1.计算机病毒的定义
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
但是随着时代的发展,计算机病毒的定义也发生了很大变化,现如今的计算机病毒定义范围很广,任何以某种方式对用户、计算机或网络造成破坏的软件,都可以被认为是计算机病毒,包括木马、蠕虫、Rootkit、勒索病毒、间谍软件、黑客工具、webshell,等等。
2.计算机病毒的分类
后门程序(Backdoor):是一种存在于计算机系统或软件中的隐藏或秘密访问通道,允许未经授权的用户绕过正常的身份验证和访问控制,获得特权或执行非法操作。后门程序通常由开发者故意添加或者通过安全漏洞或恶意软件来安装。
僵尸网络病毒(Zombie Network, Botnet):是一种恶意软件(Malware),通过感染大量计算机或设备,将其控制并组成一个被黑客远程控制的网络。这些被感染的计算机或设备被称为"僵尸",黑客则可以利用这些僵尸来执行恶意活动,如分发垃圾邮件、发起分布式拒绝服务攻击(DDoS攻击)、窃取敏感信息、进行密码破解和挖掘加密货币等。
下载器、启动器:下载器是一种专门用于从互联网上下载文件的工具。它可以是一个简单的应用程序,也可以是一个浏览器插件或扩展。这类病毒在黑客攻击链条种往往处于攻击载荷投递阶段。启动器用于方便地启动和管理其他应用程序,这类病毒在黑客攻击链条中往往处于权限维持阶段。
间谍软件:从受害者计算机上收集信息并发送给攻击者的恶意代码。飞马(Pegasus)就是一款著名的间谍软件,该软件由以色列NSO GROUP公司研发,值得一提的是NSO公司是世界上著名的红队工具开发商。
Rootkit:旨在隐藏或掩盖黑客对受感染系统的存在和活动。它们被设计成难以被探测到,并且难以删除。Rootkit通常会在操作系统内核层或其他系统组件中植入,以达到对操作系统和应用程序的完全控制,从而使攻击者能够执行恶意活动而不被察觉。
勒索病毒(Ransomware):可以将受感染的计算机上的文件加密,并要求受害者支付赎金以解密这些文件。勒索病毒通常通过电子邮件附件、恶意下载或漏洞利用等方式传播,并在感染目标设备后迅速加密用户的文件,包括照片、文档、数据库等。
现如今,同一个计算机病毒经常包括多个功能。
3.应急响应时计算机病毒的处理方式
计算机病毒分析,通常视为一种应急响应的手段,对病毒文件进行分析是对计算机病毒进行应急响应的关键。以下分析方式,适用于初级蓝队人员,是一种比较基础的计算机病毒应急处理方式。
1、首先不要慌,要冷静。确定计算机病毒导致的系统异常行为,确定系统到底发生了什么?
比如,被勒索了、对外发送邮件了还是系统瘫痪了。
2、然后根据计算机的异常表现定位被感染的主机以及可疑程序。
3、应急响应中对可疑程序文件进行分析。分析时主要分为两个方面:
(1)主机特征分析:
主机特征与计算机病毒特征码不同,主机特征关注的是病毒对系统做了什么,而不是病毒本身的文件特征,比反病毒软件特征码更加有效。主机特征码主要有注册表的特定修改、创建或修改了特定的文件等行为,分析主机特征时往往采用Process Monitor等工具进行主机特征分析。
(2)网络行为分析:
计算机病毒网络行为分析主要分析网络的通信数据包、与恶意IP地址的连接等。通过分析计算机病毒的网络通信数据提取出的特征码,网络特征码包括恶意的IP地址、URL、邮件、攻击数据包、计算机病毒的通信协议等。网络行为分析往往采用Wireshark抓包工具进行分析。
主机特征码分析与网络行为分析相结合,能够提高病毒检测效率,减少病毒误报率。
4、根据主机特征分析与网络行为分析之后就要衡量并消除计算机病毒所带来的损害。
热门跟贴