文章目录

• 一、恶意代码的发展史
• • 1.发展史
• 二、恶意代码分类与传播方式
• • 1.恶意代码的发展趋势
  • 2.传播方式
• 三、恶意代码的启动技术
• • 1.加载方式
• 四、恶意代码生存技术
• • 1.进程保护
  • 2.检测对抗
• 五、恶意代码隐蔽技术
• • 1.隐藏通常包括本地隐藏和通信隐藏
  • 2.RootKit技术

一、恶意代码的发展史

1.发展史

1949年——冯诺依曼在《复杂自动机组织论》提出概念
1960年——生命游戏(约翰·康维)
磁芯大战(道格拉斯·麦耀莱、维特·维索斯基、罗伯·莫里斯)
1973年——真正的恶意代码在实验室产生
1981年-1982年——在APPLE-II的计算机游戏中发现EIk cloner
1986年——第一个PC病毒: Brain virus
1988年——Morris Internet worm 6000多台
1990年——第一个多态病毒(躲避病毒查杀)
1991年——virus construction set-病毒生产机
1994年——Good Times(joys)
1995年——首次发现macro virus
1996年——netcat的UNIX版发布(nc)
1998年——第一个Java virus(StrangeBrew)
1998年——netcat的Windows版发布 (nc)
1998年——back orifice(BO)/CIH
1999年——melissa/worm(macrovirus by email)
1999年——back orifice(BO) for WIN2k
1999年——DOS/DDOS-Denial of Service TFT/trin00
1999年——knark内核级rootkit(linux)
2000年——love Bug(VBScript)
2001年——Code Red – worm(overflow for IIS)
2001年——Nimda-worm(IIS/outlook/file share etc.)
2002年——setiri后门
2002年——SQL slammer(sqIserver)
2003年——hydan的steganography工具
2003年——MSBlaster/Nachi
2004年——MyDoom/Sasser
2006年——熊猫烧香
……

二、恶意代码分类与传播方式

1.恶意代码的发展趋势

（1）从传播速度 上来看
恶意代码爆发和传播速度越来越快
（2）从攻击意图 来看
从游戏、炫耀逐步转向恶意牟利
（3）从功能上来看
恶意代码的分工越来越细
（4）从实现技术来看
恶意代码实现的关键技术不断变化
（5）从传播范围来看
恶意代码呈现多平台传播的特征

2.传播方式

三、恶意代码的启动技术

1.加载方式

（1）随系统启动而加载
开始菜单启动项、启动配置文件、注册表、服务、组策略
（2）随文件执行加载
感染/文件合并、浏览器插件、修改文件关联
（3）其他

四、恶意代码生存技术

1.进程保护

进程守护、超级权限

2.检测对抗

反动态调试、反静态调试

五、恶意代码隐蔽技术

1.隐藏通常包括本地隐藏和通信隐藏

其中本地隐藏主要有文件隐藏、进程隐藏、 络连接隐藏、内核模块隐藏、编译器隐藏等通信隐藏主要包括通信内容隐藏和传输通道隐藏。

2.RootKit技术

本地隐藏，就是rookit技术
恶意代码的隐藏或多或少都与RootKit技术相关