简述病毒和木马的异同,以及病毒和木马的代表事件。
特洛伊木马与病毒、蠕虫和后门程序一样,都是恶意程序的从属程序。
差异:
计算机病毒具有以下特点:传染性、隐蔽性、潜伏性、触发性、衍生性和破坏性。
病毒是最早的恶意计算机程序。
所以我们以该病毒为基准,与其他类型的恶意程序进行比较,以了解其中的区别。
首先是你关心的特洛伊马:
木马不传染。木马不会把正常文件变成木马,但病毒可以感染正常文件,使其成为病毒或病毒传播的媒介。
木马没有隐藏和潜伏。特洛伊项目对我们来说是可见的,他们不会隐藏自己。它们不会通过系统中断或病毒等其他机制进行定期攻击。木马只是伪装成你想用的正常程序,甚至拥有正常程序的所有功能。当你使用这些正常的功能时,木马的行为就会同时攻击。
木马没有破坏性。纯木马旨在窃取用户数据,获取用户信息,不会破坏用户系统。
从以上几点,你可以清楚地看到特洛伊马和病毒的区别。
蠕虫不会感染、隐藏或破坏计算机。它们通过阻塞网络或恶意占用用户资源,造成系统的不稳定甚至崩溃。
后门程序本身是一个正常的程序,或者由于一些恶意的设计或疏忽,这些正常的程序留下了可能被用来破坏计算机的漏洞,就成为了后门程序...前段时间炒得沸沸扬扬的暴风影音借壳事件,就是暴风影音受商业利益诱导的一次借壳,最后被黑客利用,造成了极大的破坏。
虽然有区别,但这些区别只是理论上的界定。特洛伊木马制造商不制造破坏计算机的木马,只是因为根据定义,木马不会破坏计算机。事实上,现在就有这样一匹特洛伊马。这匹特洛伊马实际上是特洛伊马和病毒的混合物。同样,也有蠕虫和病毒的混合体。还有后门、木马、病毒形成自动下载攻击程序链协同工作。所以这些区别只能理解,它们之间的界限逐渐模糊~
至于代表事件
传统的计算机病毒分类是基于感染类型的。以下是每种类型的简要介绍:
开放式机器类型
米开朗基罗病毒,潜伏一年,很难(这个我不懂)
文件类型
(1)非居民类型
数据犯罪二数据黑仔-低级格式化硬盘,高破坏性数据
(2)居民类型
周五13号黑(第13号)周五——“亮”给出详情。
复合的
翻转翻转-下午4点屏幕倒立表演准时开始。
隐形飞机类型
佛罗多病毒——“毒”时钟文件配置表
烟雾和镜子
PE _马尔堡——掀起全球“战争游戏”
文件宏
台湾1号文件宏病毒——数学能力大考验
特洛伊马病毒对电脑蠕虫
“Explorezip冒险Bug”具有“启动后再生”和“立即连锁破坏”的能力。
黑客病毒
尼姆达走后门,发黑信,瘫痪互联网。
了解计算机病毒和黑客
2.1引导扇区病毒:
引导病毒是隐藏在磁盘或硬盘的第一个扇区。由于DOS的架构设计,每次开机都可以在加载操作系统之前将病毒加载到内存中。这一特性使病毒能够完全控制DOS的各种中断,并具有更强的感染和破坏能力。@实例
米开朗基罗米开朗基罗病毒——潜伏一年,“硬”是必须的。
发病日期:3月6日。
发现日期:1991.3
产地:瑞典(又称台湾省)。
症状:米开朗基罗是典型的引导病毒,最擅长入侵电脑硬盘的硬盘分区表和引导扇区,以及软盘的引导扇区,而且会停留在电脑系统的内存中,伺机感染你使用的软盘。其实感染米开朗基罗病毒的途径只有一个,就是开机不当。如果磁盘恰好感染了米开朗基罗,那么可怕的米开朗基罗病毒已经趁机进入了你电脑系统的硬盘,不管开机成功与否。平时看起来电脑挺正常的。如果3月6日用户打开电脑时出现黑屏,说明硬盘信息已经告诉你拜拜了。
历史意义:在文件宏病毒发迹之前,它曾连续几年夺得最具破坏力毒王的宝座。
顶端
2.2文件病毒:
文件病毒通常寄生在可执行文件中(如*。COM,*。EXE等。).当这些文件被执行时,病毒程序被执行。文件型病毒根据感染方式的不同分为非驻留型和驻留型:
(1)非内存驻留病毒:
非常驻病毒寄生在*的文件中。COM,*。执行这些中毒程序时,它们会试图感染另一个或多个文件。
@示例:
数据犯罪二数据黑仔-低级格式化硬盘,高破坏性数据
发病日期:10,从12到12,312。
发现日期:1989.3
产地:荷兰
症状:每年65438+10月12到65438+2月31之间,除了周一,屏幕上会显示数据犯罪II:*数据犯罪II病毒*
然后低级格式化硬盘0号磁列(CYLINDER0从0头到8头)的格式后,会听到哔的一声死机,再也恢复不了。
历史意义:虽然号称杀手,但几乎灭绝。
(2)内存驻留病毒:
常驻病毒隐藏在内存中,表现得好像寄生在各种低级函数上(比如中断)。因此,常驻病毒通常会对磁盘造成更大的损害。常驻病毒一旦进入内存,只要执行执行文件就会感染,效果非常显著。把它赶出内存的唯一方法就是冷启动(完全关机再开机)。
@示例:
周五13号黑(第13号)周五——“亮”给出详情。
发病日期:每周五13。
发现日期:1987
产地:南非
症状:当13号星期五到来时,黑色星期五病毒会删除任何你想执行的中毒文件。病毒感染的相当快,发病的唯一症状是a:磁盘驱动器上的灯会一直亮着。13号星期五,有注册的病毒B的变种,比如Edge,星期五13号-540c,星期五13号-978,星期五13号-B,星期五13号-c,星期五13号-d等等。其感染的性质几乎相同,包括星期五13号-C病毒。当它感染文件时,屏幕上会显示一行礼貌用语:“我们希望我们没有感染你”。
历史意义:在13周五的传说中加入更多黑色成分。
顶端
2.3多方病毒:
复合病毒兼具开放病毒和文件病毒的特征。它们会感染*。COM,*。EXE文件,还会感染磁盘的引导扇区。由于这一特点,这种病毒具有相当程度的传染性。一旦发病,危害程度会非常可观!
@示例:
翻转翻转-下午4点屏幕倒立表演准时开始。
发病日期:每月2日。
发现日期:1990.7
产地:瑞士(又称西德)
症状:每月2日,如果使用寄生盘或硬盘开机,屏幕会在16和16: 59之间水平转动。
历史意义:第一个具有特殊功能的病毒
顶端
2.4隐形病毒:
隐形飞机病毒也被称为中断拦截器。顾名思义,它通过控制DOS的中断向量来“伪还原”所有被感染的文件,然后将“看似相同”的文件扔回给DOS。
@实例
佛罗多佛罗多——“毒药”时钟文件配置表
昵称:4096
发现日期:1990.1
发病日期:9月22日-65438+2月31。
产地:以色列
症状:4096病毒喜欢传染。COM,。EXE和。OVL档案。顾名思义,被感染文件的长度将增加4,096字节。它会感染数据文件和执行文件(包括:COM,。exe)和覆盖文件,如。OVL。当被感染的文件被执行时,会发现因为FAT(文件配置表)被破坏了,所以会慢很多。另外,9月22日-65438+2月31会导致系统崩溃。
历史意义:即使您使用DIR命令来检查受感染的文件,其长度和日期也没有改变。它真的是伪装秀的鼻祖。
顶端
二千五百面人病毒(多态/突变病毒):
千面人病毒的可怕之处在于,每次繁殖,都会以不同的病毒代码传播到其他地方。每一个中毒文件都包含不同的病毒模式,这对于扫描固定病毒模式的杀毒软件来说,无疑是一个严峻的考验!有些高大上的病毒,有上千张脸,几乎找不到相同的病毒代码。
@实例
PE _马尔堡——掀起全球“战争游戏”
发病日期:不一定(中毒后3个月)
发现日期:1998.8
产地:英国
症状:如果感染马尔堡病毒的应用软件的执行时间与初次感染时间完全一致(例如中毒时间为15年9月11 am,如果应用软件为165438年2月165438 am),则马尔堡病毒在感染后三个月才会发作。
历史意义:流行的电脑光盘游戏被挑出来下毒。1998最受欢迎的米高梅/EA《战争游戏》在8月份迅速传播,原因是其一个文件意外感染了马尔堡病毒。
感染PE_ Marburg病毒三个月后,桌面上会出现一堆任意顺序的“X”符号。
2.6宏病毒:
宏病毒主要是利用软件本身提供的宏能力来设计病毒,所以任何具有宏能力的软件都有出现宏病毒的可能,比如Word、Excel、AmiPro等。
@示例:
台湾1号文件宏病毒——数学能力大考验
发病日期:每月13天。
发现日期:1996.2
产地:台湾省。
症状:有一道数学乘法题,计算机很难计算,要求输入正确答案。一旦回答错误,马上自动打开20个文件,继续下一题。直到系统资源耗尽。
历史意义:1。台湾省的一个文件宏病毒。2.1996年的黑仔,在1997年的三月踢开米开朗基罗登上了毒王的宝座。3.它被列入ICSA(国际计算机安全协会)“在野”病毒数据库。(凡是难以驯服的,恶性的,都会被列入这个黑名单。)
2.7特洛伊马病毒与计算机蠕虫
特洛伊马和电脑蠕虫之间存在一定程度的依赖,越来越多的病毒同时结合了这两种病毒类型的破坏力,达到了两倍的破坏力。
特洛伊马计划的伪装
特洛伊病毒是近年来兴起的一个新变种。为了帮助读者了解这类病毒的真实面目,我们先来看一个“特洛伊马屠城”的小故事:
据说,浪漫的特洛伊王子在遇到美丽的已婚女子——希腊王后后,无法自拔,将她绑架回特洛伊,引发了长达十年的特洛伊战争。然而,历经九年战乱,为何最后一年却落在了木马上?原来,看到特洛伊久攻不下,希腊人做了一匹巨大的特洛伊马,打算“以特洛伊马杀城”!在特洛伊马,希腊人精心安排了一群拼死一搏的勇士,以借口战败后撤退,以诱敌上钩。果不其然,被敌军撤退的喜讯搞得神志不清的特洛伊不知道这是一个计划,于是当夜就把特洛伊拉到了城里,打算来一场欢天喜地的庆功宴。我不知道,就在大家兴高采烈地喝酒庆祝的时候,特洛伊马的精锐将领已经偷偷打开城门,由内而外大举进攻了。突然,一座美丽的城市变成了一堆瓦砾和焦土,从历史中消失了。
后来,我们把那些伪装成某种应用程序吸引用户下载或执行,进而破坏用户电脑数据、给用户造成不便或窃取重要信息的程序称为“特洛伊马”或“特洛伊马”病毒。
特洛伊木马程序不像传统的计算机病毒那样感染其他文件。特洛伊木马程序通常以一些特殊的方式进入用户的计算机系统,然后伺机执行其恶意行为,如格式化磁盘、删除文件、窃取密码等。
计算机蠕虫在网络中爬行。
电脑蠕虫过去可能大家都不熟悉,但近几年应该经常听说电脑蠕虫,顾名思义是指一些恶意程序代码在电脑网络中爬行,从一台电脑到另一台电脑,通过局域网或电子邮件等多种方式。电脑蠕虫最著名的案例是“ILOVEYOU- love worm”。比如“MELISSA- Melissa”就是“电脑病毒”和“电脑蠕虫”两种特征的结合。这种恶性程序不仅会感染Word的Normal.dot(这是一种计算机病毒特征),还会通过Outlook电子邮件(这是一种计算机蠕虫特征)广泛传播。
事实上,现实世界中单一类型的恶意程序越来越少。许多恶意程序不仅具有传统病毒的特征,还结合了“特洛伊木马程序”和“计算机蠕虫”,造成了更大的影响。一个众所周知的案例是“ExploreZip”。探索者会覆盖局域网上远程计算机中的重要文件(这是一种木马程序特征),并通过局域网将自己安装到远程计算机上(这是一种计算机蠕虫特征)。
@示例:
“Explorezip冒险Bug”具有“启动后再生”和“立即连锁破坏”的能力。
发病日期:不一定
发现日期:1999.6.14
产地:以色列
症状:特洛伊病毒通过电子邮件系统传播,与梅丽莎病毒不同的是,这种病毒除了传播外,还具有破坏性。电脑被感染后,其他用户给被感染的用户发邮件。被感染的电脑会在用户不知情的情况下,利用微软的MAPI功能,自动将病毒“zipped_files.exe”以邮件附件的形式发送给将信件发送到这台电脑的用户。对方收到的信的内容如下:Hi <收件人姓名& gt!我收到了你的邮件,我会尽快给你回复。在此之前,请看一下附件中的压缩文档。问候也可以是再见、真诚、所有或称呼。当用户在不知情的情况下执行TROJ_EXPLOREZIP时,该病毒会出现以下错误信息:“无法打开文件:它似乎不是有效的存档。如果此文件是zip格式备份集的一部分,请插入备份集的最后一张磁盘,然后重试。请按f1寻求帮助。一旦用户执行了这个病毒,它就会访问用户的C: to Z:磁盘驱动器,寻找具有以下扩展名的文件,并在空格中填入零。导致用户数据丢失。。c (c源代码文件)。cpp (c++源代码文件)。h(程序头文件)。汇编源代码。doc(微软Word)。xls(微软Excel)。ppt(微软PowerPoint)
历史意义:
启动后再生,链条立即损坏
-传统病毒:立即关机,重启,并停止其正在进行的破坏-冒险蠕虫:与传统病毒不同,一旦重启,它会在网络上寻找下一个受害者。
2.8黑客病毒
——走后门,发黑信,禁网。
自2001年7月CodeRed Red Alert利用IIS漏洞揭开黑客与病毒并肩作战的攻击模式以来,CodeRed在病毒史上的地位就像第一个病毒大脑一样,有着不可磨灭的历史意义。
正如网络安全专家预测的那样,CodeRed将成为计算机病毒、计算机蠕虫和黑客“三管齐下”的鼻祖,未来的病毒将以它为样本对网络发起新型攻击。果不其然,在造成全球26.2亿美元的损失后,同样在不到两个月的时间里攻击IIS漏洞的Nimda病毒的破坏指数远高于CodeRed。Nimda反传统的攻击模式,既考验MIS人员的应变能力,也让传统的杀毒软件面临更高的挑战。
红队之后,出现了一种全新攻击方式的新病毒,通过一种相当罕见的多重感染管道在网络上广泛传播,包括:电子邮件、访问网络资源、微软IIS服务器的安全漏洞等等。因为尼姆达的感染渠道和病毒入口相当多,相对的清理工作也相当麻烦。特别是下载微软的补丁不能自动执行,必须每台电脑一个一个执行,容易失去救援的时限。
每一台装有Nimda的电脑都会自动扫描网络上符合身份的受害目标,因此往往会造成网络带宽被占用,形成DoS阻断攻击的死循环。此外,如果电脑之前已经遭受了CodeRed的后门程序,两次挂钩的结果会导致黑客随心所欲地进入受害者的电脑,然后以此为中继站对其他电脑发起进攻。
像Nimda这样威胁网络安全的新型病毒将是MIS人员面临的最大挑战。"
例如:尼姆达
发现日期:2001.9
发病日期:随时随地
来源:未知
症状:通过邮件、网络邻居、程序安全漏洞,攻击数万台电脑,攻击频率15秒,24小时内成为全球感染率最高的病毒。
历史意义:
电脑病毒和黑客并肩挑衅,开创了爆发式感染的先例,瞬间让网络上的电脑几乎零时差被病毒攻击,而不会通过潜伏期感染一台又一台电脑。
了解计算机病毒和黑客
最常见的防止电脑黑客入侵的方法是设备“防火墙”,这是一套专门放置在互联网网关处的身份认证系统。其目的是将互联网之外的计算机与企业内部局域网隔离,任何不受欢迎的用户都无法通过防火墙进入内网。就像机场入口的海关官员一样,他们必须检查自己的身份。那些不符合他们身份的人被拒绝入境。否则一旦允许恐怖分子入境扰乱公共秩序,签发逮捕令会很麻烦。
一般来说,电脑黑客要想轻易破解防火墙,入侵企业内部主机并不容易,所以黑客通常会采用另一种迂回战术,直接盗取用户的账号和密码,从而可以正常进入企业。CodeRed和Nimda只是利用了微软IIS web服务器操作系统的漏洞,为所欲为。
-宽带打开了方便之门
CodeRed可以让亚洲、美国等地的36万台电脑主机在短时间内遭殃。其中一个关键因素是宽带网络的“永远在线”特性打开了方便之门。
宽带上网主要指线缆调制解调器和xDSL。它们的相似之处不仅在于所提供的带宽比传统的电话拨号大得多,而且还在于它使得一天24小时连接互联网更加便宜。实际上,这两种技术本质上是连续在线的,线路两端的电脑可以随时相互通信。
CodeRed在互联网上寻找下一个服务器作为攻击发动中心时,前提必须是电脑在线才能工作。在没有任何保护措施的情况下,“从屏幕中选择”的概率大大提高。
当我们期望宽带(宽带网络)能让我们在外出时随时连接上家里的电脑,甚至用一个小手指就能远程控制家里的电饭煲和咖啡炉时,同样,黑客和电脑病毒也可能随时入侵我们的家。电脑病毒可能会让我们的马桶不断冲水,黑客可能会下令炸掉家里的微波炉,把冰箱变成烤箱,甚至用家里的监控摄像头监视我们的一举一动。只有以安全为后盾,有效防止黑客和病毒的觊觎,才能开启一个美好的宽带网络新世界。
电脑和网络电器是一直开着的,这也给了电脑黑客更多的入侵机会。在过去的拨号上网时代,家庭用户对黑客来说就像一个移动的目标,非常难以锁定。如果黑客想要攻击的目标没有连接到网络上,那么再厉害的黑客也只能苦苦等待。相比之下,宽带上网提供的24小时固定连接服务,给了黑客随时造假的机会,更大的带宽不仅为家庭用户提供了更宽的接入渠道,也让黑客的接入更加快捷方便。以前我们认为电脑杀毒和防黑客是两回事(见表1),但CodeRed改写了这条定律。以前,黑客要想植入后门程序,需要付出很大努力,慢慢入侵一台电脑,但CodeRed却能够通过大规模病毒感染的方式,瞬间植入后门程序,这进一步暴露了网络安全的严重问题。