前面，我們?yōu)樽x者介紹了漏洞利用和逆向工程方面的基本技能，現(xiàn)在，我們將綜合利用這些技術(shù)來(lái)探究惡意軟件。作為道德黑客，有時(shí)我們需要在確保安全的情況下動(dòng)手考察惡意軟件，判斷其危險(xiǎn)性，并設(shè)法清除它。本文中，您將有機(jī)會(huì)體驗(yàn)這一安全領(lǐng)域，涉及的主題有：如果您對(duì)這些主題感興趣的話(huà)，可以在“參考資料”部分找到更進(jìn)一步的資料。

惡意軟件

蜜罐技術(shù)最新趨勢(shì)

捕獲惡意軟件：布置陷阱

惡意軟件的初步分析

惡意軟件

所謂惡意軟件，就是在用戶(hù)不知情或者未經(jīng)許可的情況下，不經(jīng)意安裝的或者不請(qǐng)自來(lái)的那些軟件。

惡意軟件的類(lèi)型

惡意軟件的類(lèi)型有多種，但是我們這里只討論下列幾種：

病毒

所謂病毒，其實(shí)是一種寄生性的程序，它們將自己附著到另一個(gè)程序之上，以便感染此程序從而執(zhí)行一些有害的功能。 病毒程序的危害性較大。 有些病毒易于檢測(cè)和清除，而另一些病毒檢測(cè)和清除起來(lái)卻非常棘手。 一些病毒在傳播過(guò)程中，會(huì)利用多態(tài)（變形）技術(shù)產(chǎn)生新的變體，從而使得檢測(cè)工作更為困難。 只有當(dāng)用戶(hù)啟動(dòng)包含病毒的應(yīng)用程序或者腳本的時(shí)候，病毒才會(huì)發(fā)作。當(dāng)然，用戶(hù)通常不知道自己執(zhí)行了一個(gè)病毒程序，相反，他們通常以為自己打開(kāi)的只是一張圖片，或者是一個(gè)看上去無(wú)害的應(yīng)用程序。

特洛伊木馬程序

特洛伊木馬程序是指含有惡意代碼的軟件，它能夠在用戶(hù)毫無(wú)察覺(jué)的情況下為攻擊者干一些見(jiàn)不得人的勾當(dāng)。 顧名思義，許多特洛伊木馬通過(guò)嵌入到其它軟件的方式混入計(jì)算機(jī)系統(tǒng)。

實(shí)際上，盜版軟件中經(jīng)常會(huì)有特洛伊木馬程序代碼。

蠕蟲(chóng)

簡(jiǎn)單地說(shuō)，蠕蟲(chóng)就是些能夠自動(dòng)傳播的病毒。 它們無(wú)需用戶(hù)參與，就能在系統(tǒng)之間進(jìn)行傳播。 近年來(lái)，蠕蟲(chóng)已經(jīng)非常流行，并且被用于多種目的，例如傳播特洛伊木馬以及其它類(lèi)型的惡意軟件。

間諜軟件/廣告軟件

間諜軟件和廣告軟件指的是這樣一類(lèi)軟件，它們?cè)谟脩?hù)不知情的情況下偷偷安裝到計(jì)算機(jī)上，并向攻擊者報(bào)告用戶(hù)的活動(dòng)情況。 在這種情況下，攻擊者通常效力于廣告主、市場(chǎng)專(zhuān)員或者因特網(wǎng)研究人員。 大多數(shù)情況下，這類(lèi)軟件除了侵犯隱私之外并沒(méi)有其它惡意。 然而，有些間諜軟件會(huì)使用鍵盤(pán)紀(jì)錄技術(shù)來(lái)捕獲用戶(hù)的擊鍵，從而將用戶(hù)的機(jī)器變成一個(gè)中央數(shù)據(jù)庫(kù)。 那樣的話(huà)，密碼和金融信息就會(huì)被收集，所以間諜軟件對(duì)于用戶(hù)或組織來(lái)說(shuō)也是高度危險(xiǎn)的。

惡意軟件防御技術(shù)

惡意軟件的一個(gè)重要特點(diǎn)是，重新啟動(dòng)后它仍存在于系統(tǒng)中，所以它的存活期很長(zhǎng)。所以，攻擊者為了保護(hù)惡意軟件，通常都會(huì)設(shè)法令其難以發(fā)現(xiàn)。

Rootkits

“rootkit”的定義是與時(shí)俱進(jìn)的，不過(guò)目前來(lái)說(shuō)，它主要是指這樣一類(lèi)軟件，它們能夠隱藏自身以及其它軟件從而完成一些邪惡的任務(wù)。一款優(yōu)秀的rootkit不僅應(yīng)該能夠具備抗重新啟動(dòng)性，還應(yīng)該能隱藏進(jìn)程、文件、注冊(cè)表項(xiàng)、網(wǎng)絡(luò)連接，最為重要的是能夠隱藏它自己。

加殼工具

加殼工具用來(lái)對(duì)Windows PE文件格式進(jìn)行加殼或壓縮處理。 常見(jiàn)的加殼工具有

UPX

ASPack

tElock

通過(guò)加密提供保護(hù)層

一些黑客使用下面的工具來(lái)對(duì)他們的二進(jìn)制代碼進(jìn)行加密包裝：

Burneye

Shiva

VM檢測(cè)

不難預(yù)料，由于越來(lái)越多的安全研究人員使用VMware俘獲和研究惡意軟件，所以許多惡意軟件已經(jīng)開(kāi)始使用各種虛擬機(jī)（VM）檢測(cè)技術(shù)。 在本章后面部分，我們將介紹這場(chǎng)軍備競(jìng)賽的最新進(jìn)展（當(dāng)然是指截止編寫(xiě)本書(shū)為止這段時(shí)間內(nèi)的發(fā)展情況）。#p#

蜜罐技術(shù)最新趨勢(shì)

談到軍備競(jìng)賽，隨著攻擊者技術(shù)上的不斷進(jìn)步，安全防御者的技術(shù)也隨之發(fā)展。這場(chǎng)貓捉老鼠的游戲已經(jīng)上演了多年了，攻擊者設(shè)法逃避檢測(cè)，而安全防御者則盡力發(fā)現(xiàn)最新的威脅，并開(kāi)發(fā)相應(yīng)的對(duì)策來(lái)更好地保護(hù)他們的網(wǎng)絡(luò)。

蜜罐

蜜罐是些放到網(wǎng)絡(luò)中的誘餌系統(tǒng)，它們是專(zhuān)門(mén)用來(lái)吸引黑客的。 這些系統(tǒng)本身并不貴重，也沒(méi)有敏感信息，不過(guò)它們看起來(lái)卻很重要。它們之所以被稱(chēng)為蜜罐，是因?yàn)檫@些系統(tǒng)對(duì)黑客來(lái)說(shuō)一上手就能得逞，所以他們還會(huì)再次光顧。

Honeynets

蜜罐是以單個(gè)系統(tǒng)作為誘餌。 而honeynet則是用多個(gè)系統(tǒng)作為誘餌。 當(dāng)然，我們也可以這樣認(rèn)為，即一個(gè)honeynet包含兩個(gè)或更多的蜜罐，如下所示：

為什么使用蜜罐

在企業(yè)網(wǎng)絡(luò)中使用蜜罐的原因有很多，例如偽裝和情報(bào)搜集。

用于偽裝

美國(guó)傳統(tǒng)詞典將“偽裝”定義為“1. 通過(guò)利用障眼法；2. 被掩飾的事實(shí)或狀態(tài)；3. 欺詐；詭計(jì).” 蜜罐可用于欺騙攻擊者，致使他們拿不到王冠，反倒按響警報(bào)器。這里的想法是，讓您的蜜罐緊貼您的王冠。

【編輯推薦】

1. 十個(gè)值得一用的免費(fèi)反惡意軟件工具
2. RSA2011：M86預(yù)測(cè)利用第三方工具包的釣魚(yú)攻擊開(kāi)始凸顯
3. 漏洞管理工具方面的幾點(diǎn)注意事項(xiàng)
4. 五個(gè)好用的網(wǎng)絡(luò)協(xié)議分析工具（附下載）