《恶意程序.docxVIP

恶意程序一、分类1.单一功能病毒：计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或程序代码。特点：破坏性、传染性、隐藏性、寄生性、潜伏性、欺骗性。文件感染病毒：主要感染计算机中.exe或.doc等可执行程序。宏病毒：是一种专门寄生在具有宏功能的文档或模板中的计算机病毒。引导型病毒：引导型病毒将其代码写入MBR主引导去（硬盘0头0柱面第一个扇区）或BR引导区（硬盘逻辑0扇），将其真正的引导区内容转移或替换。邮件型病毒：主要通过电子邮件传播。2.木马木马是指通过伪装欺骗手段诱使用户安装运行，但不具有复制、传播能力的恶意代码。主要功能是对远端目标主机实现远程控制。木马和病毒的主要区别：木马没有病毒的繁殖性和自动感染功能，而病毒往往不具备远程控制功能。3.蠕虫蠕虫是指可以通过网络等途径，自动将自身的全部代码或部分代码通过网络复制、传播给其他网络中计算机的完全独立可运行程序。不同于病毒的是不需要宿主文件。组成：主程序、引导程序。防护：及时打补丁。蠕虫没有扩散可用的漏洞，就无法自动扩散。4.恶意脚本可以直接对浏览器中的首页信息等进行修改和控制，甚至实施网站挂马、主页替换、跨站点脚本攻击等恶意操作。载体是Web系统。所以，对Web系统进行有效的防范是防止恶意脚本攻击的根源。5.综合性病毒具备多种感染传播功能才能实现，这种病毒即为综合型病毒二、恶意程序的传播方式和破坏功能1.恶意程序的传播方法：网站挂马、诱骗下载、通过移动存储介质传播（自动播放文件autorun.ini）、通过电子邮件和即时通信软件传播、通过局域网传播（利用局域网其他计算机中网络服务程序的漏洞和共享机制实现传播）。2.恶意程序的破坏功能：浏览器配置被修改、窃取用户密码账号等隐私信息、实现远程控制、破坏系统或网络的正常运行（eg:修改Hosts文件，利用虚假IP地址的映像劫持技术来屏蔽计算机与安全站点之间的连接）。三、恶意程序检查查杀技术：特征码查杀、启发式查杀、基于虚拟机技术的行为判定、主动防御。1.特征码查杀技术：提取典型代码特征添加到特征库中～匹配成功则检测出相应特征码对应的恶意程序。对采用了加密和变形等加壳技术的恶意程序失去作用。特征码的提取（十六进制串作为特征串，或十六进制的校验和作为特征码）第一种方法，提取恶意程序代码中的特征码。第二种方法，通过特殊字符串提取特征码。第三种方法，提取通杀特征码。2.启发式查杀技术通过实现分析恶意程序执行指令的顺序或特定行为组合情况等特征，建立检测的基准行为或指令的样本库，并以这些基准行为或指令的特征来检测并确定是否是恶意程序。启发式查杀技术具有对加壳变形的恶意程序的检测能力，还具有对未知病毒一定的检测能力。但是会造成误报。3.虚拟机查杀技术虚拟机查杀技术是在扫描恶意程序时，通过将恶意程序加载到虚拟机环境中运行，从而让恶意程序自动脱壳还原为原有状态，在进行检测查杀的技术。利用虚拟机技术可以发现大部分的变形病毒和加壳的未知病毒。但是需要消耗较多的系统资源，可能引起性能的下降。4.主动防御技术主动防御技术不是事先对恶意程序的查杀，而是实现对恶意程序的及时拦截。四、恶意程序的防范（1）做好计算机自身的安全防范；（2）防止网站浏览和访问造成的恶意程序入侵；（3）防止因下载而造成的恶意程序入侵；（4）防止通信类软件造成的恶意程序入侵；（5）防止因移动存储介质造成的恶意程序入侵；（6）防止基于局域网的恶意程序入侵（关闭文件共享功能）；Web安全防护客户端安全防护通信信道安全防护服务器端安全防护Web安全检测：黑盒检测白盒检测木马：具有远程控制、信息偷取、隐蔽传输功能的恶意程序。特点：伪装性、隐蔽性、窃密性、破坏性。组成：客户端、服务端。木马的连接方式：传统连接技术、反弹端口技术、线程插入技术。木马的隐藏技术：线程插入技术、DLL动态劫持技术、Rootkit技术（一种内核隐藏技术）。2．Webshell：具有较为强大的远程控制功能。第六章一．简要说明与其他计算机病毒相比，网络病毒表现出来的特点，并说明为什么会表现出这些新特点？1.传染方式多 2.传染速度快 3.清除难度大 4.破坏性强原因：二．简述注册表中键值分成哪几大类？每大类键值在整个计算机系统设置中所起的作用是什么？Windows的注册表是控制系统启动、运行的最底层设置，其数据保存在文件System.dat和User.dat中，这些文件至关重要，但又极其脆弱。注册表包括以下5个主要键项：HKEY_CLASSESE_ROOT:包含启动应用程序所需的全部信息，包括扩展名、应用程序与文档之间的关系，驱动程序名、DDE和OLD信息，类ID编号和应用程序与文档的图标等。HKEY_CURRENT_USER：包含当前登录用户的配置信息