零、写在前面的话
恶意代码(Malware) is a set of instructions that run on your computer and make your system do something that an attacker wants it to do.
| 感染性病毒(Virus) | 一般指可将恶意代码感染到其他可执行的宿主文件中的病毒,使恶意代码在被感染的宿主程序运行时取得运行权的病毒,不影响正常文件的功能,危害级别S |
| 蠕虫病毒(Worm) | 一般存在非本地存储器中,可以利用漏洞感染其他计算机的恶意代码,传播方式:U盘、邮件、MSN、QQ、P2P软件等,危害级别A |
| 高级持续性威胁(APT) | Advanced Persistent Thread,攻击前对攻击对象的业务流程和目标系统进行精确收集,在收集过程中,会主动挖掘被攻击对象授信系统和应用程序漏洞,利用漏洞组建网络,并利用0Day漏洞进行攻击 |
| 木马(Trojan) |
可以在用户完全不知情的情况下,在被感染机器上隐藏运行,且能够窃取用户隐私的程序 TrojanSpy:窃取用户信息; PSW:窃取密码; Clicker:点击指定的网页; Dialer:通过拨号来骗取钱财的程序; Dropper:释放病毒的程序 |
| 后门(BackDoor) | 可以在用户完全不知情的情况下,隐藏运行,且能够给控制者提供访问权限的程序 |
| 间谍软件(Spyware) | 在未经用户许可的前提下,非法收集用户的个人信息、系统操作信息、上网记录等 |
| RootKit |
用户RootKit(FakeGINA、DLL注入、API Hooking) 内核RootKit(SSDT Hook、IDT Hook) |
| 漏洞利用程序(Exploit) |
- |
| 黑客工具(HackTool) | - |
| 整蛊程序(Joke) | - |
| 广告程序(Adware) | - |
| 不安全灰色软件(PUA) | - |
| 信息窃取(Privacy) |
| 恶意扣费(Payment) |
| 远程控制(Remote) |
| 资费消耗(Expense) |
| 诱骗欺诈(Fraud) |
| 流氓行为(Rogue) |
| 系统破坏(System) |
一、常见的杀毒引擎分析与源码
ClamAV开源杀毒引擎
http://www.clamav.net/
百度雪狼引擎
https://bbs.kafan.cn/thread-1791456-1-1.html
腾讯TAV引擎
http://www.vuln.cn/7059
卡巴斯基泄漏源码
二、获取样本的途径的网站:
卡饭论坛(获取样本、查看杀软资讯和评测)
http://bbs.kafan.cn
精睿论坛(获取样本)
http://bbs.vc52.cn/forum-63-1.html
吾爱破解(获取样本、分析样本文章)
https://www.52pojie.cn
各大杀毒软件论坛样本上报板块(获取样本,了解杀软)
国外恶意代码分析网站(查看分析样本信息,获取样本)
http://www.virustotal.com
http://www.virscan.org
国外样本分析网站(查看分析样本信息)
https://habo.qq.com/
三、如何存储样本(本地组策略gpedit.msc)
四、开源杀毒软件ClamAV使用(简介,考虑到ClamAV病毒库的说明较多,因此决定另外单独写一篇博文)
0、clamscan扫描
命令A:clamscan 扫描当前目录
命令B:clamscan -r -i C:vir 扫描目录以及子目录
1、sigtool,查看和创建签名数据库(签名数据库后缀不同,代表不同的类型)
命令A:sigtool -i main.cvd 查看签名库信息
命令B:sigtool -u main.cvd 解压签名库
命令C:sigtool --md5 xxx_virus.exe > xxx_virus.hdb 制作md5签名库
2、freshclam 更新病毒库
3、附录(目录结构)
