目的，系统需要具备以下特性：

• • 可以将特定的宏命令附加到指定文件上
  • 可以实现宏命令在不同文件建的共享和传递
  • 可以在未经使用者许可的情况下获得某种控制权

宏病毒的特点：

• • 传播极快
  • 制作方便，变种多
  • 破坏可能性极大
  • 多平台交叉感染
  • 地域性问题
  • 版本问题

第4章

Linux公共误区：

• • 认为一些高性能的安全操作系统可以预防计算机病毒
  • 认为Linux系统尤其可以防止病毒的感染，因为Linux中的病毒都是通过源代码直接编译的，而不是使用二进制文件格式
  • 认为Linux平台是绝对安全的，因为Linux有很多不同的平台，并且每个版本的Linux都有很大的区别。

Linux病毒的分类

• • Shell脚本病毒
    • 不同的LInux下，Shell的差别不大
  • 蠕虫
    • 利用系统程序漏洞，获得系统的管理员权限
      • 跨平台性弱，时效性差
  • 基于欺骗库函数恶意代码
    • 使用LD_PROLOAD环境变量正常的库函数替换为黑客程序
  • 与平台兼容性的病毒
    • C语言编写的（gcc编译器）
    • 汇编语言编写的（ELF）文件格式

ELF格式文件病毒感染原理

• • 无关ELF格式感染方法
    • 覆盖式感染
      • 将病毒体直接复制到宿主文件中，从开始部分覆盖宿主文件，从而宿主文件被感染成单独的病毒体。一般情况下，宿主文件会遭到破坏，如果想要使得病毒执行后仍然交互控制权给宿主文件，则需要给宿主文件备份，这里的思路并不复杂，只是将原宿主文件复制到一个隐藏的文件中，然后再病毒体内执行完之后执行宿主文件，使得进行映射中添加的是原宿主文件的内容。
      • 查找当前目录下的可执行文件
      • 知道可执行文件test后，先将其复制到一份隐藏文件中.test
      • 修改病毒体，使得病毒执行结束后能够执行.test，即交换控制权给宿主文件
      • 复制病毒体到test，覆盖部分宿主文件
      • 执行当前文件的原始文件本分替换当前进行，完成原文件功能。
      • 缺点：增加了额外的文件，增大被发现的可能性
    • 追加式感染
      • 将病毒直接追加到宿主文件，或者将宿主文件追加到病毒之后，并不覆盖宿主文件的行为，从而宿主文件被感染成单纯的病毒体和原宿主文件的合体，在病毒文件执行后交换控制权给宿主文件
      • 查找当前目录下的可执行文件
      • 修改病毒体，使得病毒体执行结束后能够提取宿主文件到一个新文件，然后执行这个新文件进行进程映射替换，即交换控制权给宿主文件。
      • 合并病毒体到test，不覆盖宿主文件，但是放在宿主文件内容之前
      • 病毒体先执行
      • 病毒体执行完后，找到病毒体尾部
      • 提取宿主文件到新文件
      • 执行新文件
  • 相关ELF格式感染方法（判断题）：
    • 文本段之后填充感染
      • 会增大其pagesize的大小
    • 数据段之后插入感染
    • 文本段之前插入感染
    • 函数对其填充区感染
    • 利用NOTE段感染

第5章

特洛伊木马的概念（简答？）

寄宿在计算机里的一种非授权远程控制软件，通过网络控制用户计算机系统，窃取用户私密信息并反馈给攻击者，造成用户信息损伤，系统损伤甚至瘫痪。

木马的组成：

• • 硬件部分
    • 控制端
    • 服务端
    • Internet
  • 软件部分
    • 木马程序
    • 木马配置程序
    • 控制端程序
  • 连接部分
    • 控制端和服务端的IP地址以及端口

木马的基本特征：

• • 隐蔽性
  • 自动运行性
  • 欺骗性
  • 具备自动恢复功能（高级技术）
  • 功能的特殊性

木马与远程控制控制的区别（主观题）：

• • 目标不同，远程控制软件的监听功能是为了保证网络安全而设计得
  • 最大的区别就是木马具有隐蔽性而远程控制软件没有

木马与病毒的区别

• • 病毒具有很强的传染力，而木马没有。木马不能自行传播，而是依赖宿主以及其他假象冒充一个正常的程序。根据综合技术的利用，两者在进行慢慢的融合，木马程序YAI采用了病毒技术，“红色代码”已经具有木马的远程控制功能

木马的分类（选择题吗）：

• • 远程控制性木马：在宿主计算机上做任何事情
  • 发送密码型木马：获得缓存密码，发送到特定的Email中
  • 键盘记录型木马：记录键盘的敲击，在日志文件中检查密码
  • 破坏型木马：唯一功能就是损坏和删除文件
  • FTP型木马。打开21号端口，让所有FTP客户软件的人都可以在没有面的情况下自由上传和下载文件。

木马的工作流程

• • 植入阶段：即采用任何方式将木马放置在目标计算机上，以实现对目标计算机的控制
  • 首次运行阶段：采用社会工程学等手段，诱发或欺骗用户做触发某个动作，当木马首次运行后，木马就建立起来了自己的启动的方式
  • 首次握手阶段：当经历了前面两个阶段后，木马已经运行起来了，但是控制端还不知道木马放置在了哪个机器上，木马还是处于自由状态。这里涉及两个技术，木马主动与控制端联系（木马可以主动地向控制端发送邮件），控制端主动向木马联系（控制端也可以通过扫描技术去发现木马目标机）
  • 建立木马信道：通过前三个阶段，木马已经和控制端取得联系。对于大多数木马来说，前期植入到目标机的木马都是种子或者是简单版本，建立信道之后，通过配置参数或者是下载插件来扩充木马的功能，使其成为一个功能完备的木马。
  • 使用阶段：通过木马通道在控制端和目标主机之间进行命令和数据的交互

木马技术：

反弹式木马：

利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求来去的对外的端口，在通过某些方式连接到木马的客户端，从而窃取用户计算机的资料同时遥控计算机本身

第6章

移动终端恶意代码是以移动终端为感染对象，通过计算机网络以及手机网络作为平台，通过有线或者无线的方式发起攻击，最终造成移动终端异常的各种不良代码。

移动终端的恶意代码感染途径：

• • 终端-终端
  • 终端-网关-终端
  • PC-终端

移动终端恶意代码攻击方式：

• • 短信息攻击
  • 直接攻击手机
  • 攻击网关
  • 攻击漏洞
  • 木马型恶意代码

第7章

• • 蠕虫的概念

是恶意代码的一种，是可以进行自我复制的程序。其传播通常不需要所谓的激活，通过在分布式媒介上散步特定的信息或者错误，从而导致系统拒绝服务并发生锁死。

• • 上述提到的媒介包括：网络，电子邮件，系统漏洞
  • 蠕虫强调的是传播方式
  • 蠕虫的分类
    • 面向企业/局域网，利用系统漏洞使得整个网络瘫痪
    • 面向个人用户，通过网络（邮件/恶意代码）迅速传播
  • 蠕虫与传统病毒的联系
    • 不采用PE格式插入文件的方式，采用复制自身在网络中进行传播
    • 传统病毒感染的对象是计算机系统中的文件系统，而蠕虫的感染目标是因特网中的所有计算机。局域网条件下共享的文件夹，邮件系统，带有恶意的网页，带有漏洞的服务器都是蠕虫传播的良好途径。
    • 具有病毒的共性：
      • 隐蔽性
      • 传播性
      • 破坏性
    • 不利用文件寄生，可以让网络拒绝服务；可以与黑客技术相结合
  • 蠕虫与传统病毒的区别
     

比较项目	传统病毒	蠕虫
存在形式	寄存文件	独立的程序
传染机制	宿主程序运行	主动攻击
传染对象	本地文件	网络计算机

• • 蠕虫和特洛伊木马的联系和区别
    • 共性:
      • 都进行自我传播
      • 都不感染文件
    • 区别
      • 传播特性
        • 特洛伊木马需要诱骗用户上当受骗来进行传播
        • 蠕虫具有自我复制的能力，通过系统来进行传播
      • 目的
        • 蠕虫的目的就是破坏，比如说消耗网络资源，删除用户数据
        • 特洛伊木马的目的是窃取用户信息
  • 蠕虫的特性
    • 具有自我复制能力
    • 具有很强的传播性
    • 具有一定的潜伏性
    • 具有特性的触发性
    • 具有很大的破坏性
    • 可以直接利用漏洞进行攻击
    • 可以与黑客技术相融合
    • 传染方式多
    • 传播速度快
    • 清除难度大
    • 破坏力强
  • 蠕虫病毒由两部分组成：主程序和引导程序
    • 主程序一旦在计算机中建立就开始搜索与当前计算机联网的其他计算机信息，检测计算机的联网状态信息，并利用漏洞在远程机上建立引导程序。
    • 引导程序负责将蠕虫带入他所感染的每一台计算机上
  • 主程序最重要的是传播模块，主要分为扫描、攻击、复制，这样实现自动攻击
    • 扫描：主要负责探测远程主机的漏洞、类似于攻防的的SCAn。向某个远程的主机发射探测漏洞的信号如果成功收到响应之后，则表示发现一个潜在的对象
    • 攻击：利用特定漏洞的攻击方法对潜在主机发起自动攻击，以得到该主机的合适的权限，为后续做好准备
    • 复制：能够实现蠕虫引导程序的远程建立功能，即把引导程序复制到攻击对象上。

第8章

基本概念

勒索型恶意代码：以勒索为主要目的恶意软件--黑客通过技术手段劫持用户设备或者数据资产，并以此为条件，让用户勒索钱财的一种恶意攻击手段。

勒索软件：典型的勒索型恶意代码，通过恐吓，骚扰甚至绑架用户文件的方式，使得用户的数字资产和计算资源无法正常使用，并以此为条件向用户勒索钱财的一种恶意攻击手段或方式。

数据资产哪些：文档、邮件、数据库、源代码、图片

勒索软件的两种形式：

• • 数据加密：遍历本地所有磁盘指定类型文件进行加密操作，加密后文件无法读取。然后生成勒索通知，要求受害者在规定时间内支付一定价值的虚拟货币才能够恢复数据，并承诺受害者缴纳赎金后会协助其将数据恢复，否则会销毁数据。
  • 限制访问：不影响设备上的数据，阻挠受害者访问设备，并向受害者所索要赎金，并显示在屏幕上。

防范措施：

• • 增强安全意识
    • 使用防护工具：对电子邮件进行病毒扫描，系统更新，更新补丁
    • 慎重下载：不随意下载不可信资源，不打开垃圾邮件，不轻信社交平台上的连接
  • 对重要文件备份
    • 对重要文件备份是一个有效措施
    • 同时也要注意存储备份文件系统的安全性
  • 网络隔离措施
  • 网络流量检测
  • 安装和更新补丁

第9章

流氓软件是怎么定义的：

• • 第一个定义：
    流氓软件是指有一定的实用价值，但同时具备电脑病毒和黑客行为特征的软件。它处于合法软件和电脑病毒的灰色地带，它无法卸载，强行弹出广告框以及窃取用户私人信息。
  • 第二个定义：

流氓软件是介于病毒和正规软件之间的软件，他具有正常功能（下载、媒体播放）以及恶意行为（弹广告，开后门），给用户带来实质伤害。它们往往采用特殊的手段频繁弹出广告弹窗，危害用户隐私，严重干扰用户的日常工作，数据安全和个人隐私。

流氓软件的主要特征：

• • 强迫用户安装
    • 不经过用户许可自动安装
    • 不给出明显提示，欺骗用户安装
    • 反复提醒用户安装，使得用户不厌其烦不得不安装
  • 无法卸载
    • 无法完全卸载
    • 正常手段无法卸载
    • 不提供卸载程序，或提供的卸载程序不能使用
  • 干扰用户使用
    • 频繁弹出网络窗口
    • 引导用户使用某功能
  • 具有病毒和黑客特征
    • 消耗机器资源
    • 窃取用户信息

OUTlook漏洞编写的病毒：爱虫，美丽杀，主页，欢乐时光

邮件病毒分类：

• • 附件方式：病毒主要部分隐藏在附件中
    • 主页和爱虫
  • 邮件本身：病毒藏身于邮件本身
    • 欢乐时光
  • 嵌入方式：病毒仅仅把电子邮件作为其传播手段
    • 美丽杀

僵尸网络：

• • 僵尸网络是是指采用一种或多种传播方式，将大量主机感染BOT程序，从而在控制者和被控制主机之间形成一个一对多的控制网络
  • 攻击者通过各种途径传播见识程序感染互联网上的主机，而被感染的主机将通过一个控制信道接受攻击者的指令，形成一个僵尸网络
  • 僵尸网络是被攻击者控制的一群计算机。利用僵尸网络发起大规模网络攻击，如DDOS攻击，海量垃圾邮件
  • 僵尸计算机所保存的信息，如银行账户和口令可被控制者轻松获取
  • 发现僵尸网络十分困难，控制的计算机用户往往不知情

僵尸网络工作原理及特点

• • 分布性的。僵尸网络是分布性的、逻辑的网络，不具备物理拓扑结构，随着BOT程序的传播，会有越来越多的新的僵尸计算机主机加入到其中来
  • 恶意传播。BotNet的形成是采用恶意传播手段的，比如说利用主动漏洞攻击以及恶意邮件
  • 一对多控制。这是其最主要的特点，通过一对多的控制，传达命令并执行相同的行为。

僵尸网络工作过程

• • 传播
    • 通过各种方式传播BOT程序，感染其他机器
  • 加入
    • 任何一台感染主机都会因为隐藏在其身上的BOT程序的发作，而加入到BOTNET中去
  • 控制
    • 攻击者通过中心服务器发送预先设置好的控制指令，控制感染主机执行恶意行为。

僵尸网络的危害

• • DDOS攻击
    • 攻击者可以向所有被控制的僵尸计算机发布指令，使得他们在特定时间同时连续访问特定的网络目标，从而造成DDos攻击。通过僵尸网络可以形成规模庞大的DDOS攻击，而且利用DDOS可以做到更好的同步，使得DDOS的危害更大，更难防范
  • 发送垃圾邮件
    • 有些Bots会设置Socket v4，v5的代理，利用BotNet发送大量的垃圾邮件，从而隐藏发送者自身IP。
  • 窃取用户密码
    • BotNet的控制者可以从僵尸计算机窃取用户的各种敏感信息和其他秘密，并可以使用Sniffer观测感兴趣的网络数据，从而获得网络流量中的密码
  • 滥用资源
    • 攻击者利用BoTnet从事各种需要消耗网络资源的活动，从而使用户的网络性能搜到影响，甚至带来经济损失。

RootKit恶意代码

RootKit是攻击者用来隐藏自己行踪以及保留Root权限工具（比木马更加隐蔽），三要素是隐藏、操纵、收集数据

RootKit的组成

• • 网络嗅探程序：获取网络传输中的用户名和密码
  • 特洛伊木马：为攻击者提供后门
  • 隐藏攻击者的目录和进程的程序：隐藏攻击者痕迹
  • 日志清理工具：清理行踪
  • FIX程序：按照RootKit前伪造替代程序的数据
  • 其他工具

APT（高级持续威胁）

采用先进的手段对特定目标进行长期持续性网络攻击形式

APT的工作流程

• • 定向信息收集
    • 在APT攻击中，攻击者会花几个月或者更长的时间对目标网站进行踩点，进行环境探测以及信息收集，包括线上服务器的状态，应用程序的弱点，业务状态以及员工信息。
  • 单点攻击突破

APT攻击者会采用一切的手段攻击组织员工的计算机，尝试进行单点突破。在多数情况下，攻击者会发送恶意邮件，诱骗攻击者打开恶意附件，或点击一个经过伪造的恶意UTL，希望利用常见软件的0day漏洞，投送其恶意代码

• • 社会工程学（利用人的薄弱点（好奇心，贪心）发送邮件）
  • 远程漏洞攻击（攻击者通过投送恶意代码，利用目标企业使用软件的漏洞执行自身）

• • 建立通道
    • 攻击者控制了员工个人电脑后，需要在攻击者和攻击目标之间建立长期的联系通道，以通过该通道发送攻击指令，传输数据等。这个通道多采用https协议构建，一边突破组织的防火墙
  • 横向渗透
    • 攻击者感兴趣的是组织内部含有众多资产的服务器。通过员工计算机作为跳板，在系统内部进行横向渗透，以攻破更多个人计算机和服务器。
  • 目标行动
    • APT攻击者的最终目标是将敏感数据从被攻击者的网络非法传输到攻击者控制的外部系统，也就是获得有价值的数据

第10章

恶意代码的方法策略概括为6个层次：

• • 检测：通过一种技术手段来判定恶意代码的一种技术
  • 清除：是恶意代码传染过程的一个逆过程
  • 预防：通过一种技术手段防止恶意代码对计算机的传染和破坏（被动式防治，这是通过外围技术提高系统防范策略）
  • 免疫（主动式防治）
  • 数据备份和数据恢复，是在清除技术没法满足需要的时候而不得不采用的一种手段
  • 防范策略：是一种管理手段，而不是技术手段

检测的目的是为了确定恶意代码的种类和状态，根据是否运行代码可分为静态检测和动态检测。

• • 静态检测

静态检测是指在不运行目标程序的情况下运行的检测技术。他是通过二进制统计分析技术、反汇编、反编译技术查看和分析程序的结构，流程以及内容，从而推导出其执行的特性，因此该检测方法是完全的

• • 特征码扫描技术

特征码扫描法是用每种恶意病毒含有的特征码对被检测的对象进行扫描，如果在被检测的对象的内部发现某种特征码，则表明发现该特征码所代表的恶意代码。由两部分组成：

• • 特征码库：各种恶意代码的特征码集合
  • 扫描算法：当前特征码与库中的特征码进行扫描对比

特征码选择的规则

• • 特征码不应该包含病毒的数据区，因为数据区是不断变化的。
  • 在保证唯一性的前提下，特征码应该尽可能的短，以减少时间和空间的消耗。
  • 选择特征码一定要对恶意代码进行完整的分析，才能选择出最具代表性的，确保该特征码可以区分该病毒和其他病毒或者该病毒变种的代码串
  • 所选特征码应该能够区分病毒和正常的非病毒程序

优点：

• • 当特征码选择的很好地时候，病毒检测软件能够让计算机用户使用起来十分的方便快速，即使是对病毒了解很少的用户也能够识别病毒
  • 可以识别病毒的名称
  • 误报率很低
  • 不使用专门的软件，使用编辑软件也可以采用特征码扫描法来扫描特定的程序。
  • 对于检测结果可做杀毒处理。

缺点：

• • 当扫描文件很长时，扫描所花费的时间也很多
  • 不容易选择合适的特征码，有时可能会发生假报警
  • 对于为加入特征码库的新病毒，老版本的扫毒程序无法识别出新病毒
  • 如果恶意代码的制作者掌握了特征码库，那么他很容易改变病毒体内的代码，形成一个新的变种，那么扫描程序就失去了检测能力
  • 不易识别变异类病毒
  • 容易发生误报警，对于正常的程序，如果其中包含了某种恶意代码的特征码，即使该代码段已经失去了执行能力仅仅是杀死的恶意代码的残留体，也依然会发出警报。
  • 收集恶意代码的特征码，费用开销很大
  • 在网络上使用的效率低

• • 启发式扫描技术

通过提取被检测程序的特征，与特征码库中的恶意代买的特征进行对比，如果匹配程度达到给定的阈值，则表示该程序含有恶意代码。

特征包括：已知的植入，隐藏以及修改注册表，还有非常规的指令以及特殊字符

优点：不仅能识别已知的恶意代码还能够识别出一些变种、变形、未知的恶意代码

缺点：如果恶意代码的编织者改变恶意代码的特征，那么就可以避开扫描

• • 完整性分析技术

通过特征算法MD5等获得目标文件的特征哈希值并将其保存为特征文件。定期检查目标文件的特征哈希值是否与原保存文件的特征哈希值一致，判断文件是否被篡改

优点：能有效的识别已知的以及未知的恶意代码

缺点：改变文件内容的因素不单单是被感染病毒了，还有可能是用户正常的操作；必须预先记录正常态的特征哈希值，不能识别出病毒的名称，程序执行的速度可能会编码

• • 基于语义的检测技术

对已知恶意代码以及目标程序进行代码分析，得到程序的语义特征，如控制流、数据流等，判定是否匹配。

缺点：依赖于反汇编代码的精度

• • 动态检测

通过运行目标程序时，检测程序的行为，比较运行环境的变化来检测是否存在恶意行为；通过一次或多次执行目标程序，观测其执行特性来判断是否存在恶意行为。

• • 行为监控分析

根据系统监控工具检测目标程序运行时系统环境发生的变化，根据其行为对系统的影响来判断目标程序是否有恶意。

优点：发现未知病毒

缺点：难度大，误报警

• • 代码仿真分析

这种方法的原理是将目标程序运行在可控的环境中，通过追踪其执行过程中使用的参数，指令特征进行检测分析

能够有效的捕捉异常行为

静态检测包括哪几种？动态检测？每个检测包含了什么内容？

特征码扫描法，组成部分，特点，有什么优缺点，知道他是干啥的

恶意代码的清除：

将感染恶意代码的文件中的病毒模块摘除，并将其恢复成可以正常使用的文件的过程，称为恶意代码的清除。

• • 引导型病毒的清理原理
    • 染毒位置是硬盘主引导扇区，是可以修复的
      • 用无毒软盘启动系统
      • 找一台类型匹配、硬盘分区相同的无毒机器，将其硬盘主引导扇区写入一张无毒软盘，将其软盘插入的染毒机器上，将采集到的主引导扇区数据写入染毒染毒即可修复
    • 染毒位置是硬盘或者软盘的BOOT扇区，可以修复
      • 寻找与染毒盘版本相同的无毒系统软盘，执行SYS命令即可修复
    • 如果引导型病毒将原主引导扇区或BOOT扇区覆盖式的写入到根目录区，被覆盖的根目录区完全被损坏，则不可能修复
    • 如果引导型病毒将原主引导扇区或BOOT扇区覆盖式的写入到第一FAT表，第二FAT表并未被损坏，那么可以修复
      • 可以将第二FAT表的数据复制到第一FAT表
    • 引导型病毒占用其他位置的存储空间，一般采用“坏簇”技术或者“文件结束簇”技术，这些被暂用的空间也是可以收回的。
  • 文件型病毒的清理原理
    • 覆盖型文件病毒清理原理（不可能修复）
      • 由于改型病毒是一种破坏型病毒，他硬性的覆盖了一部分程序的内容，即使该病毒被清除掉，程序也已经被损坏了，无法复原，只能将其彻底删除，没有挽回原文件的余地了。
    • 覆盖型外的文件病毒
      • 原则上都可以被清理干净
      • 根据感染的逆过程来清楚
    • 交叉感染病毒

有时一台计算机内会潜伏存在多种病毒，当一个正常的程序在该计算机上运行时，会感染多种病毒引起交叉感染。

清除的关键：

• • 搞清楚多种病毒的感染顺序
  • 按照感染的先后顺序逆序进行清除

恶意代码手动清除的优缺点

手动清除就是使用Debug，redegit，softice，反汇编等简单工具进行跟踪、清除的方法

• • 优点：
    • 可以处理新病毒或者是疑难病毒
  • 缺点：
    • 需要高技术，比较复杂

恶意代码自动清除的优缺点：

使用杀毒软件等程序自动清除文件中的病毒代码，使之复原

• • 优点：
    • 方便、易于普及
  • 缺点：
    • 滞后，不能完全奏效

预防

• • 计算机监控技术（实时监控）
    • 对脚本、注册表、文件、邮箱、内存的监控
    • 优点：解决了用户对病毒的“未知性”，或者说“不确定性”；实时监控是先前性的，然不是滞后性的。
  • 监控病毒源技术
    • 邮件跟踪体系
    • 网络入口监控防病毒体系
  • 个人防火墙技术

个人防火墙以软件的方式安装在了最终用户的计算机上，阻止了由内到外以及由外到内的威胁，个人防火墙不仅可以检测和控制网络级数据流还可以检测和控制应用级数据流，弥补了边际防火墙和传统杀毒软件的不足。

个人防火墙和边际防火墙的区别：

个人防火墙可以检测和控制应用级数据流

• • 云查杀技术

什么是免疫？

传染模块一般包括两部分：传染条件判断以及实施传染。病毒会给被传染的对象加上标识，如果正常程序自动加上该标识就可以不被病毒传染，起到免疫作用。

数据备份？为什么要备份，重要性是啥？

当受到网络攻击、入侵、硬件故障或者是操作失误等事故发生时，可以快速，完整，简捷，可靠的恢复原有系统，保证系统在一定范围内的正常运行。

三种备份策略：

• • 完全备份，对整个系统或者用户指定的所有文件进行一次全面的备份
  • 增量备份，只备份上一次备份操作以来新创建或者更新数据
  • 差分备份，只备份上一次完全备份后产生和更新的所有数据

	完全备份	增量备份	差分备份
空间使用	最多	最少	少于完全备份
备份速度	最慢	最快	快于完全备份
恢复速度	最快	最慢	快与增量备份

第11章

杀毒软件需要哪些必备的功能？

• • 对病毒的查杀能力
    • 漏报率
    • 误报率
    • 清除能力
  • 自我保护能力
  • 对新病毒的反应能力
    • 软件供应商的病毒信息收集网络
    • 病毒代码的更新周期
    • 软件供应商对用户发现的新病毒的反应周期
  • 对文件的备份和恢复能力
  • 实时监控功能
  • 及时而有效的升级功能
  • 智能安装、远程识别等功能
  • 界面友好，易于操作
  • 对现有资源的占用情况
  • 系统的兼容性
  • 软件的价格
  • 软件商的实力

第12章

为什么需要策略？

• • 技术不能完全解决问题
  • 策略是对技术的补充
  • 策略可以让有限的技术发挥最大的限制作用

单机用户的防范策略

• • 单击用户的系统特点
    • 只有一台计算机
    • 上网方式简单
    • 威胁相对较低
    • 损失相对较低
  • 个人用户的特点
    • 个人用户的恶意代码防范相对简单
    • 个人用户的恶意代码防范意识相对较差
    • 个人用户的恶意代码防范技术更是特别薄弱
  • 一般技术措施
    • 经常从软件提供商那里下载、安转安全补丁程序，对杀毒软件进行升级。
    • 新购置的计算机以及新安全的系统，一定要进行系统升级，确保修补所有已知的安全漏洞
    • 使用高强度的口令。
    • 经常备份重要文件，特别是不易复得的文件
    • 选择并安装经过公安部门认证的防病毒软件，对硬盘定期进行病毒检测以及清除工作。
    • 安装防火墙（软件防火墙），提高系统的安全性
    • 在不使用计算机的时候，一定不要接入互联网，要进行断网。
    • 不要打开陌生人发来的电子邮件，无论他们有多么诱人的标题以及附件。同时也要小心谨慎熟人发来的邮箱附件。
    • 正确配置、使用病毒防治产品。
    • 正确的配置计算机系统，减少病毒入侵事件。充分利用计算机系统提供的安全机制，提高计算机系统防范病毒的能力
    • 定期检查敏感文件，保证及时发现已经感染的病毒以及恶意程序。
  • 上网基本策略
    • 使用匿名的方式浏览
    • 在进行交易以及发送信息时，查看网站的隐私保护策略
    • 安装个人防火墙，保护隐私信息
    • 使用防火墙防病毒程序，防止黑客入侵以及检查黑客程序
    • 网上购物时确定你采用的是安全的连接方式
    • 在线时，不要向任何人透露你的个人信息以及密码
    • 定期更换你的密码
    • 在不使用文件和打印机共享时，关闭这些功能
    • 定期扫描计算机并查找安全漏洞，提高计算机防范蠕虫等恶意代码的能力
    • 不厌其烦的安装补丁
    • 尽量关闭不需要的组件以及应用程序
    • 尽量使用代理服务器
  • 一个好的企业级病毒方法策略包含一下几个步骤：
    • 开发和实现一个防御计划

如何建立一个防御计划：

• • 对预算的管理
  • 精选一个计划小组
  • 组织操作计划小组
  • 制定技术编目
  • 确定防御范围
  • 讨论和编写计划
  • 测试计划
  • 实现计划
  • 提供质量保证测试
  • 对新加入的资产的保护
  • 对快速反应小组的测试
  • 更新和复查预定过程

• • 使用一个好的反病毒扫描程序
  • 加固每个单独系统的安全
  • 配置额外的防御工具

• • 执行计划：
    • 软件部署
    • 分布式更新
    • 沟通方式
    • 最终用户培训
    • 应急响应（面对一次病毒事故需要考虑的步骤）
      • 向负责人报告事件
      • 收集原始资料
      • 最小化传播
      • 让最终用户了解到最新的危险
      • 收集更多的事实
      • 制定一个最初的根除计划
      • 验证根除工作的正常进行
      • 恢复关闭的系统
      • 对恶意代码的再次发作做好准备
      • 确认公共关系的影响
      • 做一次更加深入的分析
  • 何时进行扫描
    • 实时扫描因为任何原因访问到的文件
    • 定时扫描
    • 按需扫描
    • 只扫描进入的新文件