恶意软件概念学习
恶意软件
- 一、恶意软件
- 二、木马(Trojan Horse,简称 “木马”)
- 三、病毒(Computer Virus,简称 “病毒”)
- 四、蠕虫(Computer Worm,简称 “蠕虫”)
- 五、勒索软件(Ransomware)
- 六、间谍软件(Spyware)
- 七、广告软件(Adware)
- 八、Rootkit
- 九、僵尸网络(Botnet,全称 “机器人网络”)
- 十、 文件 less 恶意软件(Fileless Malware,“无文件” 恶意软件)
- 十一、恶意脚本(Malicious Scripts)
- 十二、逻辑炸弹(Logic Bomb)
一、恶意软件
所有破坏设备、窃取数据或干扰系统的程序,统称为 “恶意软件(Malware)
在技术的发展下,一个恶意软件不会只有一个单独的功能,往往是多种病毒功能合起来
- 看目的:是为了赚赎金(勒索)、偷数据(间谍 / 键盘记录)、控设备(木马 / 僵尸网络)、打广告(广告软件)、搞破坏(病毒 / 逻辑炸弹),还是偷算力(挖矿)?
- 看传播 / 运行方式:是靠用户主动装(木马 / 广告软件)、靠文件复制(病毒)、靠网络漏洞(蠕虫)、还是无文件运行(Fileless)?
- 看隐蔽性:是否隐藏自身(Rootkit/Fileless)、是否用合法工具伪装(恶意脚本)?
二、木马(Trojan Horse,简称 “木马”)
核心定义:伪装成 “合法有用软件”(如办公工具、游戏外挂、破解程序),诱导用户主动下载安装的恶意程序,名称源自 “特洛伊木马” 的典故。
关键特点:
- 无自我复制能力:不会像病毒 / 蠕虫那样自动传播,完全依赖 “用户主动安装”(如点击钓鱼链接、下载盗版软件)。
- 核心目的是 “控制 / 窃取”:安装后会隐蔽运行,实现两大功能:
-
- 远程控制:攻击者可操控目标设备(如查看屏幕、开启摄像头、操控文件),典型例子如 “灰鸽子”“冰河”。
-
- 数据窃取:窃取账号密码(如网银、社交软件)、隐私文件(照片、文档)、设备信息(IP、硬件配置)。
- 不直接破坏系统:通常不会删除文件或崩溃系统(避免被用户发现),而是长期潜伏。
三、病毒(Computer Virus,简称 “病毒”)
核心定义:必须依附于 “宿主文件”(如.exe、.doc、.pdf、图片文件)才能存活,通过修改宿主文件实现自我复制,并在宿主运行时激活的恶意程序
关键特性:
- 依赖宿主,无法独立运行:自身是一段 “代码片段”,必须嵌入到正常文件中(如感染 Word 文档、游戏程序),若宿主文件不被打开,病毒就不会激活。
- 有自我复制能力(但依赖宿主传播):激活后会 “感染” 其他同类文件 —— 比如感染一个.exe 文件后,当该文件被拷贝到 U 盘、发送给他人时,其他设备的.exe 文件也会被感染。
- 核心目的是 “破坏”:以干扰或摧毁系统为主要目标,常见行为包括:
-
- 破坏文件:删除、篡改文档(如将.jpg 改为乱码)、格式化硬盘(如早期 “CIH 病毒” 会破坏主板 BIOS)。
-
- 占用资源:大量复制自身导致 CPU / 内存满负荷,使系统卡顿、崩溃。
- 传播依赖 “文件转移”:需通过 U 盘、邮件附件、文件共享等 “宿主文件的移动” 实现传播,无法通过网络自动扩散。
四、蠕虫(Computer Worm,简称 “蠕虫”)
核心定义:无需依附宿主,可独立运行,并通过 “网络漏洞”(如系统未修复的补丁、弱密码)自动传播的恶意程序。
关键特点:
- 无需宿主,独立传播:自身是完整的可执行程序,不依赖任何文件,只要设备联网且存在漏洞,就能主动入侵(比如 “永恒之蓝” 漏洞利用的蠕虫)。
- 自我复制能力极强,传播速度快:一旦入侵一台设备,会自动扫描同一网络内的其他设备(如局域网内的电脑、服务器),利用漏洞批量感染,短时间内可瘫痪整个网络(如 “冲击波”“震荡波” 蠕虫曾导致全球数百万设备下线)。
- 核心目的是 “消耗资源 / 扩散”:
-
- 占用带宽:大量复制的蠕虫数据包会堵塞网络(如企业内网、校园网),导致正常上网卡顿。
-
- 作为 “跳板”:感染设备后,会将其变为 “肉鸡”,用于发起更大规模的攻击(如 DDoS 攻击)。
- 不直接破坏文件:多数蠕虫不删除数据,而是以 “快速扩散、控制更多设备” 为目标。
五、勒索软件(Ransomware)
核心定义:加密用户文件(如文档、照片、视频),索要 “赎金”(通常是比特币)才解密的恶意程序。
关键特点:
- 加密强度高(非对称加密,难破解);
- 传播方式多样(邮件、漏洞、U 盘);
- 破坏性极强(文件无法恢复)。
六、间谍软件(Spyware)
核心定义:隐蔽收集用户行为数据,无需用户授权的恶意程序。
关键特点:
- 无明显界面,后台静默运行;
- 收集内容:浏览记录、搜索历史、位置信息、输入记录(键盘记录器)
七、广告软件(Adware)
核心定义:强制推送弹窗广告、修改浏览器主页,以赚取广告收益的程序(常伴随隐私收集)。
关键特性:
- 多捆绑在免费软件中(如 “XX 压缩”“XX 视频播放器”);
- 难以卸载,卸载后可能重生。
八、Rootkit
核心定义:隐藏自身及其他恶意程序,获取系统 “最高权限(Root / 管理员权限)” 的工具
关键特性:
- 深度隐藏(修改系统内核、伪装成系统进程);
- 难以检测(常规杀毒软件无法发现);
- 用于长期控制设备。
九、僵尸网络(Botnet,全称 “机器人网络”)
核心定义:并非单一恶意程序,而是由大量被恶意程序感染的设备(称为 “肉鸡”)组成的远程受控网络,攻击者通过 “控制端(C&C 服务器)” 批量操控所有 “肉鸡”。
关键特点:
- 本质是 “恶意程序的‘集合体’”:感染 “肉鸡” 的通常是木马或蠕虫(负责植入和维持控制),但 “僵尸网络” 强调的是 “集群控制能力”,而非单一程序。
- 攻击规模大、隐蔽性强:单台 “肉鸡” 几乎无异常,但数万 / 数十万 “肉鸡” 同时行动时,可发起毁灭性攻击。
十、 文件 less 恶意软件(Fileless Malware,“无文件” 恶意软件)
核心定义:不依赖本地文件(如.exe、.dll),而是直接在系统内存中运行、利用合法系统工具(如 PowerShell、WMI)实现攻击的新型恶意程序,是近年对抗传统杀毒软件的 “主流技术”。
关键特点:
- “无文件残留”:不在硬盘上生成任何可检测的文件,传统杀毒软件(靠扫描文件特征)无法发现。
- 利用 “合法工具” 伪装:所有操作都通过系统自带的合法程序(如 Windows 的 PowerShell 脚本引擎)完成,行为上更难与正常操作区分。
十一、恶意脚本(Malicious Scripts)
核心定义:利用脚本语言(如 Batch、PowerShell、VBScript、JavaScript)编写的恶意代码,通常不是独立程序,而是作为 “攻击载体” 触发后续恶意行为,常被归为 “辅助型恶意程序”。
关键特点:
- 体积小、易传播:脚本代码可直接嵌入邮件正文、网页、Office 文档(如宏脚本),无需打包成.exe 文件,更易绕过邮件过滤或网页防护。
- 功能灵活:可实现 “下载恶意程序”“执行系统命令”“开启后门” 等基础操作,是很多复杂攻击的 “第一步”。
十二、逻辑炸弹(Logic Bomb)
核心定义: 嵌入在正常程序中,满足 “特定条件”(如时间、操作、设备编号)才触发的恶意代码。
关键特性:
- 触发条件可控(如 “2024 年 12 月 31 日自动删除文件”);
- 多由内部人员植入(如员工离职前报复公司)。