• 恶意代码行为


    1、下载器和启动器

       常见的两种恶意代码是下载器和启动器。下载器从互联网上下载其他的恶意代码,然后在本地系统中运行。下载器通常会与漏洞利用(exploit)打包一起。下载器常用windows API函数URLDownloadtoFileA和WinExec,来下载并运行新的恶意代码。

        启动器(也称为加载器)是一类可执行文件,用来安装立即运行或者将来秘密执行的恶意代码,启动器通常包含一个它要加载的恶意代码。

    2、后门(bookdoor)

       后门是另一种类型的恶意代码,它能让攻击者远程访问一个受害的机器。后门是一种最常见的恶意代码,他们拥有多种功能,并且以多种形式与大小存在。后门代码往往实现了全套功能,所以当使用一个后门时,攻击者通常不需要下载额外的恶意代码。

       反向shell:反向shell是从被感染机器上发起一个连接,它提供攻击者shell访问被感染机器的权限。反向shell或者作为一个单独的恶意代码存在,或者作为一个复杂后门程序中的组件而存在。在反向shell中,攻击者能够如同在本地系统上一样运行命令。

       远程控制工具

       僵尸网络:是被感染主机的一个集合。它们由单一实体控制,通常由一个称为僵尸控制器的机器作为服务器。僵尸网络的目标是尽可能多地感染机器。僵尸网络的目标是尽可能多地感染机器,来构建一个更大的僵尸主机网络,从而使僵尸网络传播其他的恶意代码或蠕虫,或者执行分布式拒绝服务(DDoS)攻击。在实施分布式拒绝服务攻击时,所有僵尸主机会在同一时刻访问同一个站点,僵尸网络能够让这个站点挂掉。

       登录凭证窃密器:等待用户登录以窃取凭证的程序,转储windows系统中存放信息的程序,击键记录程序。

      存活机制:一旦恶意代码获取系统的控制权,它通常就会在系统中驻留很长一段时间,恶意代码的这种行为被称为存活。如果存活机制足够特别,它甚至能作为给定恶意代码的指纹。

      

  • 相关阅读:
    概率面试题
    机器学习概率题总结(转载)
    筛素数以及判断数是否是素数
    腾讯2019正式批春笔试题
    推荐系统架构
    文本表示与匹配
    CTR预估经典模型总结
    spark运行原理
    leetcode 字符串动态规划总结
    无向图的邻接矩阵创建代码以及深度遍历广度遍历
  • 原文地址:https://www.cnblogs.com/linuxsec/p/6079049.html
Copyright © 2020-2023  润新知