恶意代码的分类
計算機病毒:一組能進行自我傳播、需要用戶干預(yù)來觸發(fā)執(zhí)行的破壞性程序或代碼
網(wǎng)絡(luò)蠕蟲:一組能進行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。
1.存在形式,病毒是寄生,蠕蟲是獨立個體。
2.復(fù)制形式,病毒是插入到宿主文件(金州注釋:即依靠文件比如win系統(tǒng)的pe結(jié)構(gòu)),蠕蟲是自身的拷貝。(金州注釋,這一點是任何蠕蟲能發(fā)展的根本。)
3.傳染機制,病毒是宿主程序運行。(金州注釋,即需要運行病毒文件或含病毒文件)蠕蟲是系統(tǒng)漏洞。
4.攻擊目標(biāo),病毒是本地文件(金州注釋,即某臺機器)。蠕蟲是網(wǎng)絡(luò)上的其他計算機。
5.觸發(fā)傳染,病毒是計算機使用者,蠕蟲是程序自身。
6.影響重點,病毒是文件系統(tǒng),蠕蟲是網(wǎng)絡(luò)性能和系統(tǒng)性能。
7.計算機使用者的角色,病毒傳播中的關(guān)鍵環(huán)節(jié)。蠕蟲無關(guān)。(金州注釋,是不是會中毒,和計算機的操作者的水平有很大關(guān)系,水平越高,中毒的可能性越小,但是不論你水平多高,都很難防范蠕蟲。)
8.防治措施,病毒從系統(tǒng)文件中摘除,蠕蟲打補丁。
9.對抗主體,病毒面對的是計算機使用者,反病毒的廠商。蠕蟲面對的是系統(tǒng)軟件和服務(wù)軟件提供商,網(wǎng)絡(luò)管理人員。
從中不難看出,蠕蟲和病毒的最大區(qū)別,用簡單的話說就是,蠕蟲是活的,有生命的,就像在網(wǎng)絡(luò)中游走的一個人一樣,而病毒卻是半生命體,像是機器人,需要一定的觸發(fā)機制。病毒也具有傳播性,但是傳播能力相對非常弱小。并且因為系統(tǒng)操作者的水平不同,病毒能造成的危害也不同。`
后門:
木馬
計算機病毒可以說是純粹為了破壞計算機或黑客炫技而存在的,而木馬病毒卻能夠盜取電腦用戶的資料,在利益熏心的時代人們當(dāng)然是朝著利益去發(fā)展。
Stuxnet: 能自我傳播而不需人為控制,應(yīng)屬于網(wǎng)絡(luò)蠕蟲。
Duqu: Duqu的入侵手段采用了精心制作的社交工程電子郵件。這些電子郵件中包含具有漏洞的.doc文件和安裝程序,它能獲取被攻擊者計算機的所有信息,應(yīng)屬于木馬。
Flame: 是一種后門程序和木馬病毒,同時又具有蠕蟲病毒的特點。只要其背后的操控者發(fā)出指令,它就能在網(wǎng)絡(luò)、移動設(shè)備中進行自我復(fù)制。
其實現(xiàn)在的各類計算機病毒(暫且統(tǒng)稱為這個)的界限已經(jīng)不會太明顯了,因為一種病毒往往會具有多種病毒的特點(從Flame中可以看出)。
關(guān)聯(lián)病毒
與曾經(jīng)攻擊伊朗核項目計算機系統(tǒng)的“震網(wǎng)病毒”相比,“火焰”病毒不僅更為智能,且其攻擊目標(biāo)和代碼組成也有較大區(qū)別。“火焰”病毒的攻擊機制更為復(fù)雜,且攻擊目標(biāo)具有特定地域的地點。
“火焰”病毒出現(xiàn)的最早時間甚至可追溯到2007年12月。“震網(wǎng)”和“毒區(qū)”兩款病毒的創(chuàng)建時間也大概為2007年前后。
“火焰”病毒部分特征與先前發(fā)現(xiàn)的“震網(wǎng)”和“毒區(qū)”兩款病毒類似,顯示三種病毒可能“同宗”。網(wǎng)絡(luò)分析專家認為,已形成“網(wǎng)絡(luò)戰(zhàn)”攻擊群。“震網(wǎng)”病毒攻擊的是伊朗核設(shè)施,“毒區(qū)”病毒攻擊的是伊朗工業(yè)控制系統(tǒng)數(shù)據(jù),而“火焰”病毒攻擊的則是伊朗石油部門的商業(yè)情報。
請看鏈接:
我對“XX神器”的理解——根本算不上病毒
XX神器到底該不該算是病毒?
總結(jié)
- 上一篇: “Survey of machi
- 下一篇: 面向智能电网的电力大数据存储与分析应用