恶意软件--》木马、病毒、蠕虫

--》特洛伊木马：

是指通过特定的程序（木马程序）来控制另一台计算机。。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。
它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。
原理：

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。
特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的， 它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和遗失。特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。
特洛伊木马有两种，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。
特征：
特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的，运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行，或立刻自动变更文件名，甚至隐形，或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。
木马来源：

1、集成到程序中
2、隐藏在配置文件中
3、潜伏在Win.ini中
4、伪装在普通文件中
5、内置到注册表中
6、在驱动程序中藏身
7、隐形于启动组中
8、在Winstart.bat中
9、捆绑在启动文件中
10、设置在超级连接中

--》病毒
编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。
病毒工作原理：
计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速 蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。
病毒的传播：
方法一：黑客把病毒放进一段程序中然后分发程序（放入共享站点等）。通过局域网感染所有服务器上未被保护的文件。
另一种方式是经常发布程序的新闻组或网站上张贴已被感染病毒的程序。
病毒的种类：
共享者病毒：并不真正感染程序，但当程序执行时它也执行。
可执行程序的病毒：
内存驻留病毒：他们总是驻留在内存（RAM）中，要么藏在内存上端，要么藏在下端的终端变量中。甚至可以改变操作系统的RAM分布位图。
引导扇区病毒：
设备驱动病毒：感染设备驱动器
宏病毒：
源代码病毒：寄生病毒和引导区病毒队操作系统有很高的依赖性；文档病毒的依赖性就小得多。源代码病毒是最具移植性的病毒。

--》蠕虫
蠕虫病毒是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。从技术上讲，蠕虫包括两部分程序：引导程序和蠕虫本身。
蠕虫感染机器的三种方法：
1 试图使用rsh命令运行远程shell程序
2 使用一种在所有系统上叫做finger的程序，该程序允许Internet上任何地方的用户通过键入finger name@site 来显示某人的特定安装下的个人信息。
3 依靠在电子邮件系统里的sendmail程序，利用他的bug允许蠕虫发送引导程序的备份并运行。
与病毒的异同：

蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，Windows下可执行文件的格式为PE格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新段，将病毒代码写到新段中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘、U盘（闪存盘）、移动硬盘等被感染，这张受感染的盘用在其他机器上后，同样也会感染其他机器，所以传播方式也可以是移动存储设备。

蠕虫一般不采取利用PE格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件Email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!

--》间谍软件
间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力；使用用户的系统资源，包括安装在他们电脑上的程序；或者搜集、使用、并散播用户的个人信息或敏感信息。
间谍软件如何扩散的：
1 通过木马
2 下载驱动
3 被感染的工具条
4 ActiveX空间，主要针对IE、FF

--》rootkit
Rootkit是一个程序或一些程序和文件的集合，是一种特殊的具有隐藏性的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
rootkit的类型：
1 固件rootkit：通过更新BIOS来隐藏自己在BIOS中
2 管理程序rootkit：可以在一个由自己控制的虚拟机中运行整个操作系统和所有应用程序
3 内核rootkit：目前最常见的rootkit感染操作系统并作为驱动程序或引导内核模块隐藏于其中。
4 库rootkit：在系统库中隐藏
5 应用程序rootkit