恶意代码

恶意代码又称恶意软件，这些软件也分为

• 广告软件（Adware）
• 间谍软件（Spyware）
• 恶意共享软件（Malicious shareware）

是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件

与病毒或蠕虫不同，这些软件很多不是小团体或者个人秘密地编写和散播，反而有很多知名企业和团体涉嫌此类软件（比如某0和某度的全家桶）

有时也称作流氓软件

当然，我们这里讨论的恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码

最常见的恶意代码有

• 计算机病毒
• 特洛伊木马
• 计算机蠕虫
• 后门
• 逻辑炸弹

等

恶意代码的分类

安装代码的独立性和可复制性，我们可以将恶意代码分成以下两种

1. 独立恶意代码

这类的恶意代码是一个完整的系统，就像一个带了全套装备的特种兵

这类恶意代码大概有这么几种：

• 计算机蠕虫（Computer worm）
• 僵尸病毒（Zombie virus）

蠕虫

其中，蠕虫与病毒相似，是一种能够自我复制的计算机程序

与计算机病毒不同的是，计算机蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行

计算机蠕虫未必会直接破坏被感染的系统，却几乎都对网络有害

计算机蠕虫可能会执行垃圾代码以发动分散式阻断服务攻击

令计算机的执行效率极大程度降低，从而影响计算机的正常使用

可能会损毁或修改目标计算机的档案

亦可能只是浪费带宽

（恶意的）计算机蠕虫可根据其目的分成2类：

• 一种是面对大规模计算机使用网络发动拒绝服务的计算机蠕虫，虽说会绑架计算机，但使用者可能还可以正常使用，只是会被占用一部分运算、连网能力
• 另一种是针对个人用户的以执行大量垃圾代码的计算机蠕虫。计算机蠕虫多不具有跨平台性，但是在其他平台下，可能会出现其平台特有的非跨平台性的平台版本

第一个被广泛注意的计算机蠕虫名为：莫里斯蠕虫，由罗伯特·泰潘·莫里斯编写，于1988年11月2日释出第一个版本

这个计算机蠕虫间接和直接地造成了近1亿美元的损失。这个计算机蠕虫释出之后，引起了各界对计算机蠕虫的广泛关注

僵尸病毒

僵尸病毒基本是用网络连接起来的一个集群，所以也叫僵尸网络病毒，其通信技术是通过连接IRC服务器进行，从而控制被攻陷的计算机

僵尸网络（BotNet），是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等

同时黑客控制的这些计算机所保存的信息也都可被黑客随意取用

因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患

僵尸网络的威胁也因此成为目前一个国际上十分关注的问题

然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的僵尸主机（Zombie computer），这些主机的用户往往并不知情

因此，僵尸网络是目前互联网上黑客最青睐的作案工具

较为著名的僵尸网路攻击有2003年针对SPEWS服务的攻击，和2006年对蓝蛙（Blue Frog）服务的攻击

2000年，一些著名的网站（雅虎、易趣等等）受到加拿大的一个青少年MafiaBoy使用分布式拒绝服务攻击而停摆

另一起针对grc.com的攻击案例，根据Gibson Research网站鉴定，该攻击做案者大概是一位来自美国威斯康辛州基诺沙的13岁少年

Gibson Research网站的史蒂夫·吉布森拆解出一个用来僵尸化电脑的机器人，随后追踪到其散播者

在吉布森的书面研究纪录里，他描述了机器人控制的IRC如何运作此僵尸网路

2. 具有自我复制能力的恶意代码

除了上面的那两种，还有一种，病毒：

• 计算机蠕虫（Computer worm）
• 僵尸病毒（Zombie virus）
• 病毒（Viru）

当然，不包含在这两类里面的恶意代码的还有：

• 陷进门
• 逻辑炸弹
• 特洛伊木马

这些里面的特洛伊木马，我们会在下节介绍

那么现在问题来了，病毒是什么？

什么是病毒

电脑病毒（computer virus），或称电子计算机病毒

是一种在人为或非人为的情况下产生的、在用户不知情或未批准下，能自我复制或运行的电脑程序

电脑病毒往往会影响受感染电脑的正常运作，或是被控制而不自知，也有电脑正常运作仅盗窃数据等用户非自发启动的行为

为了方便传播一般文件比较小

一般文件被感染后都会在文件中加入标记位避免重复感染

病毒与木马的区别和相同点

病毒是一种传播技术，而木马是目的实现

病毒和木马并不冲突，可以相互融合。

木马中携带的是病毒的payload。

所以近年的病毒全部包含木马功能。

但是臃肿的木马会影响了病毒的灵活性

病毒的分类

病毒可以大概分为以下几种类型的

1. 引导型病毒

这个类型的病毒是从系统的启动扇区（Boot）或者硬盘的系统引导扇区（MBR）来加载自己

引导型病毒主要存在于主引导区、引导区

病毒利用操作系统的引导模块会存放在某个固定的位置上， 并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据

从而病毒通过占据该物理位置，便可获得了计算机的控制权

引导区而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容

使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作

引导型病毒进入系统，一定要通过启动过程

在无病毒环境下使用的软盘或硬盘，即使它已感染引导区病毒，也不会进入系统并进行传染

2. 文件病毒

文件病毒主要感染计算机中的文件，列如：COM，EXE，DOC等文件

其中

DOS病毒是一般只能在DOS环境下运行（引导型病毒不局限于DOS操作系统而存在，早期的某些单纯占用引导记录来作为病毒体的病毒，至今仍可破坏计算机硬盘引导记录）传染的计算机病毒

DOS病毒是最早出现的计算机病毒

感染主引导扇区和引导扇区的DOS病毒称为引导型病毒

3. 网络病毒

通过计算机网络传播感染网络中的可执行文件，如今大都数的病毒都是这个类型

病毒可能感染的位置

• Boot扇区
• DOS COM/EXE
• NE
• PE/PE64
• ARM
• MIPS
• ELF

等等

病毒可能的编写语言

• Office（WORD、Excel、PPT…）
• AutoCAD
• Shell
• Bat
• C & C++
• Python
• Perl
• 汇编

等等

病毒感染的特性

一开始病毒进入计算机的时候要先获得自身程序的运行权，并且在运行的时候获得优先运行权，包括找寻可执行文件入口点和自动运行宏两种

之后，病毒就会开始隐秘其运行权，不然电脑的使用者察觉，之后病毒会进行一些系统层次的代码和函数替换

最后溢出获得系统的较高权限

病毒的一个原则就是不能影响宿主运行，且在病毒运行后要将执行权交回宿主

为什么呢？

电脑都蓝屏了，一般人不是直接开始重装系统，然后病毒白感染了

具体的病毒分析就不列举了，感兴趣的同学可以看看《恶意代码分析实战》