什么是恶意程序

发表于:2007-05-26来源:作者:点击数: 标签:
恶意程序通常是指带有攻击意图所编写的一段程序。图1提供了软件威胁或恶意程序的完整分类。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统

恶意程序通常是指带有攻击意图所编写的一段程序。图1提供了软件威胁或恶意程序的完整分类。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。也可以将这些软件威胁分成不进行复制工作和进行复制工作的。简单说,前者是一些当宿主程序调用时被激活起来完成一个特定功能的程序片段;后者或者由程序片段(病毒)或者由独立程序(蠕虫、细菌)组成,在执行时可以在同一个系统或某个其它系统中产生自身的一个或多个以后被激活的副本。当然,图5.1中的逻辑炸弹或特洛伊术马也可能只是一个病毒或蠕虫的一部分。

恶意程序主要包括:陷门、逻辑炸弹、特洛伊木马、蠕虫、细菌、病毒等等。

(1)陷门:计算机操作的陷门设置是指进入程序的秘密人口,它使得知道陷门的人可以不经过通常的安全检查访问过程而获得访问。程序员为了进行调试和测试程序,已经合法地使用了很多年的陷门技术。当陷门被无所顾忌的程序员用来获得非授权访问时,陷门就变成了威胁。对陷门进行操作系统的控制是困难的,必须将安全测量集中在程序开发和软件更新的行为上才能更好地避免这类攻击。

(2)逻辑炸弹:在病毒和蠕虫之前最古老的程序威胁之一是逻辑炸弹。逻辑炸弹是嵌入在某个合法程序里面的一段代码,被设置成当满足特定条件时就会发作,也可理解为“爆炸”,它具有计算机病毒明显的潜伏性。一旦触发,逻辑炸弹的危害性可能改变或删除数据或文件,引起机器关机或完成某种特定的破坏工作。

(3)特洛伊木马:特洛伊木马是一个有用的,或表面上有用的程序或命令过程,包含了一段隐藏的、激活时进行某种不想要的或者有害的功能的代码。它的危害性是可以用来非直接地完成一些非授权用户不能直接完成的功能。洛伊木星马的另一动机是数据破坏,程序看起来是在完成有用的功能(如:计算器程序),但它也可能悄悄地在删除用户文件,直至破坏数据文件,这是一种非常常见的病毒攻击。

   (4)蠕虫:网络蠕虫程序是一种使用网络连接从一个系统传播到另一个系统的感染病毒程序。一旦这种程序在系统中被激活,网络蠕虫可以表现得像计算机病毒或细菌,或者可以注入特洛伊木马程序,或者进行任何次数的破坏或毁灭行动。为了演化复制功能,网络蠕虫传播主要靠网络载体实现。如:①电子邮件机制:蠕虫将自己的复制品邮发到另一系统。②远程执行的能力:蠕虫执行自身在另一系统中的副本。③远程注册的能力:蠕虫作为一个用户注册到另一个远程系统中去,然后使用命令将自己从一个系统复制到另一系统。网络蠕虫程序靠新的复制品作用接着就在远程系统中运行,除了在那个系统中执行非法功能外二它继续以同样的方式进行恶意传播和扩散。

网络蠕虫表现出与计算机病毒同样的特征:潜伏、繁殖、触发和执行期。繁殖阶段一般完成如下的功能:①通过检查主机表或类似的存储中的远程系统地址来搜索要感染的其它系统。②建立与远程系统的连接。③将自身复制到远程系统并引起该复制运行。网络蠕虫将自身复制到一个系统之前,也可能试图确定该系统以前是否已经被感染了。在多道程序系统中,它也可能将自身命名成一个系统进程,或者使用某个系统管理员可能不会注意的其它名字来掩蔽自己的存在。和病毒一样,网络蠕虫也很难对付,但如果很好地设计并实现了网络安全和单机系统安全的测量,就可以最小化限制蠕虫的威胁。

 (5)细菌:计算机中的细菌是一些并不明显破坏文件的程序,它们的惟一目的就是繁殖自己。一个典型的细菌程序可能什么也不做,除了在多道程序系统中同时执行自己的两个副本,或者可能创建两个新的文件外,每一个细菌都在重复地复制自己,并以指数级地复制,最终耗尽了所有的系统资源(如CPU,RAM ,硬盘等),从而拒绝用户访问这些可用的系统资源。

(6)病毒:病毒是一种攻击性程序,采用把自己的副本嵌入到其它文件中的方式来感染计算机系统。当被感染文件加载进内存时,这些副本就会执行去感染其它文件,如此不断进行下去。病毒常都具有破坏性作用,有些是故意的,有些则不是。通常生物病毒是指基因代码的微小碎片:DNA或RNA,它可以借用活的细胞组织制造几千个无缺点的原始病毒的复制品。计算机病毒就像生物上的对应物一样,它是带着执行代码进入。感染实体,寄宿在一台宿主计算机上。典型的病毒获得计算机磁盘操作系统的临时控制,然后,每当受感染的计算机接触一个没被感染的软件时,病毒就将新的副本传到该程序中。因此,通过正常用户间的交换磁盘以及向网络上的另一用户发送程序的行为,感染就有可能从一台计算机传到另一台计算机。在网络环境中,访问其它计算机上的应用程序和系统服务的能力为病毒的传播提供了滋生的基础。

比如CIH病毒,它是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统flash BIOS芯片中的系统程序,导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。

再比如电子邮件病毒,超过85%的人使用互联网是为了收发,电子邮件,没有人统计其中有多少正使用直接打开附件的邮件阅读软件。“爱虫”发作时,全世界有数不清的人惶恐地发现,自己存放在电脑上的重要的文件、不重要的文件以及其它所有文件,已经被删得干干净净。

原文转自:http://www.ltesting.net