猿创征文｜HCIE-Security Day55：反病毒技术

计算机病毒基础概述

病毒

恶意代码，感染或附着在应用程序或文件中，一般通过邮件或者文件共享等协议传播，威胁用户主机和网络安全。

有些会耗尽主机资源，占用网络带宽。

有些会控制主机权限，窃取用户数据

有些会对主机硬件造成破坏

威胁场景

内网访问外网，且从外网下载文件。

内网服务器接受外网用户上传文件。

传播途径

电子邮件

HTML正文可能被嵌入恶意脚本

邮件附件携带病毒压缩文件

利用社会工程学进行伪装，增大病毒传播机会

快捷传播特性

网络共享

病毒会搜索本地网络中存在的共享，包括默认共享，比如ADMIN$、IPC$、E$、D$、C$。

通过空口令或弱口令猜测，获得完全访问权限

病毒自带口令猜测列表

将自身复制到网络共享文件夹中

通常以游戏、CDKEY等相关名字命名。

p2p共享软件

将自身复制到P2P共享文件夹

通常以游戏、CDKEY等相关名字命名

通过P2P软件共享给网络用户

利用社会工程学进行伪装，诱使用户下载

系统漏洞

由于操作系统固有的一些设计缺陷，导致被恶意用户通过畸形的方式利用后，可以执行任意代码。

病毒往往利用系统漏洞进如系统，达到传播的目的。

比如：

微软IIS漏洞

快捷方式文件解析漏洞

RPC远程执行漏洞

打印机后台程序服务漏洞

广告软件/灰色软件

灰色软件：不被认为是病毒木马，但对用户的计算机会造成负面影响的软件。比如说广告软件，他们有时候是由用户主动安装，更多的是与其他正常软件进行绑定而被安装。

其他

网页感染、与正常软件捆绑、用户直接运行病毒程序、由其他恶意程序释放。

计算机病毒分类

按照恶意代码功能分类：病毒、蠕虫、木马

按照传播机制分类：可移动媒体、网络共享、网络扫描、电子邮件、P2P网络

按照感染对象分类：操作系统、应用程序、设备

按照携带者对象分类：可执行文件、脚本、宏、引导区

病毒组成

感染标记

感染程序模块

破坏程序模块

触发程序模块

工作原理

计算机病毒感染的一般过程为：

当计算机运行染毒的宿主程序时，病毒夺取控制权

寻找感染的突破口

将病毒程序嵌入感染目标中

蠕虫

蠕虫是一个能传染自身拷贝到