【CISP笔记】安全漏洞与恶意代码（1）

恶意代码

类型
二进制代码、脚本语言、宏语言等
表现形式
病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等

恶意代码的传播方式
（1）移动存储

自动播放功能、Windows默认、自动执行autorun.inf指定的文件
（2）文件传播

文件感染
软件捆绑
强制安装：在安装其他软件时被强制安装上
默认安装：在安装其他软件是被默认安装上
（）网络传播

（4）网页

将木马伪装为页面元素
利用脚本运行的漏洞
伪装为缺失的组件
通过脚本运行调用某些com组件
利用软件漏洞
例如：在渲染页面内容的过程中利用格式溢出释放或下载木马
（5）电子邮件

社会工程学
欺骗性标题
吸引人的标题
I love you病毒
库娃等
……
利用系统及邮件客户端漏洞
尼姆达（畸形邮件MIME头漏洞）
……
（6）即时通讯

即时通讯
伪装即时通讯中的用户向其联系人发送消息。使用欺骗性或诱惑性的字眼
P2P下载
伪造有效资源进行传播
（7）共享

管理共享
C盘、D盘……
Windows安装目录
用户共享
用户设置的共享
典型病毒
Lovegate
Spybot
Sdbot
……
（8）主动放置

利用系统提供的上传渠道(FTP、论坛等)
攻击者已经获得系统控制权
攻击者是系统开发者
……
（9）软件漏洞
利用各种系统漏洞
缓冲区溢出：冲击波、振荡波
利用服务漏洞
IIS的unicode解码漏洞：红色代码
……

恶意代码加载方式

（一）随系统启动而加载
（1）开始菜单中的启动项

（2）启动配置文件
（3）注册表启动项

（4）系统服务

（5）组策略

（二）随文件执行加载
（1）感染/文件捆绑

（2）浏览器插件

（3）修改文件关联

（三）其他

恶意代码隐藏技术

进程隐藏

进程迷惑

DLL注入

网络隐藏

端口复用

无端口

反向端口

系统隐藏

隐藏、系统文件

• 默认情况下，windows不显示隐藏文件和系统文件，恶意代码将自身属性设置为隐藏和系统文件以实现隐藏

流文件隐藏

Hook技术