信武兄弟要我写一些病毒分类方面的资料,所以我就写了一些
高手们一笑而过吧,真的很垃圾,仅仅是个入门级的探讨行文章
病毒的由来已经很难说清楚了
一说病毒来源于人们程序设计过程中错误的代码,并且这段错误代码并没有太大问题,只是失控.
另一说病毒来自于一些编程天才们的恶作剧程序
目前,病毒的概念已经渐渐淡出了,取而代之的是称之为恶意程序的东西.(但下面为了方便起见依旧称它们病毒)
从恶意程序本身的文件组成上来讲,分为二进制文件和恶意脚本
二进制文件往往和系统平台有关,比如CPU类型,操作系统,甚至是一些其他的运行环境(Java就是个很好的例子,
还有一些依靠COM组件才可以运行的程序)
恶意脚本往往有其解释器,比如VBS,JS,甚至是asp,php,这方面最好的例子就是现在最新的基于ajax的蠕虫,
其本身就是我们可以直接阅读的脚本代码(加密了也不算)
过去,病毒有三大特性,即"感染性,潜伏性,破坏性".但是在这个什么都在变化的时代,病毒们也不再完全符合这个标准.
从病毒本身的恶意性上来讲,可以分为
恶作剧性(比如"女鬼3"病毒)--(不一定有感染性)
蓄意破坏性(这种比较变态,损人不利己,现在已经非常少见了)--(它们往往会有一个潜伏期,过了潜伏期会集体发作体现其破坏性)
善意型(这种非常少见,但是确确实实存在,比如当年ms04011漏洞爆出的时候,就有一个蠕虫自动攻击有此漏洞的机器,驻扎之,然后自动修复该漏洞)--(不一定具有破坏性)
直接利益型(这种是非常多见的,比如各种盗号工具,后台远程控制软件)--(不一定有感染性)
辅助类(比如专门为其他病毒扫清障碍的程序,下载其他病毒的"下载者",Webshell,网页上挂的木马)--(不一定有潜伏性,有时候是利用的用户对计算机知识的匮乏导致的)
其他(仅以传播自身为目的,或者是为了验证某种理论或现象的病毒模型)
当然,这些分类也仅仅是理论上的分类.现实中经常会出现各种组合的.比如熊猫烧香本身就是一个下载者,但是它也是一个
清除障碍的工具,更具有直接利益的相关功能(盗取用户信息),又比如以前有款盗号工具叫做"盗Q黑侠",此工具属于典型的
辅助类,同时它也具有传播自身的能力.
从病毒的感染方式看,可以分为文件型病毒(早期的病毒大多数如此),独立可执行病毒.需网页辅助的病毒
文件型病毒,顾名思义,它是以感染可执行文件的方式传播自己的.此种病毒的编写难度在于它必须非常了解被感染文件的
的结构,从PE病毒到VBS.都需要了解其结构
需网页辅助类的病毒属于成本比较高的病毒.首先你需要一个稳定的空间用来存储可执行的病毒.同时需要一个空间来放置
可以通过浏览器使客户机在后台下载并执行的一个网页.典型的就是ARP病毒,它的工作原理就在于通过ARP协议本身的漏洞,
劫持用户的http请求,并将自己的网页链接插入之,使得挂着病毒的网页可以被别的用户浏览.ARP病毒鲜见只有此种方式传
播,因为ARP协议仅仅对同一网段有效,最坏的情况是这个网段的用户都被感染.
独立文件体的病毒的要求低的多,比如现在常见的U盘病毒.几乎人人都遇见过.它的传播仅仅是因为Microsoft Windows设计之初
留下了一个"自动播放"这样的接口.还有比较常见的网络蠕虫(尤其是那些通过缓冲区溢出的蠕虫),它们传播的时候也都是以
自己的完整文件体作为二进制数据流发送出去的.
从病毒刚刚出现,到今天我们的网络上四处充斥着各式病毒和木马,病毒的运行成本和技术含量越来越高.
最初的Morris蠕虫只要99行,便轻易感染了6000台计算机.到几年前红极一时的"熊猫烧香",过兆(MB)的源代码外加租用的独立光纤
服务器感染超过百万台计算机,从最初的缓冲区溢出到今天的还原卡穿透甚至是对抗主动防御.从运行成本到技术含量真的是翻
了几番(有些病毒的各个模块甚至是雇佣不同的程序员写的).从最初的技术炫耀,理论验证到现在的商业化运作.似乎病毒
编写的初衷也随着我们的价值观在悄悄变化
在2月16日的最新消息中,一个名为Conficker的蠕虫感染了超过千万台的计算机,根据研究人员的分析,此蠕虫的设计目的
可能是处于大规模的网络攻击.从这里,我们看到,病毒在信息战中崭露头脚的科幻正一步步走向现实
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
