恶意代码与计算机病毒复习（上）

1. 恶意代码:

   ​ 定义：恶意代码是在未授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。

   ​ 特征：（1）目的性 （2）传播性 （3）破坏性

   ​ 种类：（1）普通计算机病毒 （2）蠕虫 （3）特洛伊木马 （4）Rootkit工具 （5）流氓软件 （6）间谍软件 （7）恶意广告 （8）逻辑炸弹 （9）后门 （10）僵尸网络 （11）网络钓鱼 （12）恶意脚本 （13）垃圾信息 （14）勒索病毒 （15）移动终端恶意代码

   ​ 恶意代码发作后得到表现现象：

   ​ （1）无法启动系统

   ​ （2）系统文件丢失或被破坏

   ​ （3）部分BIOS程序混乱

   ​ （4）部分文档丢失或被破坏

   ​ （5）部分文档自动加密

   ​ （6）目录结构发生混乱

   ​ （7）网络无法提供正常服务

   ​ （8）浏览器自动访问非法网站

   ​ 与恶意代码现象类似的硬件故障;

   ​ （1）硬件配置问题

   ​ （2）电源电压不稳定

   ​ （3）接触不良

   ​ （4）驱动器故障

   ​ （5）CMOS的问题

   ​ 与恶意代码现象类似的软件故障;

   ​ （1）软件程序已被破坏

   ​ （2）软件与操作系统不兼容

   ​ （3）引导过程故障

   ​ （4）使用不同的编译软件导致错误

2. 传统计算机病毒的结构：一般由感染模块、触发模块、破坏模块（表现模块）和引导模块（主控模块）组成。

   ​ 引导模块：

   ​ 计算机病毒的寄生对象：（1）磁盘引导扇区 （2）特定文件

   ​ 计算机病毒的寄生方式：（1）替代法 （2）连接法

   ​ 计算机病毒的引导过程：（1）驻留在内存中 （2）窃取系统控制权 （3）恢复系统功能

   ​ 感染模块：

   ​ 计算机病毒的传染方式：（1）立即传染 （2）驻留在内存并司机传染

   ​ 文件型病毒通过与磁盘文件有关的操作进行感染，主要的传染途径有：（1）加载执行文件 （2）浏览 目录过程 （3）创建文件过程

   ​ 破坏模块：

   ​ 病毒破坏和攻击部位主要有：系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络。

   ​ 触发模块：

   ​ 触发条件：（1）日期触发 （2）时间触发 （3）键盘触发 （4）感染触发 （5）启动触发 （6）访问 磁盘次数触发 （7）CPU型号/主板型号触发

3. PE文件结构和运行原理：

   ​ 文件结构：从起始位置开始依次是DOS头，NT头，节表以及具体的节。
   

4. PE文件型病毒关键技术：

   ​ （1）病毒的重定位

   ​ （2）获取API函数

   ​ （3）文件搜索

   ​ （4）内存映射文件

   ​ （5）病毒如何感染其他文件

   ​ 步骤：（1）判断目标文件开始的两个字节是否为MZ

   ​ （2）判断PE文件标记PE

   ​ （3）判断感染标记，如果已被感染过则跳出，继续执行宿主程序，否则继续

   ​ （4）获得Data Directory的个数

   ​ （5）得到节表起始位置（数据目录的偏移地址+数据目录占用的字节数=节表起始位置）

   ​ （6）得到节表末尾偏移（节表起始位置+节表的个数*每个节表占用的字节数28H=节表的末位偏移）

   ​ （7）开始写入节表

   ​ （8）在新添加的节中写入病毒代码

   ​ （6）如何返回到宿主程序

5. Ring3和Ring0：

   ​ Windows操作系统运行在保护模式，保护模式将指令执行分为4个特权级，即Ring0、Ring1、Ring2、Ring3

6. 宏病毒：

   1. 定义：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
   2. 特点：（1）传播极快 （2）制作方便，变种多 （3）破坏可能性大 （4）多平台交叉感染 （5）地域性 问题 （6）版本问题

7. 特洛伊木马

   1. 定义：是一种与远程计算机之间建立连接，使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。

   2. 组成：硬件部分、软件部分、具体连接部分

      ​ 硬件部分：（1）控制端 （2）服务端 （3）Internet

      ​ 软件部分：（1）控制端程序 （2）木马程序 （3）木马配置程序

      ​ 具体连接部分：（1）控制端IP和服务端IP （2）控制端端口和木马端口

   3. 基本特征：（1）欺骗性 （2）隐蔽性 （3）自动运行性 （4）自动恢复功能 （5）功能的特殊性

      1. 木马的分类：（1）远程控制型木马 （2）发送密码型木马 （3）键盘记录性木马 （4）毁坏型木马 （5）FTP型木马

8. 网站挂马技术：（1）框架挂马 （2）js挂马 （3）图片伪装挂马 （4）网络钓鱼挂马 （5）伪装挂马

   隐藏技术：（1）反弹式木马技术 （2）用ICMP方法隐藏连接 （3）隐藏端口 （4）Windows NT系统下木马进程的隐藏 （5）远程线程技术

9. 蠕虫的分类：

   ​ （1）面前企业用户和局域网的，主动进行攻击，可使整个因特网瘫痪，代表有：“红色代码”、“尼姆达”、“SQL蠕虫王”

   ​ （2）针对个人用户的，通过网络迅速传播，代表有：“爱虫”、“求职信”

10. RPC（远程过程调用）漏洞：当存在RPC远程执行漏洞的系统收到攻击者构造的RPC请求时，可能允许远程执行恶意代码，引起安装程序、查看或更改、删除数据或者建立系统管理员权限的账户等，而无需通过验证。

    攻击端口：135