什么是恶意代码
恶意代码(malicious code)又称为恶意软件(malicious software,Malware),是能够在计算机系统中进行非授权操作的代码。
恶意代码类型
1、蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码
2、后门:指一类能够绕开正常的安全控制机制,从而为攻击者提供访问途径的一类恶意代码。攻击者可以通过使用后门工具对目标主机进行完全控制。
3、僵尸网络:攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制程序所组成的攻击网络。僵尸网络区别 于其他攻击方式的基本特性是使用一对多的命令与控制机制,此外也具有恶意性和网络传播特性。
4、下载器:这是一类只是用来下载其他恶意代码的恶意代码。下载器通常是在攻击者获得系统的访问时,首先进行安装的。下载程序会下载和安装其他的恶意代码。
5、内核套件: 设计用来隐藏其他恶意代码的恶意软件。通常与其他恶意代码(后门)组合成工具套装。
6、等等。
恶意代码的分析方法:静态分析、动态分析
恶意代码静态分析技术主要包括:反病毒软件扫描、文件格式识别、字符串提取分析、二进制结构分析、反汇编、反编译、代码结构与逻辑分析、加壳识别和代码脱壳。
反病毒软件扫描:使用现成的反病毒软件来扫描待分析的样本,以确代码是否含有病毒。http://www.virustotal.com/
文件格式识别:恶意代码通常是以二进制可执行文件格式存在的,其他的存在形式还包括脚本文件、带有宏指令的数据文件、压缩文件等。