希賽小編為考生整理了2022年信息安全工程師考試知識(shí)點(diǎn)（二十一）：惡意代碼，希望對(duì)大家備考信息安全工程師考試會(huì)有幫助。

惡意代碼

【考法分析】

本知識(shí)點(diǎn)主要是對(duì)惡意代碼相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．惡意代碼，指為達(dá)到惡意的目的而專門設(shè)計(jì)的程序或代碼，是指一切旨在破壞計(jì)算機(jī)或者網(wǎng)絡(luò)系統(tǒng)可靠性，可用性，安全性和數(shù)據(jù)完整性或者消耗系統(tǒng)資源的惡意程序。

惡意代碼的主要的存在形態(tài)有：惡意數(shù)據(jù)文檔，惡意網(wǎng)頁(yè)，內(nèi)存代碼，可執(zhí)行程序和動(dòng)態(tài)鏈接庫(kù)等。

2．惡意代碼=廣義的計(jì)算機(jī)病毒；惡意代碼的一般命名格式為：<惡意代碼前綴>.<惡意代碼名稱>.<惡意代碼后綴>；惡意代碼后綴的數(shù)量可以有1到多個(gè)，如果只有1個(gè)，通知是指一個(gè)惡意代碼的變種特征。

3．常用惡意代碼前綴解釋：

① 系統(tǒng)病毒：前綴為：Win32，PE，Win95，W32，W95等，這些病毒是可以感染W(wǎng)indows操作系統(tǒng)的*.exe和*.dll文件。

② 網(wǎng)絡(luò)蠕蟲：前綴為Worm

③ 特洛伊木馬：前綴為Trojam

④ 腳本病毒：前綴為Script

⑤ 宏病毒：前綴為Macro

⑥ 后門程序：前綴是Backdoor

⑦ 病毒種植程序病毒

⑧ 破壞程序病毒：前綴是Harm

⑨ 玩笑病毒：前綴是Joke

⑩ 捆綁機(jī)病毒：前綴是Binder

4．惡意代碼命名的形式，每個(gè)組成部分介紹如下：

① 惡意代碼類型（malware_type）；② 平臺(tái)（platform）；③ 家族名（family_name）；④ 組名（group_name)；⑤ 感染程度（infective_length）；⑥ 變種名（variant）；⑦ 退化標(biāo)識(shí)（devolution）；⑧ 修飾符（modifiers）。

5．計(jì)算機(jī)病毒的特征可以歸納為傳染性，程序性，破壞性，非授權(quán)性，隱蔽性，潛伏性，可觸發(fā)性和不可預(yù)見性。

6．計(jì)算機(jī)病毒的生命周期：潛伏階段，傳播階段，出發(fā)階段，發(fā)作階段。

7．計(jì)算機(jī)病毒傳播途徑：

① 通過軟盤，光盤傳播；② 通過移動(dòng)存儲(chǔ)設(shè)備傳播；③ 通過網(wǎng)絡(luò)傳播。

8．蠕蟲最重要的兩個(gè)特征：“可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)”，以及“可以自我復(fù)制”。

9．木馬與病毒不同，它不以破壞目標(biāo)計(jì)算機(jī)系統(tǒng)為主要目的，同時(shí)在主機(jī)間沒有感染性。木馬的危害早已超過病毒。

10．特洛伊木馬又可以分為多種，如遠(yuǎn)程控制型木馬，信息竊取木馬，破壞型木馬等。

11．后門：指繞過系統(tǒng)中常規(guī)安全控制機(jī)制而獲取對(duì)特定軟件或系統(tǒng)的訪問權(quán)限的程序。一般是指攻擊者在獲得目標(biāo)主機(jī)控制權(quán)之后為了今后能方便地進(jìn)入該計(jì)算機(jī)而安裝的一類軟件，它不僅繞過系統(tǒng)已有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強(qiáng)的安全設(shè)置。

12．其他惡意代碼：① DDos程序；② 僵尸程序（Bot）；③ Rootkit：最初被定義為由有用的小程序組成的工具包，可是的攻擊者能夠獲得計(jì)算機(jī)用戶“Root”的較高系統(tǒng)權(quán)限。Rootkit技術(shù)的關(guān)鍵在于“是的髠對(duì)象無法被檢測(cè)”，因此Rootkit所采用的大部分技術(shù)和技巧都用于在計(jì)算機(jī)上隱藏代碼和數(shù)據(jù)。④ Exploit：漏洞利用程序。針對(duì)某一特定漏洞或一組漏洞而精心編寫的漏洞利用程序。目前比較常見的Exploit有：主機(jī)系統(tǒng)漏洞Exploit、文檔類漏洞Exploit和網(wǎng)頁(yè)掛馬類Exploit等。

13．為了徹底清除惡意代碼，需要按照以下步驟進(jìn)行：

① 停止惡意代碼的所有活動(dòng)行為（包括停止進(jìn)程，服務(wù)，卸載DLL等）；

② 刪除惡意代碼新建的所有文件備份（包括可執(zhí)行文件，DLL文件，驅(qū)動(dòng)程序等）；

③ 清除惡意代碼寫入的所有啟動(dòng)選項(xiàng)；

④ 對(duì)被計(jì)算機(jī)病毒感染的文件，還需要對(duì)被感染文件進(jìn)行病毒清除等。

需要注意的是，并不是所有惡意代碼對(duì)系統(tǒng)進(jìn)行的修改都可以被恢復(fù)。

14．典型反病毒技術(shù)：

① 特征值查毒法：前提是需要從病毒體中提取病毒特征值構(gòu)成病毒特征庫(kù)；

② 校驗(yàn)和技術(shù)；

③ 啟發(fā)式掃描技術(shù)：一個(gè)熟練的程序員在調(diào)試狀態(tài)下只需要一看便可一目了然。啟發(fā)式代碼掃描技術(shù)實(shí)際上就是把這種經(jīng)驗(yàn)和知識(shí)移植到反病毒軟件中，從而有可能找到未知的病毒。

④ 虛擬機(jī)技術(shù)：軟件模擬法，它是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行，而且程序的運(yùn)行不會(huì)對(duì)系統(tǒng)起實(shí)際的作用

⑤ 行為監(jiān)控技術(shù)：通過審查應(yīng)用程序的操作來判斷是否有惡意（病毒）傾向并向用戶發(fā)出警告。

⑥ 主動(dòng)防御技術(shù)：并不是一項(xiàng)全新的技術(shù)，集成了啟發(fā)式掃描技術(shù)和行為監(jiān)控及行為阻斷等技術(shù)。

【備考點(diǎn)撥】

了解并理解相關(guān)知識(shí)點(diǎn)內(nèi)容。