恶意代码是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。
定义一:恶意代码又称恶意软件。这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。
定义二:恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
按传播方式,恶意代码可以分成五类:病毒,木马,蠕虫,移动代码和复合型病毒。
一、蠕虫
蠕虫是目前危害最大的一种恶意代码攻击。蠕虫是一种可以自我复制的完全独立的程序,它的传播不需要借助被感染主机中的其他程序。
蠕虫的自我复制不象其他的病毒,它可以自动创建与它的功能完全相同的副本,并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性(例如:设置共享)来进行入侵的。它的自身特性可以使它以及快的速度传输(在几秒中内从地球的一端传送到另一端)。其中比较典型的有Blaster和SQL Slammer。
二、传统病毒
传统病毒一般都具有自我复制的功能,同时,它们还可以把自己的副本分发到其他文件、程序或电脑中去。病毒一般镶嵌在主机的程序中,当被感染文件执行操作的时候,病毒就会自我繁殖(例如:打开一个文件,运行一个程序,点击邮件的附件等)。由于设计者的目的不同,病毒也拥有不同的功能,一些病毒只是用于恶作剧,而另一些则是以破坏为目的,还有一些病毒表面上看是恶作剧病毒,但实际上隐含破坏功能。病毒可以分为以下几类:感染文件病毒、感染引导区病毒、宏病毒和恶作剧电子邮件。
(一)永远断网、拒绝未知U盘接入
比较极端的方式是电脑永远不联网,用定制的Linux系操作系统或其他自制操作系统,禁止所有未知安全性的U盘插入。这是国家安全机构在某些环节会用到的方式,不适合普通家庭用户。
(二) 还原软件、影子系统
冰点、shadow defender、 PowerShadow、等,这类软件可以隔离你对保护区域的文件的改动,重启或者设置后,能恢复原样,在恢复过程中自然也能消除所有改动和新增的程序文件,包括病毒。类似的还有“虚拟机”,如vmware、等。不过这类方式也不太适合家庭用户,中木马后,密码会被毫无征兆的盗走,而没有任何警报,而且家用电脑通常每天会有很多个性化的改动微调、增删文件等,如果每天都设置一下还原软件或影子系统,会比较繁琐。
(a)产生一种测试数据,这种测试数据基本上不受在不减少测试数据信息的情况下而对其进行压缩的影响。然后将该数据作为映像数据存储到设备的外部存储器中;
(b)将测试数据载入设备存储器;
(c)计算设备存储器中存储的测试数据的校验和(checksum),来产生第一校验和值,相应地计算映像数据的校验和,来产生第二校验和值,然后比较第一、第二值,来确定设备存储器中的测试数据是否遭到了危害;
(d)重复步骤(c),直到对设备存储器中足够多的测试数据进行了校验和测试,来确定该设备中是否存在恶意代码。
