起点、生态与进化
动力颠覆历史:能力+意图=威胁,动机+能力=动力;实施APT:目标价值;攻击者:意图,坚定性。
生态:一个被部分恶意代码研究者与公众忽略的问题。以欧洲市场为例:1992年个人电脑销售额IBM公司居榜首占13.5%,Apple占8.5%,Compaq占8.5%,好利获得占6.4%,而德国Vobis只占4.5%。
文件、引导区感染。病毒的最原始技能;感染后保持对象原状,知道病毒发作;从寄生到持久化;BIOSKIT、南桥、固件、网络守候注入。
繁殖。自我复制,大量的自我复制。SQL.Slammer蠕虫在十分钟之内感染了7.5万台计算机。
躲避天敌。一个古老的病毒,发作现象是演奏乐曲,Yangkee Dookle。Yangkee是最早具有反DEBUG能力的病毒。
保护色。病毒模仿windows系统服务的名称。现在的病毒大部分有可信的数字签名。
拟态。恶意代码以dll形式加载到windows程序中,如IE浏览器。
引诱。社会工程学的手段。如u盘中,恶意代码名称命名为已存在的文件夹,将原来的文件夹设为隐藏,引诱人使用该恶意代码。
假死。Rootlit.Baidu。拦截API操作,在发现DeleteFile时,返回已删除的结果,其实任然存在。
环境。历来操作系统的升级都淘汰大量的病毒。DOS3.3 > DOS3.5;ME格式 > PE格式;Ring0;VxD > WDM。
传播与迁徙。恶意代码对主流数据交换方式的依赖不亚于动物对迁徙途径的依赖。磁盘;电子邮件;远程溢出;口令破解;u盘;web注入。
被淘汰的不仅仅是VX,也有AV。OLE2分水岭。Vista强化的DEP、PatchGuard等安全机制,把病毒挡在外面的同时,也把大量AV厂商长时间阻断于“兼容性”测试之外。
家族与变种。耶路撒冷病毒有354个变种,是DOS时代最多的。而目前有多个病毒家族变种总数已经过万,这还不包括被通用特征匹配出的变种。灰鸽子变种数多达数十万,占全球后门变种总数的17%。
反汇编和代码演进。DOS病毒的大量泛滥始于反汇编结果的公布。后门的急剧膨胀在于BO的代码公开。Rbot等僵尸程序家族的大量变种源于代码公开。
跨平台病毒不是变异。变形也不是变异。变形的过程中没有产生新的功能特性。
网友评论