起點(diǎn)梢什、生態(tài)與進(jìn)化
? ? 動(dòng)力顛覆歷史:能力+意圖=威脅,動(dòng)機(jī)+能力=動(dòng)力哮笆;實(shí)施APT:目標(biāo)價(jià)值来颤;攻擊者:意圖,堅(jiān)定性稠肘。
? ? 生態(tài):一個(gè)被部分惡意代碼研究者與公眾忽略的問題福铅。以歐洲市場為例:1992年個(gè)人電腦銷售額IBM公司居榜首占13.5%,Apple占8.5%项阴,Compaq占8.5%滑黔,好利獲得占6.4%,而德國Vobis只占4.5%环揽。
? ? 文件略荡、引導(dǎo)區(qū)感染。病毒的最原始技能薯演;感染后保持對(duì)象原狀撞芍,知道病毒發(fā)作;從寄生到持久化跨扮;BIOSKIT、南橋验毡、固件衡创、網(wǎng)絡(luò)守候注入。
? ? 繁殖晶通。自我復(fù)制璃氢,大量的自我復(fù)制。SQL.Slammer蠕蟲在十分鐘之內(nèi)感染了7.5萬臺(tái)計(jì)算機(jī)狮辽。
? ? 躲避天敵一也。一個(gè)古老的病毒,發(fā)作現(xiàn)象是演奏樂曲喉脖,Yangkee?Dookle椰苟。Yangkee是最早具有反DEBUG能力的病毒。
? ? 保護(hù)色树叽。病毒模仿windows系統(tǒng)服務(wù)的名稱∮吆現(xiàn)在的病毒大部分有可信的數(shù)字簽名。
? ? 擬態(tài)。惡意代碼以dll形式加載到windows程序中洁仗,如IE瀏覽器层皱。
? ? 引誘。社會(huì)工程學(xué)的手段赠潦。如u盤中叫胖,惡意代碼名稱命名為已存在的文件夾,將原來的文件夾設(shè)為隱藏她奥,引誘人使用該惡意代碼瓮增。
? ? 假死。Rootlit.Baidu方淤。攔截API操作钉赁,在發(fā)現(xiàn)DeleteFile時(shí),返回已刪除的結(jié)果携茂,其實(shí)任然存在你踩。
? ? 環(huán)境。歷來操作系統(tǒng)的升級(jí)都淘汰大量的病毒讳苦。DOS3.3 > DOS3.5带膜;ME格式 > PE格式;Ring0鸳谜;VxD > WDM膝藕。
? ? 傳播與遷徙。惡意代碼對(duì)主流數(shù)據(jù)交換方式的依賴不亞于動(dòng)物對(duì)遷徙途徑的依賴咐扭。磁盤芭挽;電子郵件;遠(yuǎn)程溢出蝗肪;口令破解袜爪;u盤;web注入薛闪。
? ? 被淘汰的不僅僅是VX辛馆,也有AV。OLE2分水嶺豁延。Vista強(qiáng)化的DEP昙篙、PatchGuard等安全機(jī)制,把病毒擋在外面的同時(shí)诱咏,也把大量AV廠商長時(shí)間阻斷于“兼容性”測試之外苔可。
? ? 家族與變種。耶路撒冷病毒有354個(gè)變種胰苏,是DOS時(shí)代最多的硕蛹。而目前有多個(gè)病毒家族變種總數(shù)已經(jīng)過萬醇疼,這還不包括被通用特征匹配出的變種》ㄑ妫灰鴿子變種數(shù)多達(dá)數(shù)十萬秧荆,占全球后門變種總數(shù)的17%。
? ? 反匯編和代碼演進(jìn)埃仪。DOS病毒的大量泛濫始于反匯編結(jié)果的公布乙濒。后門的急劇膨脹在于BO的代碼公開。Rbot等僵尸程序家族的大量變種源于代碼公開卵蛉。
????跨平臺(tái)病毒不是變異颁股。變形也不是變異。變形的過程中沒有產(chǎn)生新的功能特性傻丝。
? ??
