什麼是惡意軟體?術語「惡意軟體」用作乙個集合名詞,來指代故意在計算機系統上執行惡意任務的病毒、蠕蟲和特洛伊木馬。太籠統?下文將目前流行的十種計算機惡意軟體的本質詳細解析,讓你了解惡意軟體。
從大量各種各樣的專業術語、定義和專用名詞中,找出和計算機惡意軟體相關的部分是一件非常困難的事情。因此,為了保證下面分析的可靠性,我們首先要確定的就是將用於整篇文章的關鍵術語:
· 惡意軟體:所謂惡意軟體指的是專門開發用於在沒有獲得使用者許可的情況下潛入計算機或者給系統造成損害的軟體。
· 惡意**:惡意**指的是惡意的程式**,是基於軟體的應用程式,通常被稱為惡意軟體的有效部分。
· 反惡意軟體工具:這個概念包括了用來處理惡意軟體的所有程式,不論它是用來進行實時保護,還是檢測和刪除現有的惡意軟體。反病毒、反間諜軟體應用和惡意軟體掃瞄工具都屬於反惡意軟體工具的範疇。
關於惡意軟體需要記住的一件重要事情就是,如同生物一樣,它的首要目標是複製。至於破壞計算機系統、銷毀資料或竊取敏感資訊,都是次要的目標。
確定了相關的定義後,就讓我們來看看目前流行的十種不同型別的惡意軟體。
1. 臭名昭著的計算機病毒
計算機病毒是可以感染計算機的惡意軟體,但它們需要其它方面的一些手段提供支援。乙個真正的病毒可以通過某種形式的可執行**從一台計算機傳播到另一台。舉例來說,病毒可以隱藏在電子郵件包含的pdf檔案中。大多數病毒包括以下三個方面的功能:
· 複製:一旦宿主程式被啟用,病毒和病毒惡意**進行的第乙個操作就是傳播。
· 隱藏:計算機病毒可以採用多種方法隱藏起來,以防止被反惡意軟體工具發覺。
· 有效部分:對於病毒來說惡意**的有效部分可以用來進行任何操作,從關閉計算機到銷毀資料都是可以實現的操作。
w32.sens.a、w32.sality.am和w32.dizan.f就是目前比較流行的計算機病毒例項。大部分優秀的反病毒軟體都可以在獲得病毒特徵碼後將其清除。
2. 日益流行的計算機蠕蟲
與病毒比起來,計算機蠕蟲複雜的多,可以在沒有經過使用者許可的情況下進行複製。如果惡意軟體利用網路(網際網路)進行傳播,它屬於蠕蟲的可能性比病毒大得多。蠕蟲的主要組成部分是:
· 入侵工具:利用受害人計算機的漏洞獲取進入方式的惡意**。
· 安裝工具:入侵工具讓計算機蠕蟲可以繞過系統的安全防護機制。接下來,安裝工具就接管了控制權,並開始將惡意**的主體傳輸到受害的計算機上。
· 發現工具:一旦安裝完畢,蠕蟲就會開始使用幾種不同的方法來查詢網路上的其他計算機,這些方法包括了尋找電子郵件位址、主機列表以及進行dns資訊查詢。
· 掃瞄工具:蠕蟲利用掃瞄工具來確認新發現的目標計算機中是否存在可以被入侵工具攻擊的漏洞。
· 有效部分:駐留在每個受害人計算機上的惡意**,可以利用遠端連線的應用從日誌記錄器那裡獲取使用者名稱和密碼。
自從2023年莫里斯蠕蟲出現開始,這種型別已經成為惡意軟體中數量最多的部分。直到今天,conficker蠕蟲還在四處感染計算機系統。
3. 未知的後門軟體
後門軟體類似我們當中的很多人一直在使用的遠端訪問程式。它們之所以被當著惡意軟體,是因為在安裝的時間沒有經過使用者的容許,而這正是網路攻擊者想做的事情。後門軟體通常採用下面給出的安裝模式:
· 一種安裝方法是利用目標計算機上的漏洞。
· 另一種方法是通過社會工程的方法誘騙使用者,讓其在不知情的環境下安裝後門軟體。
一旦安裝完成,後門軟體就可以讓攻擊者通過遠端訪問攻擊獲得計算機的完全控制權。常見的後門軟體包括subseven、netbus、深喉(deep throat)、 back orifice以及bionet等等。通常情況下,包括mbam和gmer在內的惡意軟體掃瞄工具可以成功地清除後門軟體。
4. 神秘的特洛伊木馬
很難找到比埃德·斯考迪斯和萊尼·澤來特在他們的作品《惡意軟體的真相:我們應該怎樣對抗惡意**》中給出的關於特洛伊木馬惡意軟體更好的定義了:
「所謂特洛伊木馬,就是指一種從表面上看起來包含了有用或好的功能,但實際上是為了掩蓋惡意功能的程式。」
在安裝的時間,特洛伊木馬具有破壞性的有效部分會自動執行,並進行偽裝,防止反惡意軟體工具發現惡意**的存在。下面列出的偽裝技術就經常會被特洛伊木馬採用:
· 重新命名:惡意軟體會偽裝成為常見的檔案。
· 暗中破壞:當系統中已經存在惡意軟體的話,反惡意軟體工具的安裝往往是無法成功的。
· 多型**:對**進行多型變換可以讓惡意軟體特徵碼的更新速度比防禦軟體的檢索速度更快,可以達到隱藏自身的目的。
vundo就是乙個最好的例子;它可以欺騙反間諜軟體,建立彈出的廣告視窗,降低系統的效能,並干擾網頁瀏覽活動。
5. 給人們帶來大量煩惱的廣告軟體/間諜軟體
廣告軟體指的是可以在未經使用者許可的情況下建立彈出廣告的軟體。通常情況下,廣告軟體是作為乙個組成部分安裝在免費軟體中的。除了非常討人嫌以外,廣告軟體還會顯著降低計算機的效能。
間諜軟體指的是可以在使用者不知情的情況下從計算機上收集資訊的軟體。為什麼閱讀使用者協議是非常重要的,就是因為間諜軟體經常採用臭名昭著的自由軟體作為有效載體。關於間諜軟體最典型的例子就是,索尼bmg娛樂公司的光碟複製保護醜聞。
大部分反間諜軟體都可以從計算機中快速找出未經許可的廣告軟體/間諜軟體,並將它們刪除。定期刪除臨時檔案、cookie和網路瀏覽器的歷史記錄,對網路瀏覽器進行預防性維護,聽起來也不是乙個壞主意。
惡意軟體混合體
到目前為止,我們所討論的所有型別惡意軟體都具有明顯的特徵,歸類起來很方便。但不幸的是,下面的情況就不一樣了。為了提高攻擊的成功率,惡意軟體開發者已經發現獲得最佳效能的方法是將不同型別的惡意軟體結合起來。
rootkits就是乙個這樣的例子,乙個特洛伊木馬和後門程式被封裝在同乙個載體中。這樣的話,在使用的時間,攻擊者就可以遠端訪問計算機,在不受懷疑的情況下完成整個攻擊。rootkits已經成為計算機面臨的最大威脅之一了,因此,我們需要對它有乙個深入的了解。
迥然不同的rootkits
類似大多數的惡意軟體,rootkits選擇的是在現有作業系統中進行改動而不是安裝新的應用。這種方式是非常有效的,因為它讓反惡意軟體工具的監測變得非常困難。
rootkits包含了幾種不同的型別,但目前比較流行的主要是三種型別。它們是使用者模式、核心模式、和韌體rootkit。在下面,我們先對使用者模式和核心模式進行一下了解:
· 使用者模式:在該模式下,**通過受限連線進入計算機,獲取軟體和硬體資源的使用許可權。通常情況下,計算機上的大部分**都執行在使用者模式下。由於採用的是受限連線,在使用者模式下造成的損害是可以恢復的。
· 核心模式:在這種模式下,**已經可以不受限制地控制計算機上所有的軟體和硬體資源。通常情況下,核心模式是作業系統保留給最值得信賴功能的。在核心模式模式下造成的損害是不可恢復的。
6. 使用者模式的rootkit
現在,我們知道了使用者模式的rootkit可以和計算機系統管理員擁有相同的許可權。這就意味著:
· 使用者模式的rootkit可以對程序、檔案、系統驅動程式、網路埠甚至系統服務進行改動。
· 使用者模式的rootkit還是需要複製檔案到計算機的硬碟驅動器上進行安裝,並且在每次系統啟動的時間自動載入。
hacker defender就是使用者模式的rootkit的乙個例子。
7. 核心模式的rootkit
由於使用者模式的rootkit可以被發現和清除,rootkit設計者們變換了一種思路,並開發出核心模式的rootkit:
· 核心模式意味著rootkit和作業系統以及rootkit檢測軟體擁有相同的許可權。
· 這讓rootkit可以控制作業系統,也就意味著作業系統也不能被信任了。
對於核心模式的rootkit來說,不穩定性是乙個缺點,通常情況下,它會經常導致無法解釋的崩潰或藍屏。基於這種原因,選擇使用gmer是乙個不錯的想法。作為值得信賴的rootkit清除工具,它可以清除包括rustock在內的核心模式的rootkit。
8. 韌體rootkit
由於rootkit開發者了解了將惡意**儲存在韌體中的方法,韌體rootkit成為了惡意軟體混合體的新發展。在這裡,韌體可以是從微處理器**到pci擴充套件卡韌體的任何位置。這就意味著:
· 當計算機關閉的時間,rootkit可以將惡意**寫入當前指定的韌體。
· 重新啟動計算機的時間,rootkit就會重新安裝。
即使清理軟體發現並清除了韌體rootkit,在計算機下次啟動的時間,韌體rootkit也會重新出現。
9. 惡意移動**
當惡意軟體有效地結合了多種單項惡意**可以實現最大限度的破壞時,就會被認為屬於混合威脅。儘管如此,對於混合威脅來說特別值得一提的是,安全專家不情願地承認它們做的是最出色的。混合威脅通常包括以下幾項功能:
· 利用已知的漏洞,甚或製造漏洞。
· 複製替代模式。
· 清除使用者的防禦,自動執行**。
混合威脅的惡意軟體,舉例來說,可以是一封html格式的電子郵件,郵件中包含了乙個嵌入式木馬,而在pdf附件中,則包含了另一種不同型別的木馬。比較著名的混合威脅有,尼姆達(nimda)、紅色**(codered)以及妖怪(bugbear)。從計算機中清除混合威脅型惡意軟體的話,可能需要綜合利用多種不同的反惡意軟體工具以及安裝在livecd上的惡意軟體掃瞄工具。
總 結對於惡意軟體來說:它本身可能會帶來是什麼樣的破壞呢?關於這個問題,有幾點想法:
· 惡意軟體在可預見的未來是不會消失的。特別是它變得越來越有用,可以帶來很多鈔票的時間。
· 由於所有的反惡意軟體工具起到的都是反作用,所以它們是注定要失敗的。
· 作業系統和應用軟體開發商對於軟體漏洞需要採取零容忍的態度。
· 計算機的使用者需要在安全方面花費更多的時間和精力以保證可以應對不斷發展變化的惡意軟體。
· 關於這一點怎麼強調都是不過分的,請務必保持作業系統及應用軟體的及時更新。
基於機器學習的惡意軟體檢測(二)
乙個有效的,強大的和可擴充套件的惡意軟體識別模組是每個網路安全產品的關鍵組成部分。基於預執行和執行後兩階段收集的資料,惡意軟體識別模組來決定乙個物件是否是乙個威脅。預執行階段的資料 乙個檔案在執行前可獲得所有資料。這可以包括可執行檔案格式描述 描述 二進位制資料統計 通過 提取文字字串和資訊機其他相...
人工智慧 機器學習及非惡意軟體攻擊的聯絡和缺陷
3月30日訊 在乙份新的研究報告中,carbon black總結了400多名領先網路安全研究人員對非惡意軟體攻擊 人工智慧和機器學習等的看法。carbon black首席技術官麥可 維斯庫索表示,基於網路安全研究人員對當前人工智慧驅動的安全解決方案的理解,網路安全目前仍是乙個 人與人 的戰爭,只是該...
軟體工程基礎學習之軟體測試型別 軟體維護
五 測試的型別 軟體測試分為兩大類 動態測試和靜態測試。1.動態測試 動態測試指通過執行程式發現錯誤,分為 黑盒測試法 黑盒測試又稱為功能測試或資料驅動測試。把被測試物件看成乙個黑盒子,測試人員完全不考慮程式的內部結構和處理過程,只在軟體的介面處進行測試,依據需求規格說明書,檢查程式是否滿足功能要求...