我们经常谈论“恶意软件”。但即使在今天,许多人仍然不完全理解这个词的真正含义。
通过本文,我们希望准确地解释什么是恶意软件、主要类型及其区别,以便您不再混淆它们,并能更准确地理解它们。
恶意软件一词源自英语,由“ MALicious”和“ softWARE”这两个词组合而成,意思是“恶意软件”,即能够造成损害或保证其创建者获得优势的代码。
但要充分了解“恶意软件”的演变过程;我们需要回到过去,1949 年,数学家约翰·冯·诺依曼提出了构建自主复制计算机程序的可能性的理论。
美国数学家约翰·冯·诺依曼提出了自我复制病毒的概念。
计算机病毒的历史
自我复制程序的概念在 20 世纪 60 年代初得到了实际的发展,由 AT&T 贝尔实验室的一群程序员创建的一款名为“核心战争”的游戏中,多个程序必须通过相互覆盖来击败对方。
计算机病毒实际上是一种程序,它递归地(并且显式地)复制自身的可能进化版本,从而开始感染。
1971 年, BBN 技术公司的工程师 Bob Thomas 编写了著名的 Creeper,这是一个为运行 TENEX 操作系统的 DEC PDP-10 终端制作的自我复制程序。
事实上,Creeper 并不是恶意软件,也不复杂,一旦启动,它什么也不做,只是在视频上写下“我是 Creeper:抓住我”的信息。然后开始打印文件并跳转到另一台计算机执行与之前相同的操作。
Creeper,我们可以说这是一个简单的 PoC,也就是现在所说的概念证明,即一个想法或概念的“草图”版本,能够让人们明白所假设的事情确实是可能的。
Creeper 运行后打印的文件。
Creeper 并不完全是一种病毒,事实上我们谈论的是一种蠕虫,用现代术语对其进行分析,因为它不会在其他计算机上复制,而是从一台计算机物理跳转到另一台计算机。
这段代码为一个很快成为“计算机安全”问题的想法奠定了基础。但当时病毒一词尚未与这些程序联系在一起。
从科幻小说到现实
1972年,科幻小说作家大卫·杰罗德(David Gerrold)在小说《上帝的机器》中提到了“病毒”这个词,用来描述一种与生物病毒具有相同行为的计算机程序。
大卫·杰罗德的书《上帝的机器》的副本
随后,1973年,“计算机病毒”一词出现在电影《机器人世界》以及《X战警》漫画中。1982 年出版。
1983 年 11 月 10 日,南加州大学的学生弗雷德·科恩 (Fred Cohen)在一次计算机安全研讨会上展示了计算机病毒的工作原理,从“学术”角度审视了数字化的未来。
为了演示它是如何工作的,科恩在计算机中运行了他的代码,启动后仅五分钟内,他就获得了对系统的完全控制。
该程序通过复制自身来“感染”计算机,从一台机器传播到另一台机器,隐藏在一个更大的合法程序中,该程序通过软盘加载到计算机中。
科恩将这种行为描述为“自我复制的计算机病毒”,实际上在学术界首次创造了这个术语,尽管它在口语中已经相当普遍。
但科恩的恶意软件并不是此类恶意软件中的第一个。
历史上第一个病毒
来自宾夕法尼亚州的 15 岁少年里奇·斯克伦塔 (Rich Skrenta)仅比科恩领先一岁。斯克伦塔喜欢恶作剧他的朋友,并在非常流行的 Apple II 的游戏程序中添加代码,这会关闭他们的计算机或做其他烦人和奇怪的事情。
Rich Skrenta与 Apple II 合影
1982 年,他开发了名为 Elk Cloner 的程序,该程序被认为是世界上出现的第一个计算机病毒。
该程序在Apple的DOS 3.3上运行,感染是通过交换软盘传播的。
该病毒存在于装有游戏的软盘上。这张软盘启动第五十次后,程序就被复制到电脑的主引导中,这样每次启动都会报出这样的字样:“我是Elk Cloner,一个有个性的程序”
从那时起,这个故事就广为人知了,因为我们都不得不与计算机病毒和防病毒软件打交道。
恶意软件之间的差异
随着时间的推移,考虑到计算机安全和威胁的发展,病毒这个词变得越来越专业。
因此,病毒很快就变成了蠕虫,然后变成了木马、root工具包、勒索软件、广告软件等等。
如今,许多人仍然对这些“专业化”感到困惑,但通过本文,我们将分析最普遍的形式,以便更好地理解这些差异并了解它们的起源和本质。
特洛伊木马
特洛伊木马类的名称来源于程序渗透系统的方式,将自身呈现为有用且表面上无害的软件(特洛伊木马)。
用户按照自己的意愿执行它,同时启动恶意软件的功能。木马也称为RAT,是Remote Administration Tool/Trojan的缩写,它通常由2个组件组成,一个是服务器,另一个是客户端,允许您远程控制受感染的计算机,然后发送要执行的指令。
特洛伊木马有许多变体,它们允许通过不同的控制方式进行各种类型的攻击。
历史上第一个木马是Gotcha,它出现于 1985 年,能够造成大量破坏。该程序将自己呈现为图形文件查看器,而其目的是删除磁盘上的所有数据。
病毒
病毒类别经常会与其他类型的恶意软件混淆,但区分因素是传播模型。
事实上,一旦执行,计算机病毒就会感染其他文件以复制自身,通常不会被用户检测到。通常,病毒分布在可执行文件内,一旦开始传播,就会在用户不知情的情况下感染另一个可执行文件。
正如我们之前所看到的,被认为是历史上第一个病毒是 Elk Cloner,它经常与Creeper蠕虫病毒混淆(它不是电子游戏《我的世界》中的怪物)。需要强调的是,差异是由区分类型的传播方法造成的,第一个自我复制,第二个自我传播,即自主执行自身的副本,而不使用另一个可执行文件作为感染向量。
勒索软件
勒索软件是指限制对其感染的设备的访问的一类恶意软件,需要支付赎金才能消除此限制。
当今的勒索软件会锁定系统并阻止用户采取某种行动来恢复访问,它会加密数据并要求赎金来恢复和解密数据。
此外,一段时间以来,网络犯罪一直以 RaaS(勒索软件即服务)的形式组织起来,其灵感来自于云服务。这些勒索软件也可以被那些不了解恶意软件和黑客攻击的人使用。
这些在暗网(例如 Maze、Revil、Darkside)中工作的操作者还会从受感染的服务器中窃取数据,因此,如果不支付赎金,他们总是会以另一种形式对受害者进行勒索,以发布从其窃取的数据和知识产权。他们的基础设施。
AIDS 勒索病毒木马执行后的屏幕截图。
第一个勒索软件是 AIDS 木马,也称为“PC Cyborg”,由生物学家Joseph Popp于 1989 年编写,它执行的有效负载向用户显示一条消息,表明已安装软件的许可证已过期。紧接着它对硬盘上的文件进行了加密,并强迫用户向“PC Cyborg Corporation”支付189美元来解锁系统。
勒索软件通常在攻击结束时使用,通常是通过使用 RAT 来初始破坏基础设施,或者在通过使用访问代理实现持久性后使用。
蠕虫
蠕虫类代表一组可以自主自我复制的恶意软件。请注意,它们经常与病毒混淆。事实上,病毒会自我复制,但它们是通过感染其他文件来实现的。与许多其他恶意软件一样,蠕虫病毒最常见的传播方式是通过电子邮件。
事实上,该蠕虫会搜索主机上存储的电子邮件地址,并将其自身的副本作为附件发送到它已设法收集的全部或部分地址。
包含“morris”蠕虫病毒的软盘,这是互联网历史上的第一个蠕虫病毒。
历史上第一个蠕虫病毒是由康奈尔大学学生 Robert Purcell 塔潘·莫里斯 (Tappan Morris) 于 1988 年编写的,并于 1988 年 11 月 2 日从麻省理工学院实验室推出。
莫里斯编写该蠕虫是因为他想计算 ARPANet 网络的大小。启动 15 小时后,它感染了ARPANet 网络上总共 60,000 台Unix服务器中的 6,000 台。
莫里斯不仅因为创造了第一个蠕虫病毒而载入史册,还因为他带领其创造者在美国首次对计算机黑客行为定罪。
间谍软件
在计算领域,间谍软件是一种在未经用户明确同意的情况下收集有关用户在线活动信息的软件。
间谍软件诞生于 Windows XP 和 Internet Explorer 时代,通常存在于其他软件、移动应用程序中,或者设计为(在最复杂的情况下)提供给情报机构和政府国家。
这些程序允许您拦截消息,允许您访问您的手机信息、地址簿、照片库,其中一些程序可能会访问您的麦克风和相机。简而言之,它们真的很危险。
与病毒和蠕虫不同,间谍软件不能独立传播,因此它们通常需要用户干预,实际上与特洛伊木马非常相似,例如使用社会工程技术或已知的安全漏洞,甚至是已知的,例如著名的零日漏洞。
间谍软件一词于 1995 年首次出现在 Usenet(一个计算机讨论论坛)上,当时有关 Microsoft 商业模式的讨论之后,Gibson Research 于 1999 年重新启用了该词。
除了层出不穷的丑闻外,意大利也有智能手机间谍软件 Exodus 丑闻,该软件由卡拉布里亚公司 eSurv 于 2018 年制作,随后被国家警察用于 1000 名用户,作为一系列司法调查的一部分。
不幸的是,间谍软件是当今互联网的祸害,“互联网的商业模式就是监视”,谁能责怪呢?
广告软件
您有多少次遇到过这样的情况:当您使用您最喜欢的浏览器进行浏览时,一系列窗口不受控制地打开,尽管您试图关闭它们,但这些窗口并没有努力消失?
Internet Explorer 充斥着广告软件。
这是广告软件或旨在做广告的恶意软件,它保证出于商业目的故意向用户显示广告。
有许多不同的类型,从那些旨在修改浏览器内 HTML 的类型,到驻留在浏览器扩展中的类型,再到包含在移动应用程序中的类型,简而言之,这是一个真正的丛林。
当然,浏览缓慢、在您以前从未见过的网站上张贴横幅、主页从一套更改以及不断打开的弹出窗口,这些都是认为您的计算机已被 AdWare 感染的良好线索。
AdWare 有很多类型,但我们可以提到一些著名的,例如 Fireball、DollarRevenue、Gator、DeskAd …
Rootkit
我们所说的 Rootkit 是指一种程序,旨在允许网络犯罪分子通过预先安装的系统来管理系统,而无需用户意识到。
一般来说,Rootkit 的安装会自动发生,或者攻击者在获得系统的 root 权限或管理员访问权限后就可以安装它。
获得这种类型的访问权限可以直接对系统进行,也可以使用特权升级漏洞来实现,该漏洞代表与非管理用户相比的特权提升。
然而,我们所说的直接手段是指通过破解、暴力破解或社会工程窃取管理员帐户的密码。
这些恶意软件首次出现于上世纪 90 年代,rootkit 最初针对 Linux 系统,事实上我们所说的“root”,即 UNIX 超级用户,默认情况下可以访问系统上的所有文件和命令。
恶意软件与“Kit”一词结合在一起,实际上是保证其持久性和访问性的软件。
后门
后门是允许您绕过计算机系统中正常身份验证的软件。
后门可以隐藏在任何程序中,并且通常被设计为无法被防火墙检测到,但它们实际上允许您悄悄地、隐蔽地访问系统功能。
它们可以安装在系统上或在系统内开发,以允许软件本身的维护活动直至工业间谍活动或由情报和国家政府使用。
但请注意,术语“后门”并不表示分发模型,因为它们可以通过 RootKit、木马或病毒进行传输。
黑客组织 Cult of the Dead Cow发明了 Hacktivism 一词并参与了 TOR 软件的创建,并于 1998 年创建了著名的 Back Orifice,这是一种远程管理工具,允许您通过网络远程控制 Windows 计算机。
在2000 年黑客活动中展示 Backorifice 。
这个名字就像现在人们所说的那样,它“控制”了那个时期著名的微软套件,即Microsoft BackOffice。
在本文中,我们分析了 8 类恶意软件,其中包括最著名的恶意软件,但还有许多其他类型的恶意软件我们不会讨论,例如灰色软件、兔子和许多其他新旧恶意软件,随着时间的推移,这些恶意软件将逐渐消失。名字源自黑客的想象。
保护自己免受恶意软件侵害的最佳武器是始终警惕互联网上免费提供的任何软件、来自未知人员通过电子邮件发送的附件,并始终牢记这一点。
但也可以通过防病毒等软件解决方案来保护自己免受恶意软件的侵害,因此选择一款最好付费的软件,以获得良好的保护并始终保持更新。
但由于零风险并不存在,所以大家要小心,时刻保持警惕!
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享