恶意软件及权威安全漏洞库介绍
2014-02-24 12:20:17 
阿炯
许多人将恶意软件称为病毒,但从专业的角度讲,这并不准确。你也许听说过许多超出病毒范围的词语:恶意软件、蠕虫病毒、特洛伊木马、根访问权限工具、键盘记录工具、间谍软件等等。在这里还可以看到对流氓软件的相关定义,那么这些词具体是什么含义呢?这些术语不仅仅在骇客之间使用,还广泛用于主要新闻、网络安全问题和科技骇闻之中。了解它们能够帮助我们知晓这其中的危害。
恶意软件
“恶意运作软件”简称“恶意软件(malware)”。许多人使用“病毒”来解释这一类软件,但是确切的说病毒只是这一类中的一种。“恶意软件”包括了所有会产生危害的软件。是指被专门设计用于损坏或中断系统、破坏保密性、完整性、可用性的软件,我们常说的病毒和特洛伊木马都属于恶意软件。此外还会经常听到恶意代码(Malicious Code)这一概念,但恶意软件和恶意代码还是有一些区别,主要体现在以下几个方面:
1.定义范围:恶意代码是一段具有恶意目的的程序代码片段,可以是一小段脚本、指令序列或单个的指令。恶意软件则是一个更广泛的概念,通常指完整的、可执行的恶意程序。
2.功能完整性:恶意代码可能只是实现特定恶意功能的一部分代码,不一定能独立运行。而恶意软件通常是一个完整的、能够独立运行并执行一系列恶意操作的应用程序。下面分别列举一些常见的情况。
3.传播方式:恶意代码可能嵌入在正常的软件或文件中进行传播。恶意软件则往往以独立的程序文件形式传播。
4.复杂性:恶意软件通常具有更复杂的结构和功能,可能包含多个模块和组件来实现不同的恶意行为。恶意代码相对可能较为简单。
例如,一段用于窃取用户密码的代码片段可以被视为恶意代码,而一个能够自动传播、窃取密码、破坏系统的完整程序则是恶意软件。
病毒
首先来讲讲病毒。病毒是一种恶意软件,它能自我复制,并感染其他文件,就像生物学上的病毒那样,病毒先感染细胞,然后利用这些细胞不断繁殖。
病毒能做许多事情。例如它能隐藏自己,窃取密码,强制弹出广告,使电脑重启。光有这些还不足以称之为病毒。病毒之所以称为病毒是因为他们的繁殖能 力。当一个病毒在计算机中运行时,它会感染机器中的程序。如果把感染的程序放在另一台计算机中运行,那么这台机器也会被感染。比如说一个病毒可能感染了一 个u盘,当u盘插到一台电脑上,并运行了被感染的程序,病毒就会被传染到计算机中,然后还会感染更多的程序文件,就这样,感染会无限进行下去。
蠕虫病毒
蠕虫病毒与病毒很相似,只是它们的传播方式不同。蠕虫病毒通过网络进行传播,而病毒是通过感染文件或者通过人为 移动病毒文件进行传播。冲击波蠕虫和震荡波蠕虫就是典型的例子。他们在Windows?XP系统间传播的非常快,其原因就是Windows?XP系统中没 有安全的保护系统,系统服务完全暴露在网络上。蠕虫病毒就可以从网络中进入XP的系统服务中,找到系统中的漏洞后,开始感染系统。然后它就可以利用受染计 算机进行自我复制。虽然现在Windows系统中有了默认的防火墙是的蠕虫病毒变得少见了,但它们还是有别的方式可以传播。例如蠕虫病毒能通过已感染用户 的邮件地址簿把自己传播给所有通讯录上的人。
像病毒一样,蠕虫病毒一旦成功感染计算机,它就能够实现许多目的。其主要目的就是继续进行复制传播。
特洛伊木马
特洛伊木马能将自己伪装成正常文件。当有人下载后,试图打开它,特洛伊木马就会在后台运行,并打开一个允许第三方访问的入口。特洛伊木马能够做更多的任务,比如监控计算机,把恶意代码下载到计算机中。它还可以将大量的恶意软件下载到计算机中。
特洛伊木马的特点就是它的形成过程。它先伪装成可用文件,当运行它时,特洛伊木马就会在后台运行,这时黑客就能够访问中招的电脑了。但它不会像病毒和蠕虫那样自我复制并通过网络传播,他们可能藏在盗版软件中进行传播。
间谍软件
间谍软件也是一种恶意软件,它在用户不知情的情况下监视用户。不同的间谍软件收集不同的数据。恶意软件都可以看做是间谍软件,比如说特洛伊木马就是一种恶意的间谍软件,它能监视用户键盘盗取财务数据。
更多“合法”间谍软件都会绑定免费的软件并且监视用户上网习惯。这些软件的编写者把收集到的数据出售给广告商从中牟取暴利。
广告软件
强制广告经常存于间谍软件中。任何类型的软件都可能含有广告,并不时地弹出提示。在程序中含有广告的软件一般不称为恶意软件。恶意的广告软件总是任意的在系统中植入各种广告。他们可以产生弹出式广告使得用户不能做其他事情。他们甚至可以把广告放入用户正在浏览的网页中。
广告软件获取用户的上网习惯后,可以更加有效的弹出对用户产生兴趣的广告。在Windows系统中,比起其他恶意软件,广告软件一般可以被用户接受,因为它是与正常软件捆绑在一起的。比如使用甲骨文Java制作的知道工具栏,用户就把它看做是广告软件。
键盘记录工具
恶意软件键盘记录工具也是运行于后台的,它能记录所有的键盘操作。这些操作内容包括用户名、密码、信用卡号及其他敏感数据。之后各种数据就会被发送到黑客的服务器上进行分析,从而找出有用的数据。
其他恶意软件也可以有此功能。商人可以通过此软件进行监视商业操作;夫妻双方可以通过此软件监视对方。
僵尸网络
僵尸网络是一个比较大的网络,网络中的计算机都处在网络开发者的控制之下。每一台电脑都被一种特殊的恶意软件感染了僵尸程序。
一旦僵尸软件感染了计算机,它就会在计算机和控制服务器上建立一条通道并等待着控制者发布指令。例如,它能进行DDoS攻击。如果控制者想向某网站发动攻击,那么所有僵尸计算机就会立马进行攻击那个网站,这些数以万计的攻击可使服务器立马瘫痪。
僵尸网络的制造者会把网络的入口出售给其他制造者,黑客还可以用来牟利。
根访问权限工具
根访问权限工具是一种恶意软件,旨在获取系统的最高权限,可以躲避安全程序和用户的检查。比如说,该工具可以在系统运行之前就加载与系统深处,修改系统功能从而避开安全程序的检测。而且它也可以在任务管理器中隐藏。
根访问权限工具的核心就是一旦它运行起来,就可以藏匿起来。
勒索软件
勒索软件是一款劫持计算机或者文件的恶意软件,资愿被劫持后,一般要求用户支付一定的赎金。有些勒索软件先让计算机不能使用,然后弹出窗口,要求付钱才能继续使用。但这种软件很容易被杀毒软件查到。
象CryptoLocker这种勒索软件通常会把文件内容变成一堆密码,然后要求支付一定的赎金再把文件恢复。在没有文件备份的情况下,遭遇这种软件是非常糟糕的。大部分恶意软件都是利益驱使的,勒索软件就是典型例子。勒索软件不会破坏计算机,不会删除文件,仅仅是为了钱。劫持一些文件,获取快捷入账。
那么,杀毒软件会什么会称为“杀毒”呢?因为大多数人将恶意软件等同为病毒。实际上,杀毒软件不仅能防御病毒,还能阻止各种恶意软件。准确地讲,它应该叫做“反恶意软件”或者“保护软件”。
恶意软件十大类别
1. 病毒(Virus)
一种程序,即通过修改其他程序,使其他程序包含一个自身可能已发生变化的原程序副本,从而完成传播自身程序,当调用受传染的程序,该程序即被执行。
这是最古老的恶意形式之一,它可以自我复制并感染其他文件,如MyDoom或ILOVEYOU。它们通常通过电子邮件、下载的附件或共享文件传播。
举例:
ILOVEYOU:这是一个通过电子邮件传播的病毒,它会破坏系统文件并试图通过电子邮件将自身发送给用户的联系人。
MyDoom:这是历史上传播最快的病毒之一,它会通过电子邮件和P2P网络传播,并可能导致系统崩溃。
2. 特洛伊木马(Trojan horse)
一种伪装成良性应用软件的恶意程序。特洛伊木马伪装成有用的程序(如记事本、游戏)诱骗用户安装,但实际上在后台运行恶意代码,可以窃取敏感信息或提供后门访问。
病毒、特洛伊木马依靠用户对计算机的不当使用在系统间传播。
举例:
Zeus:这个木马专门针对网上银行,能够窃取用户的银行凭证。
WannaCry:尽管它通常被归类为勒索软件,但WannaCry也使用了木马的技术来传播。
3. 蠕虫(Sworm)
一种通过数据处理系统或计算机网络传播自身的独立程序。蠕虫经常被设计用来占满可用资源,如存储空间或处理时间。
举例:
Conficker:这个蠕虫能够利用Windows系统的漏洞进行传播,它会感染计算机并创建一个僵尸网络,用于发起DDoS攻击。
Slammer:这是第一个大规模利用网络传播的蠕虫,它通过SQL Server的漏洞迅速传播。
4. 后门(Backdoor)
允许攻击者未经授权访问系统的恶意软件。通常用于攻击者在入侵系统后保持访问权限。
举例:
Back Orifice:这是一个经典的Windows后门程序,它允许攻击者远程控制受感染的计算机。
Command & Control (C&C) 服务器:这些服务器用于远程控制受感染的计算机,通常作为后门的一部分。
5. 间谍软件(Spyware)
从计算机用户处收集私人或保密信息的欺骗性软件。
信息可能包括最频繁访问的网站或口令之类更敏感的信息;
间谍软件监视用户的操作并将重要细节传输到远程系统。
举例:
Keyloggers:记录用户敲打键盘时的一举一动,从而窃取密码和其他敏感信息。
Cookies:某些类型的Cookies可能会跟踪用户的在线行为,尽管它们不一定被视为恶意软件。
6. 勒索软件(Ransomware)
是一种将加密技术武器化的恶意软件,针对个人或企业,锁定数据并索要赎金以解锁。
举例:
Locky:这个勒索软件通过加密用户的文件来勒索赎金。
Cerber:这是一个非常流行的勒索软件,它使用多种方法来传播并加密用户文件。
7. 广告软件(Adware)
广告软件虽然在形式上与间谍软件非常相似,但有不同的用途。它使用多种在受感染的计算机上显示广告的技术。最简单的广告软件形式是当你上网时,在屏幕上显示弹出广告。更邪恶的版本可能监控你的购物行为,并将你重定向到竞争对手的网站。
间谍软件和广告软件都属于一类被称为潜在有害的软件程序(potentially unwanted programs/applications,PUPs/PUAs),用户同意在其系统上安装的软件,但会执得角户呆希望或朱授权的功能。
举例:
Conduit:这是一个广告软件程序,它会更改用户的浏览器设置并显示广告。
Superfish:这是联想电脑预装的一个广告软件,它通过在用户浏览的网页中注入广告来赚钱。
8. Rootkit
隐藏恶意进程和文件,让受害者难以察觉,如Stuxnet,它曾用于伊朗核设施的操作系统级攻击。
举例:
Rootkit.Titan:这是一种早期的Rootkit,它在1990年代末和2000年代初被广泛使用。Rootkit.Titan能够隐藏网络连接、进程、文件和注册表项,使其难以被检测到。
Rootkit.Autorun:这是另一种早期的Rootkit,它主要通过USB驱动器的自动运行功能传播。它能够隐藏自身并阻止用户从注册表中删除它,从而使得它难以被安全软件检测和移除。
9. 逻辑炸弹(Logic bomb)
当由某一特定系统条件触发时,对数据处理系统造成损害的恶性逻辑程序。逻辑炸弹感染系统并且在满足指定逻辑条件(如时间、程序启动、 Web 站点登录等)前保持休眠状态的恶意软件。许多病毒和特洛伊木马都包含逻辑炸弹组件。
举例:
CIH病毒(也称为Chernobyl病毒):这是一个著名的逻辑炸弹案例,由台湾大学生陈盈豪编写。该病毒在1998年首次被发现,会在特定的日期(4月26日,切尔诺贝利核灾难纪念日)触发,破坏计算机的BIOS和硬盘数据。
泰利熊(Terror Bear):这是1990年代初期在美国发现的一个逻辑炸弹案例,它被设计成在特定的日期和时间触发,删除计算机上的文件。
恶意软件指在计算机上执行有害、未经授权或未知活动的任何脚本或程序。恶意代码存在多种形式,其中包括病毒、蠕虫、木马、内含破坏性宏的文档、逻辑炸弹等。
1.病毒则通过一些人为干预传播;
2.蠕虫依赖自身力量在系统间传播;
3.特洛伊木马伪装成有用的程序(如游戏,记事本),但实际上在后台运行恶意代码;
4.逻辑炸弹包含的恶意代码在满足某些指定条件时执行。
恶意软件这个数字世界的阴暗面,以其多样的形式和隐蔽的手段,时刻威胁着我们的信息安全。了解其定义、类别和特点,是我们构建安全防线的第一步。在这个信息爆炸的时代,保护自己的数据安全,就是保护自己的未来。
业界十大知名权威安全漏洞库介绍
漏洞库作为网络安全的核心资源,汇集了各类已知漏洞信息,对网络安全工程师、政府、企业和研究人员至关重要。它能帮助快速响应安全威胁(如早期的漏洞预测与扫描),并及时有效地开展针对性的修补工作,提升整体网络安全水平。然而,建设过程中面临数据收集滞后、依赖专家评估、高人力成本等挑战,需要通过持续优化和技术创新来克服。以下为大家介绍10款业界知名且权威的漏洞库,可以基于以下漏洞库完成企业自有漏洞库建设或做一些安全研究。安全漏洞库的构建及应用图示如下:
1. CVE
简介:CVE(Common Vulnerabilities and Exposures)是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息,进而根据漏洞评分确定漏洞解决的优先级。在CVE中,CVE编号是识别漏洞的唯一标识符。
国家:美国
创建时间:1989
收录漏洞:24W+(统计日期:2024.8.14)
是否免费:免费
漏洞库地址:https://cve.mitre.org/
2. NVD
简介:NVD是美国政府基于标准的漏洞管理数据存储库,使用安全内容自动化协议 (SCAP) 表示。此数据可实现漏洞管理、安全测量和合规性的自动化。NVD 包括安全检查表参考数据库、与安全相关的软件缺陷、错误配置、产品名称和影响。
国家:美国
创建时间:1999
收录漏洞:25.9W+ (统计日期:2024.8.14)
是否免费:免费
漏洞库地址:https://nvd.nist.gov/
3. CVE Details
简介:CVE Details为CVE漏洞数据提供了一个易于使用的web界面。用户可以浏览供应商、产品和版本,并查看与之相关的cve条目、漏洞,也可以查看有关供应商、产品和产品版本的统计信息。CVE的详细信息显示在一个简单易用的页面中。
国家:美国
创建时间:未知
收录漏洞:18.6W+(统计日期:2024.8.14)
是否免费:免费
漏洞库地址:https://www.cvedetails.com
4. VulnDB
简介:VulnDB是最全面、及时的漏洞库,包含了详尽漏洞信息,尤其是漏洞的受影响版本清单非常详尽和准确,VulnDB由Risk Based Security公司发行,已于2022年被Flashpoint收购,聚焦于能够在关键漏洞广为人知之前快速检测到它们,然后自动化他们如何优先处理和修复这些问题。
国家:美国
创建时间:1997
收录漏洞:29W+(统计日期:2024.8.14)
是否免费:商业漏洞库,按API请求数计费
漏洞库地址:https://vulndb.cyberriskanalytics.com/
注:国内企业购买该漏洞时厂商会审核公司资质,原厂可能不卖给你此项服务,不会随意对企业出售。
5. VulDB
简介:VulDB是记录和解释漏洞的头号数据库。客户可以访问1970年以来的27w+个漏洞条目。所有条目都包含摘要、技术细节和建议的对策,还包括其他数据和外部参考资料,VulDB是CNA机构,CVE ID覆盖率为100%,NVD上的很多CVSS打分是来自于VulDB。VulDB提供了优质数据服务,允许用户访问有关安全漏洞和威胁情报的信息。这些数据可以通过网站或API访问。
国家:瑞士
创建时间:1997
收录漏洞:27W+(统计日期:2024.8.14)
是否免费:商业漏洞库,按API信用数计费,简单理解为获取1个漏洞详情会消耗1个API信用分。
漏洞库地址:https://vuldb.com/
6. EDB(Exploit Database)
简介:Exploit Database 由Offensive Security维护,它是一家信息安全培训公司,提供各种信息安全认证及高端渗透测试服务。EDB是一个非盈利项目,由Offensive Security免费提供,EDB是漏洞利用和POC验证数据库。
国家:美国
创建时间:2004
收录漏洞:4.6W+(统计日期:2024.8.14)
是否免费:免费
漏洞库地址:https://www.exploit-db.com/
7. OSV
简介:OSV是Google提供的一个开源项目的漏洞数据库和分类基础设施,旨在帮助开源项目的开发人员和用户应对开源项目漏洞。对于开发人员,OSV 的自动化功能有助于减轻分类负担,每个漏洞都会经过自动分析,以确定受影响的提交和版本范围。
国家:美国
创建时间:2021
收录漏洞:16W+(统计日期:2024.8.14)
是否免费:免费
漏洞库地址:https://osv.dev/list/
8. CNVD
简介:国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联网应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
国家:中国
创建时间:2010
收录漏洞:19W+(统计日期:2024.8.14)
是否免费:免费
漏洞库地址:https://www.cnvd.org.cn/flaw/list.html
9. CNNVD
简介:国家信息安全漏洞库(China National Vulnerability Database of Information Security,简称CNNVD)。于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能, 负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。CNNVD是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,在国家专项经费支持下,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。
国家:中国
创建时间:2009
收录漏洞:25W+(统计日期:2024.8.14)
是否免费:免费
漏洞库地址:https://www.cnnvd.org.cn/home/loophole
10. AVD
简介:阿里云创立于2009年,是全球领先的云计算及人工智能科技公司,提供安全、可靠的计算和数据处理能力,让计算和人工智能成为普惠科技。AVD是阿里云漏洞库,及时响应与收敛云上高危漏洞,为客户提供可运营的漏洞管理能力,漏洞库中包括了CVE漏洞库、非CVE漏洞库及高危漏洞库。
国家:中国
创建时间:2009
收录漏洞:30W+,包含CVE漏洞和非CVE漏洞(统计日期:2024.8.14)
是否免费:免费
漏洞库地址:https://avd.aliyun.com/