第9章 恶意代码及其分析
恶意代码分析
恶意代码分析
2、应用安全更新 可能连接到组织网络的客户端计算机
数量很大,而且种类很多,仅这一点就可 以导致很难提供快速而可靠的安全更新管 理服务。Microsoft 和其他软件公司已经开 发了许多可用来帮助解决此问题的工具。
恶意代码分析
§3 深层恶意代码防护
许多组织在安装了防病毒软件后 仍然感染了病毒。与网络安全设计一 样,设计防病毒解决方案时采用深层 防护方法,了解防护模型的每个层以 及对应于每个层的特定威胁,以便在 实施自己的防病毒措施时使用此信息, 确保在设计时采用的安全措施将得到 可能的维护。
恶可以通过许多方法来损害目标,
恶意代码分析
3、启用基于主机的防火墙
基于主机的防火墙或个人防火墙是应 该启用的重要客户端防护层。Windows XP 包括名为“Internet 连接防火墙”(ICF) 的简 单个人防火墙。ICF 在被启用后将监视通 过它的通信的所有方面。ICF 还检查它处 理的每个数据包的源地址和目标地址,以 确保每个通信都是允许的通信。强烈建议 启用ICF。 恶意代码分析
恶意代码分析
3、检查常用的隐藏区域
某些恶意软件攻击已经使用了有效的 系统文件名,但将该文件置于其他文件夹 中,以免被 Windows 文件保护服务检测到。 例如,恶意软件曾使用一个名为 Svchost.exe 的文件,该文件通常安装在 %WINDIR%\System32 文件夹中并在该文 件夹中受到保护。直接在 %WINDIR% 文 件夹中创建同名文件的恶意软件示例已被 看到,因此必须检查完整路径和文件名。
4、安装防病毒软件 许多公司推出防病毒应用程序,其中
恶意代码的分析与防治的研究
目录1.恶意代码概述1.1恶意代码的概念 (2)1.2恶意代码的发展史 (2)1.3恶意代码的特征 (3)1.4恶意代码传播途径 (3)1.5感染恶意代码的症状 (4)2.典型恶意代码2.1传统计算机病毒 (8)2.2蠕虫 (8)2.3特洛伊木马 (8)2.4恶意脚本 (9)2.5流氓软件 (9)2.6逻辑炸弹 (10)2.7后门 (10)2.8僵尸网络 (11)2.9网络钓鱼 (12)3. 恶意代码分析方法3.1 静态分析方法 (13)3.2动态分析方法 (13)4.恶意代码防范4.1恶意代码的检测 (14)4.2恶意代码的防治手段4.2.1基于主机的恶意代码检测方法 (15)4.2.1基于网络的恶意代码检测方法 (15)1.恶意代码概述1.1恶意代码的概念定义一:恶意代码又称恶意软件。
这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。
是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。
有时也称作流氓软件。
定义二:恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
具有如下共同特征:(1)恶意的目的(2)本身是计算机程序(3)通过执行发生作用有些恶作剧程序或者游戏程序不能看作是恶意代码。
对滤过性病毒的特征进行讨论的文献很多,尽管它们数量很多,但是机理比较近似,在防病毒程序的防护范围之内,更值得注意的是非滤过性病毒。
1.2恶意代码的发展史恶意代码经过20多年的发展,其破坏性、种类和感染性都得到增强。
随着计算机的网络化程度逐步提高,网络传播的恶意代码对人们日常生活影响越来越大。
恶意代码一般原理及分析简介.
2.1 病毒的传播方式
• 传播方式主要有:
• • • • 电子邮件 网络共享 P2P 共享 系统漏洞
2.1 病毒的传播方式
电子邮件
• • • • HTML正文可能被嵌入恶意脚本, 邮件附件携带病毒压缩文件 利用社会工程学进行伪装,增大病毒传播机会 快捷传播特性
• 例子,WORM_MYTOB等病毒
• 4.典型的病毒案例分析 • 5.防病毒现场演练
3.1 疑似病毒现象
• • • • • • 经常出现系统错误或系统崩溃 系统反应变慢,网络拥塞 陌生进程或服务 可疑的打开端口 可疑的自启动程序 病毒邮件
3.2 进行系统诊断
• 趋势科技提供SIC 工具
(system information collector)
1.2 当前病毒流行的趋势
范围:全球性, 如WORM_MOFEI.B等病毒
速度:越来接近零日攻击, 如worm_zotob.a等病毒 方式:蠕虫、木马、间谍软件联合, 如Lovgate等病毒
课程进度
• 1.病毒概述
1.1 当前面临的威胁 1.2 当前病毒流行的趋势
• 2.病毒感染过程和行为
2.1 病毒的传播方式 2.2 病毒自启动方式
3.3 病毒清除方法
• 恢复注册表的设定
根据病毒修改的具体情况,删除或还原相应的注册表项。
您可以从趋势科技网站的以下链接中查找病毒相关的信息: /vinfo/virusencyclo/default.asp
工具:注册表编辑器 regedit.exe
恶意代码一般原理及分析简介
目标
• 掌握反病毒知识 • 熟悉反病毒工具的使用 • 培养现场反病毒应急响应能力
课程进度
• 1.病毒概述
网络安全中的恶意代码分析与防范手段
网络安全中的恶意代码分析与防范手段恶意代码是指通过计算机网络对用户或者系统造成危害的一种程序代码,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。
随着网络的普及和应用的广泛,网络安全问题变得愈发突出。
本文将对网络安全中的恶意代码进行分析,并提供相应的防范手段。
一、恶意代码的分析恶意代码的形式多种多样,具有隐蔽性和破坏性。
下面将介绍几种常见的恶意代码及其分析方法。
1. 病毒病毒是一种能够自我复制并传播的恶意代码。
它通常通过文件的共享或者下载、运行来感染目标计算机。
病毒可以对系统文件进行修改、删除或者破坏,导致计算机系统崩溃。
分析病毒需要使用杀毒软件,对潜在的病毒样本进行扫描和分析,从而识别病毒的特征。
2. 蠕虫蠕虫是一种能够自动复制并在网络中传播的恶意代码。
蠕虫可以通过漏洞来感染系统,并在系统中运行。
它们常常通过邮件、用户点击等方式传播。
分析蠕虫需要借助网络监控系统,对网络流量进行监测和分析,从而发现异常的数据包和行为。
3. 木马木马是一种通过伪装成合法程序隐藏在计算机系统中的恶意代码。
它可以远程控制受感染的计算机,进行非法操作,如窃取个人信息、植入其他恶意程序等。
分析木马需要使用流量分析工具,监控计算机与外部的网络连接,识别异常连接和传输的数据包。
4. 间谍软件间谍软件是一种潜伏在计算机中的恶意程序,用于收集用户的个人信息,并将其发送给第三方。
间谍软件通常通过下载和安装一些看似正常的软件而进入系统。
分析间谍软件可以使用反间谍软件进行扫描和识别,同时注意检查系统中的异常行为和网络连接。
二、恶意代码的防范手段针对恶意代码的分析结果,我们需要采取相应的防范措施,并提高网络安全的水平。
以下是几种常用的防范手段。
1. 使用杀毒软件和防火墙杀毒软件和防火墙是防范恶意代码的第一道防线。
及时更新病毒库和漏洞补丁,可以有效阻止恶意代码的感染。
同时,配置合适的防火墙策略,对网络连接和传输进行监控和过滤,保护系统安全。
《恶意代码分析》课件
简介
恶意代码是指具有破坏、非法获取信息等恶意目的的计算机程序。了解恶意 代码的定义、意义以及分类可以帮助我们更好地进行恶意代码分析。
恶意代码分析流程
1
收集样本
获取恶意代码样本是分析的起点,可以通过手动或自动化的方式进行收集。
2
静态分析
通过分析文件结构、反汇编等方法获取恶意代码的详细信息。
3
动态分析
《恶意代码分析》PPT课件
# 恶意代码分析 PPT课件 ## 简介 - 什么是恶意代码 - 为什么要进行恶意代码分析 - 恶意代码分类介绍 ## 恶意代码分析流程 - 收集样本 - 静态分析 - 文件结构分析 - 反汇编分析 - 动态分析 - 虚拟化环境 - 行为分析 - 网络分析 ## 收集样本 - 手动收集
定期更新操作系统和软件补丁,加强系统和应 用的安全性。
防火墙
配置强大的防火墙,阻止未经授权的访问,减 少恶意代码的传播。
安全教育
提高员工和用户的安全意识,培养正确的网络 安全防范习惯。
总结
恶意代码分析的重要性
了解恶意代码的分析方法,有 助于提前发现和防范潜在的安 全威胁。
分析方法的优缺点
静态分析可快速检测已知恶意 代码,动态分析适用于未知恶 意代码。
动态分析方法
虚拟化环境
在虚拟机或沙箱中运行恶意代 码,观察其行为。
行为分析
通过监控恶意代码的进程和文 件系统活动,分析其具体行为。
网络分析
通过分析恶意代码的网络流量 和DNS查询,了解其通信行为 和可能的远程命令。
恶意代码防范
杀毒软件
安装可靠的杀毒软件,及时更新病毒库以提高 恶意代码的检测率。
安全加固
签名识别
通过对恶意代码的特 征进行匹配,使用已 知的病毒库进行签名 识别。
《恶意代码》课件
实际案例分析
WannaCry勒索软件
WannaCry勒索软件于2017年肆虐全球,通过利用系统漏洞进行传播,并勒索用户的数据。
NotPetya病毒攻击
NotPetya病毒于2017年造成了广泛的破坏,瘫痪了许多企业和机构的计算机系统。
Mirai僵尸网络攻击
Mirai僵尸网络攻击于2016年发生,通过攻击物联网设备形成大规模的攻击力。
恶意代码的传播途径
恶意代码可以通过电子邮件、网络下载、恶意 链接等多种途径传播。
恶意代码的种类
恶意代码的种类多种多样,包括病毒、蠕虫、 木马、间谍软件等。
恶意代码的危害
恶意代码可能导致数据丢失、系统崩溃、个人 隐私泄露等严重后果。
常见恶意代码
病毒
病毒是一种可以自我复制和传播的恶意代码,可以 通过感染文件、网络或外部存储设备传播。
蠕虫
蠕虫是一种能够自动复制和传播的恶意代码,可以 通过网络和系统漏洞进行传播。
木马
木马是一种表面上看起来无害的程序,但实际上会 在用户不知情的情况下执行恶意操作。
间谍软件
间谍软件是一种能够搜集用户个人信息并发送给攻 击者的恶意代码。
恶意代码的防范措施
1 安装杀毒软件
及时安装并定期更新杀毒 软件是防范恶意代码的基 本措施。
总结
恶意代码的威胁
恶意代码对个人和组织的信息安全和网络安全构成了严重威胁。
增强网络安全意识的必要性
加强网络安全教育,提高用户和企业的安全意识,是防范恶意代码的重要手段。
恶意代码防范的重要性
采取有效的恶意代码防范措施,可以避免数据损失、系统崩溃和个人隐私泄露。
《恶意代码》PPT课件
在这个《恶意代码》PPT课件中,我们将介绍恶意代码的概念、种类、传播途 径和危害,以及常见恶意代码如病毒、蠕虫、木马和间谍软件的特点和危害。 我们还会讨论恶意代码的防范措施和一些实际案例分析。
如何识别和分析恶意代码中的漏洞(九)
恶意代码是指通过计算机技术手段恶意实施破坏、偷窃信息或其他违法活动的程序。
具有破坏性和隐蔽性的特点使恶意代码构成了巨大的安全威胁。
而在恶意代码中,常常存在着各种漏洞,这为我们识别、分析和防范恶意代码提供了有力的技术支撑。
一、漏洞的种类及危害在识别和分析恶意代码中的漏洞之前,我们首先需要了解漏洞的种类及其危害程度。
漏洞大致可以分为软件漏洞和系统漏洞两类。
软件漏洞是指在软件设计、编写、测试等过程中,由于疏忽或者设计不当产生的安全漏洞。
而系统漏洞则是指操作系统、网络协议等底层技术存在的安全隐患。
无论是软件漏洞还是系统漏洞,它们都可能被恶意代码所利用。
恶意代码通过利用这些漏洞,可以实现对计算机系统的入侵、信息的窃取、网络的瘫痪等各种危害。
因此,识别和分析恶意代码中的漏洞,对于保障计算机系统的安全至关重要。
二、如何识别恶意代码中的漏洞识别恶意代码中的漏洞是技术研究和安全专家们一直在进行的工作。
以下是一些常见的识别漏洞的方法:1. 安全工具辅助:利用安全工具对恶意代码进行扫描和分析,可以帮助发现其中的漏洞。
例如,漏洞扫描工具、恶意代码分析工具等都可以帮助安全专家进行识别工作。
2. 反汇编和调试:对恶意代码进行反汇编和调试,可以深入了解其具体的运行机制和可能存在的漏洞。
这需要一定的反汇编和调试技术,对代码运行过程进行跟踪和分析。
3. 行为分析:观察恶意代码的行为模式,发现其中的异常行为,可以判断其可能的漏洞点。
例如,恶意代码的网络通信行为、文件读写行为等都可能暴露出漏洞。
三、如何分析恶意代码中的漏洞当我们识别出恶意代码中的漏洞后,下一步就是进行漏洞分析。
漏洞分析是指对恶意代码中的漏洞进行深入研究、理解其原理与机理,并设计相应的缓解和修复方案。
以下是一些常见的漏洞分析方法:1. 源代码分析:如果有恶意代码的源代码,可以进行源代码分析。
通过阅读代码,找到其中的逻辑漏洞、输入验证漏洞等,对漏洞成因进行深入理解。
2. 指令级分析:利用反汇编技术对恶意代码进行逐行分析,跟踪代码执行路径,定位漏洞发生的具体位置。
恶意代码分析中的数据流分析方法(九)
恶意代码分析中的数据流分析方法概述恶意代码(Malware)是指那些具有破坏性和非法目的的计算机程序,它们通常通过潜在的安全漏洞或欺骗手段进入计算机系统并进行恶意活动。
为了对恶意代码进行分析和防御,研究者们不断探索各种方法和技术。
本文讨论的是恶意代码分析中的数据流分析方法,它可以帮助安全专家理解恶意代码的行为以及如何对其进行检测和清除。
数据流分析方法数据流分析方法可以追踪程序执行时数据的传递和变化情况,通过对程序的数据流进行分析,安全专家可以了解恶意代码的执行过程,找出其中的恶意行为,进而提供相应的防御策略。
下面介绍几种常见的数据流分析方法。
1. 静态数据流分析静态数据流分析是指在不实际执行恶意代码的情况下,通过对程序的源代码或二进制代码进行分析来推断数据流。
常见的静态数据流分析方法包括符号执行、抽象解释和模型检查等。
符号执行通过符号变量替代实际变量,在不同输入情况下推导出程序的各种执行路径,从而分析数据流。
抽象解释是一种通过对程序语义的抽象和近似来进行分析的方法,通过对程序的抽象执行路径进行分析,来检测恶意代码的行为。
模型检查则是通过对程序的状态空间进行穷举检查,来找出恶意代码的存在。
2. 动态数据流分析动态数据流分析是指在实际执行恶意代码的情况下,通过对程序运行时的数据流进行捕获和分析来获取有关恶意行为的信息。
常见的动态数据流分析方法包括符号执行、动态污点分析和行为分析等。
符号执行在动态环境中通过替换输入变量为符号值,并跟踪数据的传递来分析数据流。
动态污点分析则是将特定的数据标记为污点,并跟踪这些污点数据的传递和变化情况,从而找出恶意代码对关键信息的利用情况。
行为分析是通过监视程序在执行过程中的各种行为,如系统调用、文件读写操作等,来分析恶意代码的活动。
3. 混合数据流分析混合数据流分析是指将静态和动态数据流分析方法结合起来进行恶意代码分析的方法。
由于静态数据流分析和动态数据流分析各有优势和局限性,将两种方法结合在一起可以提高分析的准确性和全面性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一类隐藏性恶意代码形态,通过修改现有的操作系统软 件,使攻击者获得访问权并隐藏在计算机中。
Rootkit与特洛伊木马、后门
网络信息对抗
网络信息对抗
第六章:恶意代码及其分析
提纲
恶意代码基础知识 恶意代码分析技术
课题实践:恶意代码静态分析
作业:分析一个自制恶意代码样 本
恶意代码(Malware)
恶意代码定义 Malware is a set of instructions that run on your computer and make your system do something that an attacker wants it to do. 使计算机按照攻击者的意图运行以达到恶意目的的指令集合。 指令集合: 二进制执行文件, 脚本语言代码, 宏代码, 寄生在文 件、启动扇区的指令流 恶意代码目的: 技术炫耀/恶作剧, 远程控制, 窃取私密信息, 盗用资源, 拒绝服务/破坏, … 恶意代码类型 计算机病毒, 蠕虫, 恶意移动代码, 后门, 特洛伊木马, 僵尸程 序, Rootkit等… 计算机病毒是最早出现的恶意代码,媒体/工业界的概念混淆, 经常以计算机病毒(Computer Virus)等价于恶意代码
Linux
LRK (Linux RootKit) URK (Universal RootKit):适用于多种Unix平台 Linux用户模式Rootkit的防御: 文件完整性检测 Tripwire, 专用检测工具chkrootkit
Win32
FakeGINA, AFX Rootkit(DLL注入、API Hooking)
2007-2008年:Storm worm
基于Overnet构建了Stromnet, 一个专属的P2P网络
恶意代码发展史上著名的案例
国内著名的恶意代码实例与事件
1986年,中国公安部成立计算机病毒研究小组 1989年,国内首例病毒攻击事件,Kill发布 90年代,反病毒业界逐步形成
木马
特洛伊木马(Trojan Horse)起源-特洛伊 战争 木马: 特洛伊木马(Trojans)
定义: 看起来具有某个有用或善意目的,但实际 掩盖着一些隐藏恶意功能的程序。 错误观点: 提供对受害计算机远程控制的任何程 序,或受害计算机上的远程命令行解释器看做 木马,他们应被视为后门。 如果将后门工具伪装成良性程序,才具备真正 的木马功能。
后门
后门类型
本地权限提升、本地帐号 单个命令的远程执行 远程命令行解释器访问-NetCat 远程控制GUI-VNC, BO, 冰河, 灰鸽子 无端口后门: ICMP后门, 基于Sniffer非混杂模式的后 门,基于Sniffer混杂模式的后门
自启动后门
Windows:自启动文件/文件夹;注册表自启动项; 计划任务 Linux/Unix:inittab, rc.d/init.d, 用户启动脚本, cron计划任务
木马
木马的常见伪装机制
命名伪装 软件包装 木马化软件发行站点
Tcpdump/libpcap木马化事件
代码“Poisoning”
软件开发者/厂商有意给代码加入后门 “复活节彩蛋”: Excel 2000中隐藏的赛车游 戏
僵尸程序与僵尸网络
僵尸程序(Bot)
来自于robot,攻击者用于一对多控制目标主机的恶意代 码
HTTP僵尸网络
传统僵尸网络-基于IRC互联网实时聊天协议构建 著名案例: sdbot, agobot等
P2P僵尸网络
僵尸网络控制器-Web网站方式构建 僵尸程序中的命令与控制模块:通过HTTP协议向控制器 注册并获取控制命令 著名案例: bobax, rustock, 霸王弹窗
内核模式Rootkit
XueTr检测软件
恶意代码相关推荐书籍
基础
Ed. Skoudis, Lenny Zelter, Malware: Fighting Malicious Code(决战恶意代码)电子工业 出版社. 刘倍昌,走进计算机病毒,人民邮电出版社,2011
进阶
Peter Szor, The Art of Computer Virus Research and Defense(计算机病毒防范艺术), 机 械工业出版社. 段钢(看雪学院), 加密与解密(第三版), 电子工业出版社. 刘倍昌,计算机病毒揭秘与对抗,电子工业出版社, 2011
渗透攻击模块
传播引擎
FTP/TFTP/HTTP/SMB/直接传送/单包
目标选择算法+扫描引擎
扫描策略
有效负荷(攻击负荷)
Payload: 传播自身, 开放后门, DDoS攻击...
“红色代码”蠕虫
2001年7月19日,”红色代码”蠕虫爆发 在红色代码首次爆发的短短9小时内,以迅雷不及 掩耳之势迅速感染了250,000台服务器(通过 IIS服务漏洞) 最初发现的红色代码蠕虫只是篡改英文站点主页, 显示“Welcome to ! Hacked by Chinese!” 随后的红色代码蠕虫便如同洪水般在互联网上泛滥, 并会在每月20日~28日对白宫的WWW站点的 IP地址发动DoS攻击,使白宫的WWW站点不得 不全部更改自己的IP地址。
内核模式Rootkit
内核模式Rootkit 恶意修改操作系统内核,从而达到更深的隐藏和更强的隐蔽性 Linux内核模式Rootkit Adore, Adore-ng, KIS (Kernel Intrusion System) 防御: SELinux, LIDS, … 检测: chkrootkit, KSTAT, ... Win32内核模式Rootkit NT Rootkit, Fu Rootkit 虚拟机模式Rootkit 黑客帝国《Matrix》 Linux: UML, KML Win32: VM Rootkit
恶意代码的发展史
1999-2000年:邮件病毒/蠕虫, Melissa, ILOVEYOU 2001年(蠕虫年):Code Red I/II, Nimda 2002年:反向连接木马Setiri, … 2003年-2004年:蠕虫大爆发
2003: Slammer/Blaster/Nachi/Sobig/… 2004: Mydoom/Witty/Sasser/Santy/…
僵尸网络(BotNet)
攻击者出于恶意目的,传播僵尸程序控制大量主机,并 通过一对多的命令与控制信道所组成的网络。 定义特性:一对多的命令与控制通道的使用。
僵尸网络危害-提供通用攻击平台
分布式拒绝服务攻击 发送垃圾邮件 窃取敏感信息 点击欺诈…
僵尸网络类型
IRC僵尸网络
恶意代码的类型
恶意代码的命名规则与分类体系
恶意代码命名规则
[恶意代码类型.]恶意代码家族名称[.变种号]
恶意代码分类的混淆
反病毒工业界并没有形成规范的定义,概念混淆 各种恶意代码形态趋于融合
各种形态恶意代码在关键环节上具有其明确的定义 特性
传播、控制、隐藏、攻击 针对明确定义特性对恶意代码进行分类研究 僵尸程序、Rootkit、网页木马…
特性
感染性:最本质的特性 潜伏性 可触发性 破坏性 衍生性
计算机病毒的感染机制
感染可执行文件
前缀感染 后缀感染 插入感染
感染引导扇区 感染数据文件-宏指令
计算机病毒的感染机制
计算机病毒的传播机制
计算机病毒VS. 蠕虫
病毒: 借助人类帮助从一台计算机传至另一台计 算机 蠕虫: 主动跨越网络传播
冠群金辰、瑞星、江民、金山
90年代末新世纪初,本土化恶意代码流行
1998-CIH病毒 1999-冰河 2003-灰鸽子 2004-证券大盗 2007-2008:熊猫烧香,机器狗、磁碟机…
计算机病毒
定义
计算机病毒是一种能够自我复制的代码,通过将自身嵌 入其他程序进行感染,而感染过程通常需要人工干预才 能完成
恶意代码分析环境(病毒发烧友)
硬盘保护卡
快速恢复
基于虚拟化构建便携式分析环境
恶意代码自动分析环境(科学研究)
后门
War Games JoShua Falken教授留下的WOPR系统访问后门 "Reflections on Trusting Trust" (PDF). Ken Thompson, 1983 Turing Award Lecture, ACM. One Unix host with Ken’s backdoor in Bell Labs, they never found the attack Trust, but Test! Source code Auditing is not enough 后门的定义 后门是允许攻击者绕过系统常规安全控制机制的程序,按照攻 击者自己的意图提供通道。
恶意代码的发展史
1949年: Von Neumann提出计算机程序自我复制概念 1960年: 康维编写出“生命游戏”, 1961年AT&T实验室程序员编 写出“Darwin”游戏,通过复制自身来摆脱对方控制 1970s早期: 第一例病毒Creeper在APANET上传播 1983年: Fred Cohen给出计算机病毒定义 1983年: 最著名的Backdoor, Thompson Ken (October 1983). "Reflections on Trusting Trust" (PDF). 1983 Turing Award Lecture, ACM. 1986年: 第一例PC病毒Brain 1988年: 第一例蠕虫Morris Worm 1990年: SunOS rootkit 1995年: Concept宏病毒 1998年: CIH病毒-首例破坏计算机硬件的病毒 1998年: 最著名的后门软件-Back Orifice