信息安全工程师----第五章 5.2恶意代码

第五章 5.2恶意代码

恶意代码是指没有作用却会带来危险的代码。

恶意代码特点如下：

• 恶意的目的
• 本身是计算机程序

• 通过执行发生作用

  恶意代码命名规则

恶意代码命名一般格式：恶意代码前缀.恶意代码名称.恶意代码后缀

恶意代码前缀是根据恶意代码特征起的名字，具有相同前缀的恶意代码通常具有相同或相似的特征。

1.系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染Windows 操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH(Win32.cih)、FUNLOVE(Win32.Funlove) 。

2.网络蠕虫的前缀是Worm。这种恶意程序的共有特性是通过网络或者系统漏洞进行传播，很大部分的网络蠕虫都有向外发送带毒邮件、阻塞网络的特性。如Wonn.Sasser.f，Worm.Blaster.g。

3.木马病毒其前缀是Trojan。木马病毒的共有特性是通过网络、系统漏洞或者诱惑用户自身执行等方式进入用户的系统并隐藏，然后向外界泄露用户的信息。如Trojan.QQ3344，Trojan.Huigezi.a等。

4.脚本病毒的前缀是Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)。脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortght.c.s)等。

5.其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是Macro，其可能还有第二前缀是Word、Word97、Excel、Exce197等其中之一，以进一步表明其可以感染的office版本。该类病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美而莎(Macro.Melissa)。

6.后门程序的前缀是Backdoor。该类程序的公有特性是通过网络传播，给系统开后门，给自户电脑带来安全隐患。如Backdoor.Agobot.加Backdoor.HackDef.ays。

7.病毒种植程序病毒，这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。

8.破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm. Command. Killer)等。

9.玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼(Joke.Girlghost)病毒。

10.捆绑机病毒的前缀是Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：拥绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。

以上为比较常见的病毒前缀，有时候还会看到一些其他的病毒后缀，譬如:

DoS：会针对某台主机或者服务器进行DoS攻击；

Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

HackTool：黑客工具，可以用于去对其他电踏进行黑客攻击。

CARO命名规则

CARO是一个计算机反病毒研究组织，其创始人制定了一套病毒的命名规则。如今，该命名规则已过时。

计算机病毒

计算机病毒是一段附着在其他程序上的、可以自我繁殖的、具有一定破坏能力的程序代码。复制后任然具有感染和破坏的功能。

计算机病毒具有传染性、破坏性、隐蔽性、潜伏性、破坏性、不可预见性、可触发性、非授权性等。

计算机病毒的生命周期一般包括：

• 潜伏阶段
• 传播阶段
• 触发阶段
• 发作阶段

计算机病毒的引导过程一般包括以下三方面：

1. 驻留内存
2. 取代或扩充系统的原有功能，并窃取系统的控制权

3. 恢复系统功能

   蠕虫

蠕虫是一段可以借助程序自行传播的程序或代码

木马

木马不会自我繁殖，也并不刻意地去感染其他文件，它通过伪装之间来吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、盗取被种者的文件，甚至远程操控被种主机。

木马分为两类：

• 正向连接木马

• 反向连接木马

  恶意代码的防治

发现恶意代码的措施如下：

1. 使用杀毒软件查杀
2. 分析启动项、进程、配置、日志等找到异常
3. 分析系统异常点（异常CPU使用率，网络利用率）从而发现异常

清楚恶意代码步骤：

1. 停止恶意代码的行为
2. 删除恶意代码的所有新建文件
3. 清理启动选项

4. 清除被感染文件的病毒

   计算机取证

计算机取证是将计算机调查和分析技术应用与对潜在的，有法律效力的证据的确定与提取上。

计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护，确认，提取和归档。

与传统证据一样，电子证据必须是可信，准备，完整，符合法律法规的，是法庭所能够接受的。同时，电子证据与传统证据不同，具有高科技性，无形性和易破坏性等特点
计算机取证主要是对电子证据的获取，分析，归档，保存和描述的过程

计算机取证的通常步骤包括：保护目标计算机系统，确定电子证据，收集电子证据，保全电子证据。分析电子证据的信息需要很深的专业知识，应依靠专业的取证专家。通常取证分析工作中用到的技术包括：

1. 对比分析和关键字查询
2. 文件特征分析技术
3. 密码破译
4. 数据恢复与残留数据分析
5. 磁盘备份文件，镜像文件，交换文件，临时文件分析技术
6. 日志记录文件分析
7. 相关性分析等