病毒、木馬、蠕蟲、rootkit和后門

病毒(computer virus)

wiki

? 計算機病毒是一種計算機程式，在執行時，通過修改其他計算機程式和插入自己的代碼來復制自己，當這種復制成功后，受影響的區域就被稱為被計算機病毒“感染”了，

描述

? 病毒基本上可以被當做一個可以從一臺計算機傳播到另一臺計算機的程式，蠕蟲也是如此，但不同的是，==病毒通常必須將自己注入到可執行檔案中才能運行，==當受感染的可執行檔案運行時，它就可以傳播到其他可執行檔案，為了讓病毒傳播，它通常需要某種用戶干預，

? 比如你從你的郵件中下載了一個附件，并且它最終感染了你的系統，這將被認為是一個病毒，因為它要求用戶實際上打開檔案，病毒有很多方法巧妙地將自己插入可執行檔案，

? 有一種病毒稱為空腔病毒，它可以將自己插入可執行檔案的使用部分，因此不會損壞檔案，也不會增加檔案的大小，

? 目前最常見的病毒型別是宏病毒，可悲的是，這些病毒注入了微軟的產品，如 Word、 Excel、 Powerpoint、 Outlook等等，而且Office 很受歡迎，它也運行在 Mac 電腦上，

特洛伊木馬(Trojan Horse)

wiki

? 特洛伊木馬是指任何誤導用戶了解其真實意圖的惡意軟體，這個術語來源于古希臘故事中欺騙性的特洛伊木馬導致了特洛伊城的淪陷，

描述

? 木馬不會嘗試自我復制，而是通過偽裝成合法的軟體程式安裝到用戶系統中，一旦木馬程式被安裝在用戶的電腦上，==它不會像病毒一樣將自己注入到檔案中，而是允許黑客遠程控制電腦，==感染了木馬病毒的計算機最常見的用途之一就是使其成為僵尸網路的一部分，

? 僵尸網路基本上就是通過互聯網連接起來的一群機器，這些機器可以被用來發送垃圾郵件或執行某些任務，如分布式拒絕服務攻擊(Denial-of-service attack) ，這些攻擊會摧毀網站，

蠕蟲(Computer worm)

wiki

? 電腦蠕蟲是一個獨立的惡意軟體電腦程式，復制自己，以便傳播到其他電腦，它經常利用計算機網路傳播自己，依靠目標計算機的安全故障來訪問它，它將使用這臺機器作為主機來掃描和感染其他計算機，當這些新的被蠕蟲入侵的計算機被控制時，蠕蟲將繼續掃描并感染使用這些計算機作為主機的其他計算機，這種行為將繼續下去，計算機蠕蟲使用遞回的方法在沒有主程式的情況下復制自己，并根據指數增長定律分發自己，從而在短時間內控制和感染越來越多的計算機，蠕蟲病毒幾乎總是對網路造成至少一些損害，即使只是通過消耗帶寬，而病毒幾乎總是破壞或修改目標計算機上的檔案，

描述

? 蠕蟲又可以分為兩種，帶有載荷和沒有載荷的，

? 沒有載荷的蠕蟲，只是在網路上復制自己，并最終減慢網路的速度，因為蠕蟲病毒導致的流量增加，

? 帶有負載的蠕蟲會復制并嘗試執行一些其他任務，比如洗掉檔案、發送電子郵件或安裝后門，后門只是一種繞過身份驗證并獲得對計算機的遠程訪問的方法，這樣的蠕蟲就像“農夫山泉”，我不產毒，只是毒的搬運工，

? 蠕蟲的傳播主要是由于作業系統的安全漏洞，

`Rootkit`

wiki

? Rootkit 是一組計算機軟體，通常是惡意軟體，被設計為可以訪問計算機或者軟體中本不該訪問的區域(例如，非root對root檔案的訪問) ，并經常掩蓋其存在或其他軟體的存在，術語 rootkit 是“ root”(類 unix 作業系統上特權帳戶的傳統名稱)和單詞“ kit”(指實作該工具的軟體組件)的混合物，“ rootkit”這個術語通過與惡意軟體的聯系具有負面含義，

? Rootkit 安裝可以自動化，或者攻擊者可以在獲得根或管理員訪問權限后安裝它，獲得這種訪問權限是對系統進行直接攻擊的結果，即利用已知的漏洞(如權限提升)或密碼(通過破解或“網路釣魚”等社會工程策略獲得)，一旦安裝，==就有可能隱藏入侵并保持特權訪問，==對系統的完全控制意味著可以修改現有的軟體，包括可能被用來檢測或規避它的軟體，

? Rootkit 檢測是困難的，因為一個 Rootkit 可能會破壞軟體，目的是找到它，檢測方法包括使用可替代的可信作業系統、基于行為的方法、簽名掃描、差異掃描和記憶體轉儲分析，洗掉可能很復雜，或者幾乎不可能，特別是在 rootkit 駐留在內核中的情況下; ==重新安裝作業系統可能是解決這個問題的唯一可用的解決方案，==在處理韌體 rootkit 時，洗掉可能需要更換硬體或專用設備，

描述

? Rootkit可以通過多種方式安裝，包括利用作業系統中的漏洞或獲得對計算機的管理員訪問權限，

? 只要Rootkit擁有完全的管理員權限，程式就會自動隱藏并修改當前安裝的作業系統和軟體，以防將來被發現，

? Rootkit 也可以提供有效載荷，借此它們可以隱藏其他程式，如病毒和密鑰記錄器，為了在不重新安裝作業系統的情況下擺脫 rootkit，用戶需要首先啟動到另一個作業系統，然后嘗試清除 Rootkit，或者至少復制關鍵資料，

后門(computer backdoor)

? 后門是一種訪問計算機系統或加密資料的方法，這些資料繞過了系統通常的安全機制，

? 開發人員可能會創建一個后門，以便可以訪問應用程式或作業系統進行故障排除或其他目的，然而，攻擊者經常使用他們檢測到的后門，或者安裝后門作為攻擊的一部分，在某些情況下，蠕蟲或病毒被設計成利用早期攻擊創建的后門，

? 無論是作為一種管理工具、一種攻擊手段，還是作為一種允許政府訪問加密資料的機制，后門都是一種安全風險，因為總有威脅行為者在尋找任何可以利用的漏洞，

? 后門可以有很大的不同，例如，其中一些是由合法的供應商實作的，而另一些則是由于編程錯誤而無意中引入的，開發人員有時在開發程序中使用后門，然后不從生產代碼中洗掉后門，

? 后門通常也是通過惡意軟體安裝的，惡意軟體模塊可以作為后門，也可以作為一線后門，這意味著它作為一個中轉平臺，用于下載其他惡意軟體模塊，這些模塊是為執行實際攻擊而設計的，

? 加密演算法和網路協議至少可能還包含后門，例如，2016年，研究人員描述了加密演算法中使用的素數是如何被精心設計出來的，從而使對手能夠分解素數---- 從而破解之前被認為是安全的加密演算法的加密，

? 后門并不總是基于軟體，也不總是由流氓黑客組織創建的，2013年，德國《明鏡周刊》報道稱，美國國家安全域的特定入侵行動辦公室安全部門保存了一份后門目錄，用于植入防火墻、路由器和其他海外使用的設備，美國國家安全域還涉嫌將后門功能納入個人硬體組件，如硬碟驅動器，甚至 USB 電纜，

總結

? 最后，個人認為，這些分類都是攻擊者實作后，人們為了標記不同的惡意軟體起的名字，而他們并不會以為人為的分類而真正的獨立開來，現有的很多攻擊技術是綜合了多種不同的思想或者方法的，我們知道這些分類也是方便學習而已，

病毒
- 基本上是破壞或修改檔案
- 遞回自我復制
木馬
- 通過偽裝為遠程攻擊做準備
蠕蟲
- 利用網路復制
- 可以帶有載荷，攜帶其他惡意行為
rootkit
- 提升到特權權限，控制計算機，
后門
- 繞過安全防護的機制
- 可以是軟體也可以是演算法，甚至是硬體

參考

What’s the Difference Between a Virus, a Trojan, a Worm, and a Rootkit?
backdoor (computing)

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/244232.html

標籤：其他

上一篇：售票情景解讀synchronized和Lock兩種鎖的區別

下一篇：OSCP備戰走向巔峰