查看原文
其他

关于恶意代码的那些事(一)

天宇宁达 CFlab 2024-05-23

1什么是恶意代码
恶意代码(Unwanted Code) 是指故意编制或设置的对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马 (简称木马)、计算机蠕虫 (简称蠕虫)、后门、逻辑炸弹等等。
2恶意代码的分类
  • 恶意代码分类
    恶意代码的分类标准主要是代码的独立性和自我复制性。

  • 不同恶意代码的区别

病毒侧重于破坏系统和程序的能力,木马侧重于窃取敏感信息的能力,蠕虫侧重于网络中的自我复制能力和自我传染能力

  • 常见的恶意代码

3恶意代码基本技术
  • 隐蔽技术

    本地隐藏:防止本地系统管理人员觉察而采取的隐蔽手段。

    ➢  文件隐蔽:将恶意代码的文件命名为与系统的合法程序文件名相似的名称,或者干脆取而代之或者将恶意代码文件附加到合法程序文件中。

    ‍➢  进程隐蔽:附着或替换系统进程,使恶意代码以合法服务的身份运行,从而隐蔽恶意代码。还可以通过修改进程列表程序,修改命令行参数使恶意代码进程的信息无法查询。也可以借助RootKit技术实现进程隐蔽。

    ‍➢  网络连接隐蔽:借用现有服务的端口实现网络连接隐蔽,如使用80端口,攻击者在自己的数据包设置特殊标识,通过标识识别连接信息,未标识的www服务网络包仍转交给原服务程序外理。

    ‍➢  编译器隐蔽:由编译器在对程序代码进行编译时植入恶意代码,从而实现恶意代码在用户程序中的隐藏和原始分发攻击。恶意代码的植入者是编译器开发人员。

    ➢  RootKit隐蔽:利用适当的Rootkit工具,可以很好的隐蔽自身或指定的文件、进程和网络连接等,很难被管理员发现。

    网络隐藏:主要是指通信内容和传输通道的隐藏

    ‍➢  通信内容隐蔽:使用加密算法对所传输的内容进行加密能够隐蔽通信内容。

    ➢  传输通道隐藏:利用隐蔽通道技术,实现对传输通道的隐蔽。(隐蔽通道(Covert Channel) 是一个不受安全机制控制的、利用共享资源作为通信通路的信息流。包括有:存储隐通道和时间隐蔽通道。

  • 生存技术

    恶意代码的生存技术主要包括四种类型:

    ➢  反跟踪技术:通过提高恶意代码分析难度,减少被发现的可能性。

    ‍➢  加密技术:利用加密技术,提高恶意代码自身保护能力。

    ‍➢  模糊变换技术:利用模糊变换技术,恶意代码可以躲避基于特征码的恶意代码检测系统,提高生存能力。

    ‍➢  自动生产技术:利用自动生成技术,在已有的恶意代码的基础上自动生成特征码不断变化的新的恶意代码,从而躲避基于特征码的恶意代码检测。


  • 攻击技术

    ➢  进程注入技术:恶意代码程序将自身嵌入到操作系统和网络系统的服务程序中,不但实现了自身的隐藏,而且还能随着服务的加载而启动。

    ‍➢  三线程技术:恶意代码进程同时开启三个线程其中一个为主线程,负责远程控制的工作。另外两个辅助线程分别是监视和守护线程。一旦发现主线程被删除,则立即设法恢复。

    ‍➢  端口复用技术:重复利用系统或网络服务打开的端口(如80端口),可以欺骗防火墙,具有很强的欺骗性。

    ‍➢  超级管理技术:恶意代码采用超级管理技术对反恶意代码软件系统进行攻击,使其无法正常运行。

    ‍➢  端口反向连接技术:指使恶意代码的服务端(被控制端)主动连接客户端(控制端)的技术。

    ‍➢  缓冲区溢出技术:恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码,造成缓冲区溢出,从而获得被攻击主机的控制权。

//

未完待续
产品咨询
技术工程师
贺   佳:13908073212
王高阳:18513400125

微信助手
 

技术分享——记一次服务器镜像仿真

天宇宁达技术支持——德州电信诈骗案件(GOIP取证)

技术分享——网站重构Q&A(2/2)

关于指纹解锁必须知道的几件事——(2/4)指纹识别流程与算法

关于我们

北京天宇宁达科技有限公司创建于 2016 年,前身为 2009 年的北京天宇宁科技有限公司。历经十余年的发展与积累,天宇宁达已成为国内电子数据取证行业卓越领先的产品与解决方案供应商,同时也是国内知名的电子数据专业取证服务与培训机构。

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存