计算机安全基础知识[一]

malicious software is software that is designed to perform damaging actions without the user’s
knowledge. Malicious software includes viruses, worms, Trojan horses, and blended threats.  It
also includes programs known as security risks.

 

恶意软件是在用户不知情的状况下执行破坏行为的软件，包括病毒，蠕虫和***，以及混合型的威胁，也包括一些存在安全风险的程序。

 

病毒不必定会破坏系统，可是病毒必定可以自身复制，目前己知的病毒约有7万种，病毒不必定很大，最小的病毒Tiny.12只有12字节。

 

Payload (负荷) 是***的主要目的，是病毒的次要目的：

 

Common payloads include: 常见的负荷包括：
• Data corruption 数据破坏
• System hijacking  系统劫持
• Destruction of data 摧毁数据
• Dropping files 删除文件
• Denial of Service attacks (DoS) 拒绝服务***
• Network degradation 网络破坏
• Data export 数据输出
• Keystroke logging 键击记录
• Password stealing 口令偷窃

 

病毒的分类：

 

从感染方式能够分为寄生型和覆盖型。寄生型附着在正常文件之上，被感染文件仍可执行。覆盖型则会破坏一部分或所有原始文件，被感染文件不能继续执行。

 

根据是否驻留内存可分为常驻型和很是驻型。很是驻型容易清除，常驻型驻留在内存中，监视文件系统的活动，随时感染文件。常驻型不容易发现和清除，它们能够发现防病毒软件的扫描行为并加以躲避。对于Windows下的常驻型病毒，要清除它最好先把操做系统启动到安全模式，若是不能有效地清除内存中的病毒，也就不可以清除文件系统中感染的病毒。

 

根据病毒的变化形式分为多态（Polymorphic），变形（Metamorphic）病毒

多态病毒在复制的过程当中会使用不一样的方法对病毒体进行加密，改变fingerprint。

变形病毒在复制的过程当中会改变本身的代码。

这两种病毒比较不容易查杀。

 

陪伴病毒：备份原始文件，用病毒文件替换原始文件。

隐形病毒：在执行后将自身加以隐藏。

Retro病毒：***防病毒软件。

多体病毒：病毒包括多个部分，如同时是引导型病毒和文件型病毒。

交叉感染和多种类型感染：感染不仅一种对象，使用不仅一种方法。如梅莉莎（感染脚本文件和可执行文件）和爱虫病毒(便是脚本病毒又是脚本蠕虫)。

 

按平台来分：

 

ƒ Windows viruses 目前最多见的病毒，一般感染EXE, DLL, SYS, BIN和SCR文件。病毒一般只能活动在16位，32位或64位某一种类型的系统中。
ƒ Boot record viruses 引导记录病毒在DOS时代流行，不能感染使用NTFS文件系统的WinNT系统，目前不多见了。
ƒ Macro viruses 采用Office脚本语言编写，主要感染Word,Excel和PowerPoint文档，己知的宏病毒大约有7000多种，如今愈来愈少见了，可能存在的位置：Office Program Directory\Templates\NORMAL.DOT，Office Program Directory\Startup，Office Program Directory\XLSTART，Blank Presentation.ppt。
ƒ Script viruses 经过JS或VBS编写，感染其它的脚本文件，包括HTML, VBS, BAT, JS和CHM，VBS.LoveLetter就是一种脚本病毒。脚本一般能够不受限制地访问系统资源，脚本病毒破坏力可能很强，且变种可能不少，不少蠕虫用脚本编写。
ƒ Other virus classes 包括DOS（种类很是多，可是不能运行于当今的Windows系统），Macintosh（少于100种），UNIX/Linux（少于100种），Java（30种左右），ActiveX，Palm，Windows CE，Symbian（三种移动设备上的病毒不多，没有流行。）等系统上流行的病毒。

 

92年是DOS病毒的高峰，此后愈来愈少。96年是引导型病毒的高峰，此后愈来愈少。从99年到如今Windows病毒一直是增加的趋势，如今占到90%的比例。