基于CFG的恶意程序变种检测的研究(4)
定义 2.2 恶意代码是可以破坏系统安全策略的指令集合。由定义可以看出恶意程序的两个显著特点是:未授权性和破坏性。恶意程序按照分类依据的不同,分类方法也有所不同。根据传播机制的不同可以简单的分为复制型恶意程序和非复制型恶意程序。其中复制型恶意程序主要包括病毒和蠕虫,非复制性恶意程序主要包括木马、后门以及 Rootkit 程序等。根据运行特点的不同恶意程序还可以分为需要宿主的程序和独立运行的程序[5-6]。近几年伴随信息技术的发展,恶习程序之间的界限越来越难以划分,通常一个恶意程序兼有几种类型的行为,且破坏力更强。下面根据恶意程序的功能进行分类,介绍一些重要常见的类型。
2.2 恶意程序的分类
(1)病毒
计算机病毒是指编制或者在计算机程序中插入的,破坏计算机应用程序或数据,影响计算机正常使用,并能自我复制的一组计算机指令或者程序代码[7]。病毒将自身携带的病毒代码添加到如PE文件、DOS下的COM文件等文件中。这样能够在宿主文件运行时,获得运行权,运行相应的病毒代码。文件被感染时,文件具有正常功能和病毒文件写入的功能。它能够很容易的欺骗计算机用户。病毒的主要特征是自我复制并使用自身代码去修改其他文件。这相当于生物界中的基因感染。病毒的种类众多,包括引导型病毒、文件型病毒、混合型病毒、宏病毒、脚本病毒等。
(2)蠕虫
蠕虫入侵计算机网络,利用空闲的处理器去计算网络中的计算机跨度。蠕虫代码有许多个段。在主控制段的影响下,它的某个段能够单独的运行在计算机上[8]。蠕虫的传播是通过系统漏洞、外交邮件、共享目录、文件传输软件、移动存储介质进行的。它具有自己的子类型,其子类的行为类型使用传播方式来表示。
(3)后门
在用户没有察觉的情况下,后门在被感染的系统中隐藏运行。它能够远程kongzhi 被感染的系统,而且不能被用户轻易地禁止。同木马不同的是它可以控制被感染的系统。它允许攻击者绕过正常的安全防护机制,通过非授权或者不经过系统登陆,就能够获取系统的远程连接或者登陆。
(4)木马
木马主要指一种与远程计算机建立连接,由远程计算机通过网络控制本地计算机的程序[9]。这类恶意程序从表面上看是正常程序,但实际上却可以完成很多恶意的操作。一些木马程序通常覆盖系统中已经存在的系统文件或应用程序的方式存在系统之中,更有一些木马以正常应用软件的身份出现,但是实际上却是一个窃密工具。木马通常有利益目的,一般根据其利益目的划分为以下子类型:
TrojanSpy:窃取用户信息;
PSW:具有窃取密码的行为;
DownLoader:下载病毒并运行; ‘
Clicker:单击指定网页;
Dialer:通过拨号来骗钱的程序;
Dropper:释放病毒的程序,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行;
Rootkit:一种“越权执行”的应用程序,它设法让自己达到和内核一样的运行级别,甚至进入内核空间,修改内核指令。
(5)逻辑炸弹
逻辑炸弹主要指一段嵌入计算机程序,通过特殊的数据或时间作为条件触发,试图完成特定破坏功能的程序[10]。它具有潜伏性,在没有达到触发时间之前,本文的计算机仍可以正常运行,一旦触发,逻辑炸弹可能会毁掉整个系统,比如改变或删除数据文件或系统文件,更有可能会引发系统的崩溃。逻辑炸弹与病毒的区别在于:逻辑炸弹没有传染性,且不能自我复制。