国内资深黑客浅谈恶意代码的研究分析

核心提示： 特洛伊木马这类恶意代码是根据古希腊神话中的木马来命名的，它从表面上看是正常的程序，国内资深黑客浅谈恶意代码的研究分析(2)，但是实际上却隐含着恶意意图，一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，蠕虫是通过系统存在的漏洞和设置的不安全性（例如：设置共享）来进行入侵的，它

特洛伊木马这类恶意代码是根据古希腊神话中的木马来命名的，它从表面上看是正常的程序，但是实际上却隐含着恶意意图。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它能以加载恶意代码动态库的方式携带恶意代码程序，还有一些木马会以一个软件的身份出现（例如：一个可供下载的游戏，将木马捆绑在软件安装程序上），但它实际上是一个窃取密码的工具。这类应用通常在网络游戏盗号木马上。大多数木马都可以使木马的控制者登录到被感染电脑上，并拥有绝大部分的管理员级别的控制权限。为了达到这个目的，木马一般都包括一个客户端和一个服务器端。客户端放在木马控制者的电脑中，服务器端放置在被入侵电脑中，木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立，木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。通常木马具有很强的隐敝性，会采用多种手段隐藏木马。隐藏恶意进程的痕迹，例如使恶意进程不在进程列表中显示出来等。常见的木马有灰鸽子、彩虹桥、Poison_Ivy、守望者、上兴远控、turkojan等一些木马。

蠕虫是一种能在没有任何用户动作的情况下自动传染计算机的病毒变形。蠕虫不修改文件，而是常驻在内存里并复制自己。蠕虫使用操作系统的一部分，这部分对于用户来说是自动且无形的。通常只有在它的无法控制的疯狂复制占用了系统资源使得其他的 任务缓慢甚至停滞的情况下才会发现它们。蠕虫的自我复制不像其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性（例如：设置共享）来进行入侵的。它的自身特性可以使它以极快的速度传输（在几秒中内从地球的一端传送到另一端）。其中比较典型的有Blaster和SQL Slammer。