⑴ 計算機如何識別輸入的數據代碼
一.病毒的分類
二.木馬的識別
一.病毒的分類
E-mail 蠕蟲:E-mail 蠕蟲通過E-mail來進行傳播。大部分情況下,該類蠕蟲通過將其自身的副本作為郵件的附件或正文中的鏈接發送,再誘騙接收者運行附件或點擊鏈接下載文件的方式來進行傳播。
IM 蠕蟲:該類蠕蟲通過IM(即時通訊工具)客戶端進行傳播,這一類的客戶端包括:ICQ,MSN,AOL Instant Messenger,雅虎通,QQ 或 Skype。
通常,這一類蠕蟲都會使用聯系人列表來發送包含一個鏈接的信息,這個鏈接可能會引導用去到其網站上下載一個包含該蠕蟲副本的文件,當用戶下載並運行該類文件後,蠕蟲將激活。
IRC 蠕蟲:這一類的蠕蟲通過互聯網多線聊天系統(IRC,一種用於多人在互聯網上實時聊天的服務系統)來進入用戶的計算機。
該類蠕蟲將會在互聯網聊天室中發布包含其副本的文件或是到此類文件的鏈接。當用戶下載並打開此類文件時,病毒將被激活。
Net-蠕蟲:該類蠕蟲通過網路進行傳播。
與其它種類的蠕蟲不同,網路蠕蟲實在沒有用戶的參與下進行傳播的。它們會搜索本地網路中使用了包含漏洞程序的計算機。為了實現搜索,它們會發送特殊的包含其自身代碼或部分此類代碼的網路數據包。如果網路中存在一個具有漏洞的計算機,這類計算機就將收到此類數據包。一旦蠕蟲成功地完全感染該計算機,它就將激活。
P2P-蠕蟲:文件交換蠕蟲將通過點到點的文件交換網路進行傳播,如:Kazaa,Grokster,EDonkey,FastTrack,BT或 Gnutella。
其它蠕蟲:其它的網路蠕蟲還包括:
通過網路資源傳播其副本的蠕蟲。如通過可用的網路文件夾等進行傳播。
使用不包含在以上表格中所列方式進行傳播的蠕蟲。
壓縮包炸彈型木馬程序:一類壓縮包,當對它們進行解壓縮時,它們的大小將會增大到足以讓計算機工作中斷的地步。當您嘗試解開這一類壓縮包時,計算機將會開始工作緩慢或是停滯,硬碟中將會被空的數據文件填滿。壓縮包炸彈對於文件和郵件伺服器是最為危險的。
遠程管理型木馬程序:這一類的程序是木馬程序中最為危險的,黑客可以通過它們隨時對計算機進行遠程管理。這些程序是在用戶毫不知曉的情況下進行安裝的, 然後其會將計算機的遠程管理許可權提供給入侵者。
木馬:木馬包含以下的惡意程序:
經典的木馬程序: 該類木馬只會執行木馬程序的主要功能,如阻止、修改或清除數據,中斷計算機或計算機網路的運行。它們不會具備該表格中描述的其它種類木馬程序的特徵。
多目的的木馬程序:該類的木馬具有其它木馬程序的附加功能。
勒索敲詐型木馬程序:該類木馬程序會劫持用戶計算機上的「人質」信息,修改或是隱藏這些信息,或是中斷計算機的工作使用戶無法使用這些數據。然後,入侵者會向用戶要求贖金,以交換用戶恢復數據的程序。
點擊型木馬:該類程序會從用戶計算機來訪問網頁 - 它們會通過向網頁瀏覽器發送命令或是替換存儲在系統文件中的網頁地址來實現這一操作。
入侵者通過使用這樣的程序,就能夠阻止針對某個網站的網路攻擊,或是幫助某些網站增加訪問量,提高廣告條的播出率。
下載型木馬:該類木馬程序將會訪問入侵者的網頁,從其上下載其它的惡意程序,並將其安裝在用戶計算機上。它們會將可下載的惡意程序文件名存儲在自身中或是在登錄網站時從網站獲取。
釋放型木馬:該類程序自身會包含其它的木馬程序,能夠將它們釋放至計算機磁碟上並且安裝。
入侵者可以使用釋放型木馬:
在用戶不知情的情況下安裝惡意程序:釋放型木馬在安全惡意程序時不會顯示任何信息或是顯示假冒的報錯信息。如,提示壓縮包有錯誤,或是與操作系統版本不兼容等;
保護其它的已知惡意程序不被發現:並不是所有的反病毒程序都能夠檢測出包含在釋放型木馬中的惡意程序。
通知型木馬:這類木馬程序會通知入侵者受感染的計算機已聯網,並且把該計算機的相關信息發送給入侵者,包括:IP地址、開放埠號或郵件地址等。它們會通過郵件、FTP、訪問入侵者網頁或其它的方式與入侵者聯系。
代理型木馬:這類木馬將會幫助入侵者匿名使用用戶的計算機作為訪問網頁的代理,也會使用戶計算機發送垃圾郵件。
盜取密碼型木馬:會盜取密碼的木馬程序。它們會盜取用戶的賬戶信息,如軟體的注冊信息等。它們會在注冊表和文件系統中搜尋用戶的私密信息,然後通過電子郵件、FTP或登錄入侵者網站等方式將其傳送給入侵者。
間諜程序型木馬:該類程序用於對用戶的行為進行刺探,它們會收集用戶在計算機上的操作信息。如,它們會截取用戶通過鍵盤輸入的數據,對屏幕進行截屏,以及收集活動程序列表等。然後,它們會通過電子郵件、FTP或登錄入侵者網站等方式將其傳送給入侵者。
網路攻擊型木馬:該類程序會從用戶計算機端向遠端的伺服器發送大量的數據請求,伺服器的資源就會被這樣的攻擊耗盡,從而停止服務(拒絕服務 (DoS))。該類程序常被用於感染大量的計算機,然後通過它們對伺服器發起攻擊。
等等,還有很多,以上只是一個簡單的分類。要想查看更多相關信息,請訪問:查詢,該網站是卡巴斯基的網站。
二.木馬的識別
1.簡單分析(分析其行為)
2.逆向工程工具分析(IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB)
1.利用工具查看該程序做了哪些操作(需要一定的專業知識)
2.病毒分析人員利用工具分析
1)精通X86,C,C++等
2)系統底層知識
3)熟悉各種常用互聯網協議
4)熟練運用IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB等逆向工程工具
5)熟悉Perl, Python等腳本語言
卡巴斯基Eric