希賽小編為考生整理了2022年信息安全工程師考試知識點（二十一）：惡意代碼，希望對大家備考信息安全工程師考試會有幫助。

惡意代碼

【考法分析】

本知識點主要是對惡意代碼相關內容的考查。

【要點分析】

1．惡意代碼，指為達到惡意的目的而專門設計的程序或代碼，是指一切旨在破壞計算機或者網(wǎng)絡系統(tǒng)可靠性，可用性，安全性和數(shù)據(jù)完整性或者消耗系統(tǒng)資源的惡意程序。

惡意代碼的主要的存在形態(tài)有：惡意數(shù)據(jù)文檔，惡意網(wǎng)頁，內存代碼，可執(zhí)行程序和動態(tài)鏈接庫等。

2．惡意代碼=廣義的計算機病毒；惡意代碼的一般命名格式為：<惡意代碼前綴>.<惡意代碼名稱>.<惡意代碼后綴>；惡意代碼后綴的數(shù)量可以有1到多個，如果只有1個，通知是指一個惡意代碼的變種特征。

3．常用惡意代碼前綴解釋：

① 系統(tǒng)病毒：前綴為：Win32，PE，Win95，W32，W95等，這些病毒是可以感染W(wǎng)indows操作系統(tǒng)的*.exe和*.dll文件。

② 網(wǎng)絡蠕蟲：前綴為Worm

③ 特洛伊木馬：前綴為Trojam

④ 腳本病毒：前綴為Script

⑤ 宏病毒：前綴為Macro

⑥ 后門程序：前綴是Backdoor

⑦ 病毒種植程序病毒

⑧ 破壞程序病毒：前綴是Harm

⑨ 玩笑病毒：前綴是Joke

⑩ 捆綁機病毒：前綴是Binder

4．惡意代碼命名的形式，每個組成部分介紹如下：

① 惡意代碼類型（malware_type）；② 平臺（platform）；③ 家族名（family_name）；④ 組名（group_name)；⑤ 感染程度（infective_length）；⑥ 變種名（variant）；⑦ 退化標識（devolution）；⑧ 修飾符（modifiers）。

5．計算機病毒的特征可以歸納為傳染性，程序性，破壞性，非授權性，隱蔽性，潛伏性，可觸發(fā)性和不可預見性。

6．計算機病毒的生命周期：潛伏階段，傳播階段，出發(fā)階段，發(fā)作階段。

7．計算機病毒傳播途徑：

① 通過軟盤，光盤傳播；② 通過移動存儲設備傳播；③ 通過網(wǎng)絡傳播。

8．蠕蟲最重要的兩個特征：“可以從一臺計算機移動到另一臺計算機”，以及“可以自我復制”。

9．木馬與病毒不同，它不以破壞目標計算機系統(tǒng)為主要目的，同時在主機間沒有感染性。木馬的危害早已超過病毒。

10．特洛伊木馬又可以分為多種，如遠程控制型木馬，信息竊取木馬，破壞型木馬等。

11．后門：指繞過系統(tǒng)中常規(guī)安全控制機制而獲取對特定軟件或系統(tǒng)的訪問權限的程序。一般是指攻擊者在獲得目標主機控制權之后為了今后能方便地進入該計算機而安裝的一類軟件，它不僅繞過系統(tǒng)已有的安全設置，而且還能挫敗系統(tǒng)上各種增強的安全設置。

12．其他惡意代碼：① DDos程序；② 僵尸程序（Bot）；③ Rootkit：最初被定義為由有用的小程序組成的工具包，可是的攻擊者能夠獲得計算機用戶“Root”的較高系統(tǒng)權限。Rootkit技術的關鍵在于“是的髠對象無法被檢測”，因此Rootkit所采用的大部分技術和技巧都用于在計算機上隱藏代碼和數(shù)據(jù)。④ Exploit：漏洞利用程序。針對某一特定漏洞或一組漏洞而精心編寫的漏洞利用程序。目前比較常見的Exploit有：主機系統(tǒng)漏洞Exploit、文檔類漏洞Exploit和網(wǎng)頁掛馬類Exploit等。

13．為了徹底清除惡意代碼，需要按照以下步驟進行：

① 停止惡意代碼的所有活動行為（包括停止進程，服務，卸載DLL等）；

② 刪除惡意代碼新建的所有文件備份（包括可執(zhí)行文件，DLL文件，驅動程序等）；

③ 清除惡意代碼寫入的所有啟動選項；

④ 對被計算機病毒感染的文件，還需要對被感染文件進行病毒清除等。

需要注意的是，并不是所有惡意代碼對系統(tǒng)進行的修改都可以被恢復。

14．典型反病毒技術：

① 特征值查毒法：前提是需要從病毒體中提取病毒特征值構成病毒特征庫；

② 校驗和技術；

③ 啟發(fā)式掃描技術：一個熟練的程序員在調試狀態(tài)下只需要一看便可一目了然。啟發(fā)式代碼掃描技術實際上就是把這種經(jīng)驗和知識移植到反病毒軟件中，從而有可能找到未知的病毒。

④ 虛擬機技術：軟件模擬法，它是一種軟件分析器，用軟件方法來模擬和分析程序的運行，而且程序的運行不會對系統(tǒng)起實際的作用

⑤ 行為監(jiān)控技術：通過審查應用程序的操作來判斷是否有惡意（病毒）傾向并向用戶發(fā)出警告。

⑥ 主動防御技術：并不是一項全新的技術，集成了啟發(fā)式掃描技術和行為監(jiān)控及行為阻斷等技術。

【備考點撥】

了解并理解相關知識點內容。