计算机病毒分析与对抗基础篇
关注
分享
扫一扫
本专栏主要介绍计算机病毒分析与对抗基础篇
FLy_鹏程万里
国内网络安全研究员,专注于Web渗透、移动安全、代码审计、应急响应、内网渗透、区块链安全、云安全等研究方向,擅长渗透测试、红蓝对抗、内网渗透、云安全、区块链安全。
展开
-
计算机病毒分析与对抗————1、计算机病毒基本概述
计算机病毒的定义计算机病毒是计算机程序中被嵌入的一组破坏计算机功能或毁坏数据的计算机指令或程序代码。计算机病毒的起源第一个勾勒病毒程序蓝图的科学家————冯诺依曼可续的发展需要想象力————美国科学作家病毒的雏形————“磁芯大战”广义上的计算机病毒广义上的计算机病毒除了包括狭义上的计算机病毒之外还包括蠕虫、木马、后门、僵尸、Rootkit、流氓软件、间谍软件、广告软件、Exploit等等。计算机...原创 2018-04-23 10:54:29 · 4687 阅读 · 0 评论 -
计算机病毒分析与对抗————2、PE文件
1、PE文件定义PE即(Portable Executable,可移植的执行体),它是Win32可执行文件的标准格式。2、PE文件结构总共五部分:DOS头、PE文件头、节表、节,调试信息。Dos头:由MZ文件头以及DOS插桩程序构成,其实际上就是一个在DOS环境下显示“Thisprogram can not be run in DOS mode”或“This program must be ru...原创 2018-04-24 16:12:48 · 1907 阅读 · 0 评论 -
计算机病毒分析与对抗————3、PE文件型病毒
病毒如何感染PE文件?首先,判断文件是否是PE文件,接下来添加节:主要涉及到的技术如下:1、病毒感染重定位技术重定位的过程可以通过以下步骤进行:用CALL指令跳转到下一条指令,使下一条指令感染后在内存中的实际地址进栈。用POP指令取出栈顶的内容,这样就可以得到感染后下一条指令在内存中的实际地址感染后变量的地址=步骤(2)的地址-偏移地址代码如下:call testpop eaxsub ea...原创 2018-04-24 16:51:52 · 3174 阅读 · 0 评论 -
计算机病毒分析与对抗————4、引导型病毒
1、硬盘结构简介硬盘的三个基本参数(CHS):柱面数(Cylinders:表示硬盘每一面盘片上有几条磁道,最大为1023(用10个二进制数存储)磁头数(Header):表示磁盘总共有几个磁头,也就是有几面盘片,硬盘是由多个盘片组成的,而每个盘片上都有一个读写磁头负责该磁片的读写操作,磁头数最大为255扇区数(Sectors):表示每一条磁道上有几个扇区,最大为63(用6个二进制位存储)。每个扇区一...原创 2018-04-24 17:34:08 · 4521 阅读 · 0 评论 -
计算机病毒分析与对抗————5、 网络蠕虫
1、蠕虫定义蠕虫主要利用系统漏洞进行传播,感染并执行其恶意功能的,它可以独立运行,并且能把自身的一个包含所有功能的版本传播到另外的计算机上。2、蠕虫、病毒之间的区别与联系:相同点:网络蠕虫和计算机病毒都具有传播性和破坏性不同点:3、蠕虫的行为特征主动攻击、行踪隐蔽、利用系统或网络服务漏洞、造成网络拥塞、破坏性、反复性、产生安全隐患4、蠕虫程序的功能结构基本功能有五个模块构成:(1) 搜索模...原创 2018-04-24 17:37:29 · 5054 阅读 · 1 评论 -
计算机病毒分析与对抗————6、木马
1、木马的定义计算机领域中的木马是指附着在应用程序中或者单独存在的一些恶意程序,它可以利用网络远程相应网络另外一段的控制程序的控制命令,实现对被植入了木马程序的目标计算机的控制,或者窃取感染木马程序的计算机上的机密材料。2、木马的分类根据木马的功能,可以将其分为以下几类:远程控制型木马、密码发送型木马、键盘记录型木马、破坏型木马、Dos型木马、FTP型木马。3、木马与病毒的区别(1)病毒重在破坏,...原创 2018-04-24 17:42:57 · 3072 阅读 · 0 评论 -
计算机病毒分析与对抗————7、缓冲区溢出
1、缓冲区所谓缓冲区,简单来说就是程序运行时内存中的一块连续的区域。例如C语言中经常要用到的数组,其中最常见的是字符数组。在一个程序中,会声明各种变量。静态全局变量是位于数据段并且在程序开始运行时的时候被加载。而程序的动态的局部变量则分配在堆栈里面。如果向一个缓冲区复制数据,但是复制的数据量比缓冲区大的时候,就会发生缓冲区溢出。缓冲区溢出漏洞一直被列为最危险的一类漏洞。2、缓冲区溢出漏洞产生的根源...原创 2018-04-24 17:52:14 · 1908 阅读 · 0 评论