恶意程序
恶意程序通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。
恶意程序简介[ ]
恶意程序通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。也可以将这些软件威胁分成不进行复制工作和进行复制工作的。简单说,前者是一些当宿主程序调用时被激活起来完成一个特定功能的程序片段;后者或者由程序片段(病毒)或者由独立程序(蠕虫、细菌)组成,在执行时可以在同一个系统或某个其它系统中产生自身的一个或多个以后被激活的副本。
恶意程序分类[ ]
恶意程序主要包括:陷门、逻辑炸弹、特洛伊木马、蠕虫、细菌、病毒等等。
计算机操作的陷门设置是指进入程序的秘密人口,它使得知道陷门的人可以不经过通常的安全检查访问过程而获得访问。程序员为了进行调试和测试程序,已经合法地使用了很多年的陷门技术。当陷门被无所顾忌的程序员用来获得非授权访问时,陷门就变成了威胁。对陷门进行操作系统的控制是困难的,必须将安全测量集中在程序开发和软件更新的行为上才能更好地避免这类攻击。
在病毒和蠕虫之前最古老的程序威胁之一是逻辑炸弹。逻辑炸弹是嵌入在某个合法程序里面的一段代码,被设置成当满足特定条件时就会发作,也可理解为“爆炸”,它具有计算机病毒明显的潜伏性。一旦触发,逻辑炸弹的危害性可能改变或删除数据或文件,引起机器关机或完成某种特定的破坏工作。
特洛伊木马是一个有用的,或表面上有用的程序或命令过程,包含了一段隐藏的、激活时进行某种不想要的或者有害的功能的代码。它的危害性是可以用来非直接地完成一些非授权用户不能直接完成的功能。洛伊木星马的另一动机是数据破坏,程序看起来是在完成有用的功能(如:计算器程序),但它也可能悄悄地在删除用户文件,直至破坏数据文件,这是一种非常常见的病毒攻击。
网络蠕虫程序是一种使用网络连接从一个系统传播到另一个系统的感染病毒程序。一旦这种程序在系统中被激活,网络蠕虫可以表现得像计算机病毒或细菌,或者可以注入特洛伊木马程序,或者进行任何次数的破坏或毁灭行动。为了演化复制功能,网络蠕虫传播主要靠网络载体实现。如:
- 电子邮件机制:蠕虫将自己的复制品邮发到另一系统。
- 远程执行的能力:蠕虫执行自身在另一系统中的副本。
- 远程注册的能力:蠕虫作为一个用户注册到另一个远程系统中去,然后使用命令将自己从一个系统复制到另一系统。
网络蠕虫表现出与计算机病毒同样的特征:潜伏、繁殖、触发和执行期。繁殖阶段一般完成如下的功能:
- 通过检查主机表或类似的存储中的远程系统地址来搜索要感染的其它系统。
- 建立与远程系统的连接。
- 将自身复制到远程系统并引起该复制运行。
计算机中的细菌是一些并不明显破坏文件的程序,它们的惟一目的就是繁殖自己。一个典型的细菌程序可能什么也不做,除了在多道程序系统中同时执行自己的两个副本,或者可能创建两个新的文件外,每一个细菌都在重复地复制自己,并以指数级地复制,最终耗尽了所有的系统资源(如CPU,RAM,硬盘等),从而拒绝用户访问这些可用的系统资源。
病毒是一种攻击性程序,采用把自己的副本嵌入到其它文件中的方式来感染计算机系统。当被感染文件加载进内存时,这些副本就会执行去感染其它文件,如此不断进行下去。病毒常都具有破坏性作用,有些是故意的,有些则不是。计算机病毒就像生物上的对应物一样,它是带着执行代码进入。感染实体,寄宿在一台宿主计算机上。典型的病毒获得计算机磁盘操作系统的临时控制,然后,每当受感染的计算机接触一个没被感染的软件时,病毒就将新的副本传到该程序中。因此,通过正常用户间的交换磁盘以及向网络上的另一用户发送程序的行为,感染就有可能从一台计算机传到另一台计算机。在网络环境中,访问其它计算机上的应用程序和系统服务的能力为病毒的传播提供了滋生的基础。