計算機安全基礎知識[一]

malicious software is software that is designed to perform damaging actions without the user’s
knowledge. Malicious software includes viruses, worms, Trojan horses, and blended threats.  It
also includes programs known as security risks.

 

惡意軟件是在用戶不知情的狀況下執行破壞行爲的軟件，包括病毒，蠕蟲和***，以及混合型的威脅，也包括一些存在安全風險的程序。

 

病毒不必定會破壞系統，可是病毒必定可以自身複製，目前己知的病毒約有7萬種，病毒不必定很大，最小的病毒Tiny.12只有12字節。

 

Payload (負荷) 是***的主要目的，是病毒的次要目的：

 

Common payloads include: 常見的負荷包括：
• Data corruption 數據破壞
• System hijacking  系統劫持
• Destruction of data 摧毀數據
• Dropping files 刪除文件
• Denial of Service attacks (DoS) 拒絕服務***
• Network degradation 網絡破壞
• Data export 數據輸出
• Keystroke logging 鍵擊記錄
• Password stealing 口令偷竊

 

病毒的分類：

 

從感染方式能夠分爲寄生型和覆蓋型。寄生型附着在正常文件之上，被感染文件仍可執行。覆蓋型則會破壞一部分或所有原始文件，被感染文件不能繼續執行。

 

根據是否駐留內存可分爲常駐型和很是駐型。很是駐型容易清除，常駐型駐留在內存中，監視文件系統的活動，隨時感染文件。常駐型不容易發現和清除，它們能夠發現防病毒軟件的掃描行爲並加以躲避。對於Windows下的常駐型病毒，要清除它最好先把操做系統啓動到安全模式，若是不能有效地清除內存中的病毒，也就不可以清除文件系統中感染的病毒。

 

根據病毒的變化形式分爲多態（Polymorphic），變形（Metamorphic）病毒

多態病毒在複製的過程當中會使用不一樣的方法對病毒體進行加密，改變fingerprint。

變形病毒在複製的過程當中會改變本身的代碼。

這兩種病毒比較不容易查殺。

 

陪伴病毒：備份原始文件，用病毒文件替換原始文件。

隱形病毒：在執行後將自身加以隱藏。

Retro病毒：***防病毒軟件。

多體病毒：病毒包括多個部分，如同時是引導型病毒和文件型病毒。

交叉感染和多種類型感染：感染不僅一種對象，使用不僅一種方法。如梅莉莎（感染腳本文件和可執行文件）和愛蟲病毒(便是腳本病毒又是腳本蠕蟲)。

 

按平臺來分：

 

ƒ Windows viruses 目前最多見的病毒，一般感染EXE, DLL, SYS, BIN和SCR文件。病毒一般只能活動在16位，32位或64位某一種類型的系統中。
ƒ Boot record viruses 引導記錄病毒在DOS時代流行，不能感染使用NTFS文件系統的WinNT系統，目前不多見了。
ƒ Macro viruses 採用Office腳本語言編寫，主要感染Word,Excel和PowerPoint文檔，己知的宏病毒大約有7000多種，如今愈來愈少見了，可能存在的位置：Office Program Directory\Templates\NORMAL.DOT，Office Program Directory\Startup，Office Program Directory\XLSTART，Blank Presentation.ppt。
ƒ Script viruses 經過JS或VBS編寫，感染其它的腳本文件，包括HTML, VBS, BAT, JS和CHM，VBS.LoveLetter就是一種腳本病毒。腳本一般能夠不受限制地訪問系統資源，腳本病毒破壞力可能很強，且變種可能不少，不少蠕蟲用腳本編寫。
ƒ Other virus classes 包括DOS（種類很是多，可是不能運行於當今的Windows系統），Macintosh（少於100種），UNIX/Linux（少於100種），Java（30種左右），ActiveX，Palm，Windows CE，Symbian（三種移動設備上的病毒不多，沒有流行。）等系統上流行的病毒。

 

92年是DOS病毒的高峯，此後愈來愈少。96年是引導型病毒的高峯，此後愈來愈少。從99年到如今Windows病毒一直是增加的趨勢，如今佔到90%的比例。