【安全与风险】恶意软件:概念、攻击和检测

news2025/1/17 0:26:15

恶意软件:概念、攻击和检测

  • 恶意软件的定义
  • 恶意软件的类型
  • 易损性
  • 如何防范恶意软件:终端用户的观点
  • 不足
  • 防病毒软件
    • 基于主机的恶意软件检测
      • 特征检测
      • 启发式检测
  • 数据收集挑战
  • 沙箱分析
  • 蜜罐

恶意软件的定义

Malware一词是恶意软件的缩写。

恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。

恶意软件通常是由黑客团队创建的:

  1. 通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。
  2. 然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。

恶意软件的类型

病毒:就像它们的生物学名字一样,病毒将自己附着在另一个对象上(例如,干净的文件)并感染其他对象(例如,其他干净的文件)。它们可以不受控制地传播,破坏系统的核心功能,删除或损坏文件。它们通常以可执行文件(.exe)的形式出现。

特洛伊:这种恶意软件把自己伪装成合法软件,或者隐藏在被篡改过的合法软件中。它倾向于谨慎行事,并在您的安全中创建后门,让其他恶意软件进入。

间谍软件:毫无疑问,间谍软件是用来监视你的恶意软件。它隐藏在后台,记录你在网上做了什么,包括你的密码、信用卡号、冲浪习惯等等。

蠕虫病毒:蠕虫通过网络接口感染整个设备网络,无论是本地的还是跨互联网的。它使用每台连续感染的机器来感染其他机器。与病毒不同,它不需要附着在物体上就能自我复制。

勒索软件:这种恶意软件通常会锁定你的电脑和文件,并威胁要删除一切,除非你支付赎金(即一笔钱)。

广告软件:虽然在本质上并不总是恶意的,攻击性广告软件可以破坏你的安全只是为你提供广告——这可以让其他恶意软件很容易侵入。另外,让我们面对现实吧:弹出窗口真的很烦人。

僵尸网络:僵尸网络是由受感染的计算机组成的网络,它们在攻击者的控制下协同工作。

易损性

  1. 软件安全漏洞
    恶意软件利用操作系统设计中的安全缺陷(安全漏洞或漏洞),应用程序(如浏览器,例如Windows XP支持的旧版Microsoft Internet Explorer),或易受攻击的浏览器插件(如adobeflash Player、adobeacrobat Reader或Java SE)。
  2. 过度特权的用户和过度特权的代码
    设计糟糕的计算机系统中,用户和程序都可能被赋予超出他们应有的权限,恶意软件就可以利用这一点。
    移动应用程序的例子:使用超过所需的传感器,否则无法安装。

如何防范恶意软件:终端用户的观点

除了安装杀毒软件,终端用户如何避免被恶意软件攻击?

  1. 不要相信网上的陌生人!“社交工程”,包括奇怪的电子邮件、突然的警报、虚假的个人资料和逗趣的offers,是传播恶意软件的头号方法。如果你不知道它到底是什么,就不要点击它。
  2. 仔细检查你的下载! 从盗版网站到官方商店,恶意软件经常潜伏在角落里。因此,在下载之前,一定要仔细阅读评论和评论,仔细检查提供者是否值得信赖。
  3. 安装一个广告拦截器! 恶意广告——黑客使用受感染的横幅或弹出式广告感染你的设备——正在上升。你无法知道哪些广告是坏的:所以用可靠的广告拦截器把它们都屏蔽掉会更安全。我推荐AdBlocker Ultimate。
  4. 小心你浏览的地方! 恶意软件可以在任何地方找到,但最常见的是后端安全性差的网站,比如小型本地网站。如果你坚持使用大型、信誉良好的网站,你遇到恶意软件的风险就会大大降低。

不足

不幸的是,即使你完全按照上面的建议去做,你仍然可能会感染恶意软件:黑客已经找到了将病毒潜入网络各个角落的方法。

为了获得真正的安全性,您需要结合:

  1. 健康的上网习惯。
  2. 强大可靠的反恶意软件,如反病毒软件,可以在恶意软件感染您的PC, Mac或移动设备之前检测并停止恶意软件。

防病毒软件

分析系统行为
分析二进制文件以确定它是否是病毒
在这里插入图片描述

基于主机的恶意软件检测

当我们说到恶意软件检测时,我们通常需要主机上的代理。代理需要分析主机上运行的进程、内存映射、系统调用等。

两种主要方法:

  1. 特征检测(signature-based detection)
  2. 启发式检测(Heuristic-based detection)

特征检测

找到一个可以识别病毒的“字符串”

  1. 有效载荷中的字符串
  2. 特定的系统调用

将新样本与已知特征匹配。

优点:

  1. 快速
  2. 在已知样本上准确

缺点:

  1. 对新样品不利
  2. 容易可规避的

启发式检测

分析程序行为

  1. 网络访问
  2. 文件打开
  3. 试图删除文件
  4. 尝试修改引导扇区

发现异常行为时发出警报

优点:更适合捕捉新的恶意软件
缺点:仍然会错过一些东西和规避一些东西

数据收集挑战

无论采用何种方法,关键的挑战之一是收集有关病毒/恶意软件的数据:

  1. 行为
  2. 配置文件
  3. 伤害

沙箱分析

收集恶意软件数据的主要方式
在受控环境中运行恶意软件(通常是虚拟环境)
记录所有系统调用,内存使用,网络流量
沙盒输出可用于构建签名

蜜罐

设置易损机器
可在互联网上查阅
等待感染发生
运行沙盒,收集数据
对新的恶意软件很好

Acknowledgements: Jiangtao Wang

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/435381.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Ubuntu Desktop 启用远程桌面(Vino和TigerVNC方式)

文章目录 前言使用Vino方式无显示器使用使用TigerVNC方式 前言 在很多领域的生产开发工作中常常需要用到 Ubuntu Desktop 系统,但是在一些日常的工作交流中又离不开Windows系统,这种时候比较常用的解决方案就是在Windows系统上使用虚拟机安装Ubuntu。不…

【广州华锐互动】AI高仿真数字人在企业服务中的应用

虚拟数字人是指利用人工智能技术和计算机图形学生成的高度逼真的虚拟人形象,它可以模拟人类的语言、情感、行为和外貌,从而成为一种强大的营销工具,可以为企业带来多种商业价值。 广州华锐互动作为一家15年虚拟现实内容制作商,已…

CSS背景,元素显示模式,盒模型

文章目录 颜色取值选择器进阶复合选择器后代选择器:空格子代选择器 并集选择器(union selector)交集选择器(intersection selector)emmet语法hover伪类选择器 背景相关背景颜色背景图片背景平铺图片位置背景相关连写im…

文字大小PointSize和PixelSize

无论PointSize(点大小)还是像素大小(PixelSize),描述的都是文字在输出设备(显示屏、打印机等)上呈现的大小 首先理解两个概念:DPI(Dots per Inch) 和 PPI(Pix…

295-光纤数据收发 隔离卡 加速计算卡 基于 Kintex-7 XC7K325T的半高PCIe x4双路万兆光纤收发卡

基于 Kintex-7 XC7K325T的半高PCIe x4双路万兆光纤收发卡 一、板卡概述 板卡采用Xilinx公司的XC7K325T-2FFG900I芯片作为主处理器,可应用于万兆网络、高速数据采集、存储;光纤隔离网闸等领域。 二、功能和技术指标: 板卡功能 参…

背锅侠?软件测试各类bug分类定位,从功能到性能超细总结......

目录:导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜) 前言 遇到功能性问题&a…

【服务器数据恢复】NetApp存储中的oracle数据库数据恢复案例

服务器数据恢复环境: NetApp某型号存储,共96块SAS硬盘,划分的lun都映射给小型机使用,存放的是Oracle数据库文件,采用ASM裸设备存储方式。 服务器故障: 管理员误操作删除了该NetApp存储上的所有lun。具体情…

【Java】Java绘制UML图

1.继承关系(Inheritance) 继承指的是一个类(子类、子接口)继承另外的一个类(父类、父接口)的功能,通过关键字 extends 明确标识 UML图 继承用一条带空心三角箭头的实线表示,从子类…

数字孪生可实现三维可视化智慧园区吗?

随着城市化的进程和信息化的发展,越来越多的城市拥有了智慧园区这一新的城市形态,通过“互联网”和物联网技术,实现了各种功能部门之间的信息共享与协同,提高了园区服务的质量和效率。然而,如何更好地实现园区管理和运…

DNS服务的正反向解析

目录 1.DNS域名解析服务概括 产生原因 作用: 2.正向解析 2.1 准备工作,关闭selinux和防火墙 2.2 安装DNS软件 2.3 服务端操作,编辑DNS主配置文件 2.4 服务端操作,编辑区域配置文件,可以在最后添加&#xff0c…

OpenAI文档翻译——搭建第一个自己的ChatGPT应用

这篇主要是讲了重头到位创建一个基于OpenAI API的应用程序的过程,同时给出了Node.js、Python版本的实例代码。应用程序的构建总体来说是很简单的就是一个接口调用,前提是我们需要提供密匙。 如果想要获取更好的结果返回一个是可以给模型提供一些列子从而…

9.5 数组的指针和指向数组的指针变量-2

9.5 数组的指针和指向数组的指针变量-2 一.数组名作为函数参数(1)实参和形参都是数组名(2)实参用数组名,形参用指针变量(3)实参和形参都用指针变量,这个和(2)…

Leetcode-day1【80】删除有序数组中的重复项 II

文章目录 80. 删除有序数组中的重复项 II题目解题思路解题思路【学习】双指针 80. 删除有序数组中的重复项 II 题目 给你一个有序数组 nums ,请你 原地 删除重复出现的元素,使得出现次数超过两次的元素只出现两次 ,返回删除后数组的新长度。…

CBAM小陈读paper系列

忘记做笔记了,只能 把看文章的PDF保存下来了

神经网络:Zero2Hero 1

Zero → \to → Hero : 1 实现了一个字符级中文语言模型,数据采用的是开源中文姓名数据集中的一部分,主要内容如下: 字符的预处理 统计频次计算字符对频次矩阵 实现一个简单的先验概率模型 从训练数据中计算字符的先验概率根据先验概率通过…

前端UI框架有哪些|20个优秀免费开源的WEB前端UI框架提高网站开发效率

最近准备学习一下前端UI我也是在网上找了很久最终整理出来了20个不错的前端UI框架网站,大家都知道很多成熟的前端框架可以直接引,学习框架可以提升我们网站的开发速度。有些大型公司的前端或者后端框架都是用自己开发的,对于大部分用户和公司来讲,我们可以用开源免费的前端…

TCP和UDP通信对比

tcp通信流程 服务器: 创建流式套接字 绑定 监听 提取 读写 关闭 客户端: 创建流式套接字 连接 读写 关闭 收发数据: read recv ssize_t recv(int sockfd, void *buf, size_t len, int flags); //flagsMSG_PEEK 读数据不会删除缓冲区的数据 write send ssize_t send(int…

【Paper Note】ViViT: A Video Vision Transformer

ViViT: A Video Vision Transformer AbstractOverview of vision transformer 回顾ViTEmbedding video clips 视频编码方式Uniform frame sampling 均匀采样Tubelet embedding 时空管采样初始化3D卷积代码介绍视频编码输入到模型当中 Transformer Models for VideoSpatio-tempo…

安全测试(linux基线排查)看这一篇就够了

前言部分: 作为一个安全测试人员,在确保WEB应用程序没有漏洞外,应该也需要关注一下主机环境的安全,因为应用程序部署在主机环境提供运行环境,也应当关注一下主机环境的安全。于此,通过学习本次对linux安全加…

香橙派pi5下,debian,docker19.03.9版本runc容器逃逸

在香橙派pi5下,debian,docker19.03.9版本下,安装系统后,启动docker,显示一切正常。 当加入k8s集群以后,可以正常连接到集群,node状态显示为ready。看起来一切正常。不过过一会之后,香橙派节点内存飙升,然后挂掉。重连失败,需要重启后才能重连。且swapoff -a命令执行…