什么是恶意软件以及其特征.pdf

什么是恶意软件以及其特征

什么是恶意软?

本指南将术语恶意软件用作一个集合名词，来指代故意在计算机系统上执行

恶意任务的病毒、蠕虫和特洛伊木马。

那么，计算机病毒或蠕虫的确切含义是什么？它们和特洛伊木马之间有哪些

不同之处？防病毒应用程序是仅对蠕虫和特洛伊木马有效，还是仅对病毒有效？

所有这些问题都起源于令人迷惑且通常被曲解的恶意代码世界。现有恶意代

码的数目和种类繁多，因此很难为每个恶意代码类别提供一个准确的定义。

对于笼统的防病毒讨论，可使用以下简单的恶意软件类别定义：

•特洛伊木马。该程序看上去有用或无害，但却包含了旨在利用或损坏运

行该程序的系统的隐藏代码。特洛伊木马程序通常通过没有正确说明此程序的用

途和功能的电子邮件传递给用户。它也称为特洛伊代码。特洛伊木马通过在其运

行时传递恶意负载或任务达到此目的。

•蠕虫。蠕虫使用自行传播的恶意代码，它可以通过网络连接自动将其自

身从一台计算机分发到另一台计算机上。蠕虫会执行有害操作，例如，消耗网络

或本地系统资源，这样可能会导致拒绝服务攻击。某些蠕虫无须用户干预即可执

行和传播，而其他蠕虫则需用户直接执行蠕虫代码才能传播。除了复制，蠕虫也

可能传递负载。

•病毒。病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿

主程序，以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程

序执行时，病毒代码也随之运行，并会感染新的宿主，有时还会传递额外负载。

对于本指南的用途而言，负载是一个集合术语，表示恶意软件攻击在已感

染计算机上执行的操作。各种恶意软件类别的上述定义使得可以通过一个简单的

流程图来说明这些类别之间的不同之处。下图说明了可用来确定程序或脚本是否

属于这些类别的元素：

图2.1恶意代码决策树

通过此图，可以区分对于本指南用途而言的每种常见恶意代码类别。但是，

了解单个攻击所引入的代码可能适合一个或多个类别是非常重要的。这些类型的

攻击（称作混合威胁，包含使用多种攻击方法的多个恶意软件类型）会以极快的

速度传播。攻击方法是恶意软件可用于发起攻击的例程。由于这些原因，混合威

胁特别难以应对。

以下部分对每种恶意软件类别进行了更为详细的解释，以帮助说明每种类

别的一些主要元素。

特洛伊木马

特洛伊木马不被认为是计算机病毒或蠕虫，因为它不自行传播。但是，病

毒或蠕虫可用于将特洛伊木马作为攻击负载的一部分复制到目标系统上，此过程

称为发送。特洛伊木马的通常意图是中断用户的工作或系统的正常运行。例如，

特洛伊木马可能在系统中提供后门，使黑客可以窃取数据或更改配置设置。

在提及特洛伊木马或特洛伊类型活动时，还有两个经常使用的术语，其识

别方法和解释如下：

•远程访问特洛伊。某些特洛伊木马程序使黑客或数据窃取者可以远程地

控制系统。此类程序称为远程访问特洛伊(RAT)或后门。RAT的示例包括Back

Orifice、Cafeene和SubSeven。

有关此类特洛伊木马的详细说明，请参阅MicrosoftTechNet网站上的文

章Danger:RemoteAccessTrojans，网址为

/technet/security/topics/virus/virusrat.mspx（英文）。

•Rootkit。Rootkit是软件程序集，黑客可用来获取计算机的未经授权的远

程访问权限，并发动其他攻击。这些程序可能使用许多不同的技术，包括监视击

键、更改系统日志文件或现有的系统应用程序、在系统中创建后门，以及对网络

上的其他计算机发起攻击。Rootkit通常被组织到一组工具中，这些工具被细化

为专门针对特定的操作系统。第一批Rootkit是在20世纪90年代被识别出

来的，当时Sun和Linux操作系统是它们的主要攻击对象。目前，Rootkit可

用于许多操作系统，其中包括Microsoft?Windows?平台。

注意：请注意，RAT和某些包含Rootkit的工具具有合法的远程控制和

监视使用。但是，这些工具引入的安全性和必威体育官网网址性问题给使用它们的环境带来了

整体风险。