恶意代码

类型
二进制代码、脚本语言、宏语言等
表现形式
病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等

恶意代码的传播方式
(1)移动存储

自动播放功能、Windows默认、自动执行autorun.inf指定的文件
(2)文件传播

文件感染
软件捆绑
强制安装:在安装其他软件时被强制安装上
默认安装:在安装其他软件是被默认安装上
()网络传播

(4)网页

将木马伪装为页面元素
利用脚本运行的漏洞
伪装为缺失的组件
通过脚本运行调用某些com组件
利用软件漏洞
例如:在渲染页面内容的过程中利用格式溢出释放或下载木马
(5)电子邮件

社会工程学
欺骗性标题
吸引人的标题
I love you病毒
库娃等
……
利用系统及邮件客户端漏洞
尼姆达(畸形邮件MIME头漏洞)
……
(6)即时通讯

即时通讯
伪装即时通讯中的用户向其联系人发送消息。使用欺骗性或诱惑性的字眼
P2P下载
伪造有效资源进行传播
(7)共享

管理共享
C盘、D盘……
Windows安装目录
用户共享
用户设置的共享
典型病毒
Lovegate
Spybot
Sdbot
……
(8)主动放置

利用系统提供的上传渠道(FTP、论坛等)
攻击者已经获得系统控制权
攻击者是系统开发者
……
(9)软件漏洞
利用各种系统漏洞
缓冲区溢出:冲击波、振荡波
利用服务漏洞
IIS的unicode解码漏洞:红色代码
……

恶意代码加载方式

(一)随系统启动而加载
(1)开始菜单中的启动项


(2)启动配置文件
(3)注册表启动项


(4)系统服务


(5)组策略

(二)随文件执行加载
(1)感染/文件捆绑


(2)浏览器插件


(3)修改文件关联


(三)其他

恶意代码隐藏技术

进程隐藏

进程迷惑

DLL注入

网络隐藏

端口复用

无端口

反向端口

系统隐藏

隐藏、系统文件

  • 默认情况下,windows不显示隐藏文件和系统文件,恶意代码将自身属性设置为隐藏和系统文件以实现隐藏

流文件隐藏

Hook技术

【CISP笔记】安全漏洞与恶意代码(1)的更多相关文章

  1. 【CISP笔记】安全漏洞与恶意代码(2)

    恶意代码自我保护 进程保护 进程守护 超级权限 检测对抗 反动态调试 反静态调试 恶意代码检测技术 特征码扫描 沙箱技术 行为检测 恶意代码分析技术 静态分析 需要实际执行恶意代码,它通过对其二进制文 ...

  2. Android漏洞——将Android恶意代码隐藏在图片中

    研究人员发现了Android上又一个严重的安全漏洞:将Android恶意代码隐藏在图片中(Hide Android Applications in Images). 在该漏洞向外界公开之前,Googl ...

  3. 网站图片挂马检测及PHP与python的图片文件恶意代码检测对比

    前言 周一一早网管收到来自阿里云的一堆警告,发现我们维护的一个网站下有数十个被挂马的文件.网管直接关了vsftpd,然后把警告导出邮件给我们. 取出部分大致如下: 服务器IP/名称 木马文件路径 更新 ...

  4. xxe漏洞检测及代码执行过程

    这两天看了xxe漏洞,写一下自己的理解,xxe漏洞主要针对webservice危险的引用的外部实体并且未对外部实体进行敏感字符的过滤,从而可以造成命令执行,目録遍历等.首先存在漏洞的web服务一定是存 ...

  5. Git漏洞允许任意代码执行(CVE-2018-17456)复现

    Git漏洞允许任意代码执行(CVE-2018-17456) 国外安全研究员 joernchen 在 9 月 23 日向 git 官方报告了漏洞的相关细节.10月5日,Git项目披露了一个漏洞,编号为C ...

  6. 20164318 毛瀚逸 Exp4 恶意代码分析

    ---恢复内容开始--- 1 关键内容 系统运行监控 (1)使用计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件,综述分析结果. (2)安装配置sys ...

  7. GitHub:Awesome-Hacking(黑客技能列表-恶意代码)

    0 初衷 GitHub这一份黑客技能列表很不错,包含了多个方向的安全.但目前我关注只有逆向工程与恶意代码,所以其他的被暂时略过. 虽然很感谢作者的辛勤付出,但并不打算复制粘贴全套转载.逐条整理是为了从 ...

  8. 20155229《网络对抗技术》Exp4:恶意代码分析

    实验内容 使用schtasks指令监控系统运行 schtasks指令:允许管理员在本地或远程系统上创建计划任务. SCHTASKS /Create [/S system [/U username [/ ...

  9. 20155320《网络对抗》Exp4 恶意代码分析

    20155320<网络对抗>Exp4 恶意代码分析 [系统运行监控] 使用schtasks指令监控系统运行 首先在C盘目录下建立一个netstatlog.bat文件(由于是系统盘,所以从别 ...

随机推荐

  1. codevs1138 聪明的质监员

    题目描述 Description 小 T 是一名质量监督员,最近负责检验一批矿产的质量.这批矿产共有n 个矿石,从1到n 逐一编号,每个矿石都有自己的重量wi 以及价值vi.检验矿产的流程是:见图   ...

  2. Linux下的删除命令

    Linux:rm Windows:del rm parameter: -f, --force    忽略不存在的文件,从不给出提示.-i, --interactive 进行交互式删除-r, -R, - ...

  3. ECSHOP Inject PHPCode Into ecs_mail_templates table Via \admin\mail_template.php && \includes\cls_template.php Vul Tag_PHP_Code Execute Getshell

    目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Ecshop后台模版编辑漏洞,黑客可以在获得了后台管理员的帐号密码之后,可以通过在 ...

  4. POJ3258 River Hopscotch

    地址 别人的代码,自己边界总是控制不好,还不知道哪里错了!思维!这种问题代码越简洁反而越不容易错吧.. #include<stdio.h> #include<algorithm> ...

  5. Load Average

    在Linux系统下面,有很多的命令可以查看系统的负载情况:比如top,uptime,w,示例如下: [wenchao.ren@l-cmsweb1.ops.cn1 ~]$ w 18:39:10 up 7 ...

  6. POJ - Til the Cows Come Home(Dijkstra)

    题意: 有N个点,给出从a点到b点的距离,当然a和b是互相可以抵达的,问从1到n的最短距离 分析: 典型的模板题,但是一定要注意有重边,因此需要对输入数据加以判断,保存较短的边,这样才能正确使用模板. ...

  7. 提交 git 项目 到 github 在 centos 7

    Git 是分布式版本控制系统(Distributed Version Control System,简称 DVCS),它可以备份文件的历史信息,多个终端可以同时对文件作修改. 文件内容如果有了变化和之 ...

  8. php 简单分页类

    /**  file: page.class.php   完美分页类 Page  */ class Page {  private $total;          //数据表中总记录数  privat ...

  9. DataView

    表示用于排序.筛选.搜索.编辑和导航的 DataTable 的可绑定数据的自定义视图. DataView的功能类似于数据库的视图,他是数据源DataTable的封装对象,可以对数据源进行排序.搜索.过 ...

  10. python数据库操作常用功能使用详解(创建表/插入数据/获取数据)

    实例1.取得MYSQL版本 复制代码 代码如下: # -*- coding: UTF-8 -*-#安装MYSQL DB for pythonimport MySQLdb as mdbcon = Non ...