病毒、木马、蠕虫、rootkit和后门

病毒(computer virus)

wiki

? 计算机病毒是一种计算机程序，在执行时，通过修改其他计算机程序和插入自己的代码来复制自己。当这种复制成功后，受影响的区域就被称为被计算机病毒“感染”了。

描述

? 病毒基本上可以被当做一个可以从一台计算机传播到另一台计算机的程序。蠕虫也是如此，但不同的是，==病毒通常必须将自己注入到可执行文件中才能运行。==当受感染的可执行文件运行时，它就可以传播到其他可执行文件。为了让病毒传播，它通常需要某种用户干预。

? 比如你从你的邮件中下载了一个附件，并且它最终感染了你的系统，这将被认为是一个病毒，因为它要求用户实际上打开文件。病毒有很多方法巧妙地将自己插入可执行文件。

? 有一种病毒称为空腔病毒，它可以将自己插入可执行文件的使用部分，因此不会损坏文件，也不会增加文件的大小。

? 目前最常见的病毒类型是宏病毒。可悲的是，这些病毒注入了微软的产品，如 等等。而且Office 很受欢迎，它也运行在 Mac 电脑上。

特洛伊木马(Trojan Horse)

wiki

描述

? 木马不会尝试自我复制，而是通过伪装成合法的软件程序安装到用户系统中。一旦木马程序被安装在用户的电脑上，==它不会像病毒一样将自己注入到文件中，而是允许黑客远程控制电脑。==感染了木马病毒的计算机最常见的用途之一就是使其成为僵尸 络的一部分。

? 僵尸 络基本上就是通过互联 连接起来的一群机器，这些机器可以被用来发送垃圾邮件或执行某些任务，如分布式拒绝服务攻击(Denial-of-service attack) ，这些攻击会摧毁 站。

蠕虫(Computer worm)

wiki

描述

? 蠕虫又可以分为两种，带有载荷和没有载荷的。

? 没有载荷的蠕虫，只是在 络上复制自己，并最终减慢 络的速度，因为蠕虫病毒导致的流量增加。

? 带有负载的蠕虫会复制并尝试执行一些其他任务，比如删除文件、发送电子邮件或安装后门。后门只是一种绕过身份验证并获得对计算机的远程访问的方法。这样的蠕虫就像“农夫山泉”，我不产毒，只是毒的搬运工。

? 蠕虫的传播主要是由于操作系统的安全漏洞。

wiki

? Rootkit 是一组计算机软件，通常是恶意软件，被设计为可以访问计算机或者软件中本不该访问的区域(例如，非root对root文件的访问) ，并经常掩盖其存在或其他软件的存在。术语 rootkit 是“ root”(类 操作系统上特权帐户的传统名称)和单词“ kit”(指实现该工具的软件组件)的混合物。“ rootkit”这个术语通过与恶意软件的联系具有负面含义。

? Rootkit 安装可以自动化，或者攻击者可以在获得根或管理员访问权限后安装它。获得这种访问权限是对系统进行直接攻击的结果，即利用已知的漏洞(如权限提升)或密码(通过破解或“ 络钓鱼”等 会工程策略获得)。一旦安装，==就有可能隐藏入侵并保持特权访问。==对系统的完全控制意味着可以修改现有的软件，包括可能被用来检测或规避它的软件。

? Rootkit 检测是困难的，因为一个 Rootkit 可能会破坏软件，目的是找到它。检测方法包括使用可替代的可信操作系统、基于行为的方法、签名扫描、差异扫描和内存转储分析。删除可能很复杂，或者几乎不可能，特别是在 rootkit 驻留在内核中的情况下; ==重新安装操作系统可能是解决这个问题的唯一可用的解决方案。==在处理固件 rootkit 时，删除可能需要更换硬件或专用设备。

描述

? Rootkit可以通过多种方式安装，包括利用操作系统中的漏洞或获得对计算机的管理员访问权限。

? 只要Rootkit拥有完全的管理员权限，程序就会自动隐藏并修改当前安装的操作系统和软件，以防将来被发现。

? Rootkit 也可以提供有效载荷，借此它们可以隐藏其他程序，如病毒和密钥记录器。为了在不重新安装操作系统的情况下摆脱 rootkit，用户需要首先启动到另一个操作系统，然后尝试清除 Rootkit，或者至少复制关键数据。

后门(computer backdoor)

? 后门是一种访问计算机系统或加密数据的方法，这些数据绕过了系统通常的安全机制。

? 开发人员可能会创建一个后门，以便可以访问应用程序或操作系统进行故障排除或其他目的。然而，攻击者经常使用他们检测到的后门，或者安装后门作为攻击的一部分。在某些情况下，蠕虫或病毒被设计成利用早期攻击创建的后门。

? 无论是作为一种管理工具、一种攻击手段，还是作为一种允许政府访问加密数据的机制，后门都是一种安全风险，因为总有威胁行为者在寻找任何可以利用的漏洞。

? 后门可以有很大的不同。例如，其中一些是由合法的供应商实现的，而另一些则是由于编程错误而无意中引入的。开发人员有时在开发过程中使用后门，然后不从生产代码中删除后门。

? 后门通常也是通过恶意软件安装的。恶意软件模块可以作为后门，也可以作为一线后门，这意味着它作为一个中转平台，用于下载其他恶意软件模块，这些模块是为执行实际攻击而设计的。

? 加密算法和 络协议至少可能还包含后门。例如，2016年，研究人员描述了加密算法中使用的素数是如何被精心设计出来的，从而使对手能够分解素数—- 从而破解之前被认为是安全的加密算法的加密。

? 后门并不总是基于软件，也不总是由流氓黑客组织创建的。2013年，德国《明镜周刊》 道称，美国国家安全局的特定入侵行动办公室安全部门保存了一份后门目录，用于植入防火墙、路由器和其他海外使用的设备。美国国家安全局还涉嫌将后门功能纳入个人硬件组件，如硬盘驱动器，甚至 USB 电缆。

总结

? 最后，个人认为，这些分类都是攻击者实现后，人们为了标记不同的恶意软件起的名字。而他们并不会以为人为的分类而真正的独立开来，现有的很多攻击技术是综合了多种不同的思想或者方法的，我们知道这些分类也是方便学习而已。

• 病毒
  • 基本上是破坏或修改文件
  • 递归自我复制
• 木马
  • 通过伪装为远程攻击做准备
• 蠕虫
  • 利用 络复制
  • 可以带有载荷，携带其他恶意行为
• rootkit
  • 提升到特权权限，控制计算机。
• 后门
  • 绕过安全防护的机制
  • 可以是软件也可以是算法，甚至是硬件

参考

1. What’s the Difference Between a Virus, a Trojan, a Worm, and a Rootkitli>
2. backdoor (computing)