信息安全工程师其他恶意代码
1.DDoS程序
2.僵尸程序(Bot)
3.Rootkit
4.Exploit
5.黑客攻击程序
6.间谍软件
7.广告软件
信息安全工程师知识点:Rootkit
Rootkit是20世纪90年代出现的一种计算机技术。它最初被定义为由有用的小程序组成的工具包,可使得攻击者能够获得计算机用户"root" 的最高系统权限。从目前的发展来看,Rootkit是能够持久或可靠地、无法被检测地存在于计算机上的一组程序或代码。目前Rootkit技术的关键在于"使得目标对象无法被检测"因此Rootkit所采用的大部分技术和技巧都用于在计算机上隐藏代码和数据。正因为Rootkit 在隐藏上有如此优势,近些年很多恶意软件纷纷利用Rootkit技术达窍文件隐藏、进程隐藏、注册表隐藏、端口隐藏的目的。
Rootkits主要分为两大类:用户态和内核态。用户态Rootkit通常是进程注入式Rootkits,而内核态则多为驱动级Rootkits。对于Windows系统来说,前者通常通过释放动态链接库(DLL)文件,并将它们注入到其他软件及系统进程中运行,通过HOOK方式对消息进行拦截,或者对特定函数的处理进行修改,以阻止Windows及应用程序对被保护的文件进行访问。后者技术较为复杂,其通过加载Rootkits驱动程序,获取对Windows的控制权。当程序(Windows及杀毒软件等)通过系统API及NTAPI访问文件系统或系统资源时进行监视,一旦发现程序访问被Rootkits保护的文件时返回一个进行了过滤处理的结果,从南达到隐藏文件或特定对象的目的。
信息安全工程师知识点:Exploit(恶意代码)
Exploit(漏洞利用程序)是针对某一特定漏洞或一组漏洞而精心编写的漏溺利用程序。通过精心构造的Exploit,其可以触发吕标系统的特定漏洞,从市获得目标系统的控制权,或者形成对目标程序或系统的控绝服务。
目前比较常见的Exploit有:
(1)主机系统漏洞Exploit。针对目标主机系统,直接获取目标系统的控制枝,如MS03026(DCOMRPC漏洞)漏洞利用程序, MS04011等各类系统漏洞。这类漏洞利用程序通常可以给攻击者提供一个Shell(正向或反向)、增加一个高权限系统账号、下载执行一个指定的恶意程序等。
(2)文档类漏洞Exploit。其通过利期数据文档编辑或阅读软件(如MS Office、Adobe Acrobat Reader等)的漏洞,将恶意代码与正常文档进行捆绑,生成一个恶意的文档文件。当目标用户使用带有漏洞的文档编辑或阅读软件打开时,则会触发漏洞,导致攻击代码获得控制权,进而可能进一步危害到系统的控制权。目前比较常见的被利用文档类型包括PDF,WRI、DOC、XLS、PPT等。这类Exploit通常可以用来释放一个捆绑在文档之中的恶意程序,或者可以去下载功能更强大的其他恶意程序。
(3)网页挂马类Exploit。其主要利用当前浏览器或相关系统组件的漏洞,在网页文件中嵌入精心设计的Exploit,当目标用户利用带有漏洞的浏览器打开这类挂马网页之后,Exploit被触发,将导致目标浏览器自动下载和执行指定的恶意软件。
除此之外,由于漏洞本身或者攻击者本身的技术原因,部分Exploit可能仅造成拒绝服务的效果,或者虽然无法获得控制权,但可以改变或者获取目标进程中的部分数据。
信息安全工程师知识点:黑客攻击程序
黑客攻击程序由于可能对网络或计算机安全造成威胁,因此也经常被各大杀毒软件厂商纳入到病毒查杀范围之列。
黑客攻击程序大致可以分为如下几类:
·扫描类。包括:端口扫描程序,漏洞扫描程序,局域网主机弱口令扫描程序、Web扫描程序等。典型的程序有superscan、xscan、流光、nmap等。
·密码破解类。如md5.exe,rainbowcrack, L0phtCrack,万能钥匙字典,HashCalc等。
.嗅探监听类。如Cain。
·溢出类。如Metasploit。
·加脱壳软件。如UPX 、ASProtect等。
.代理软件,如socketsnake等。
·远程控制软件。如冰河、灰鸽子等。
·捆绑类。如ExeBinder等。
·拒绝服务类等。
信息安全工程师知识点:间谍软件
间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。用户的隐私数据和重要信息会被"后门程序"捕获,并被发送给黑客、商业公司等
信息安全工程师知识点:广告软件
广告软件是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。