【考法分析】

本知识点主要是对恶意代码相关内容的考查。

【要点分析】

1．恶意代码，指为达到恶意的目的而专门设计的程序或代码，是指一切旨在破坏计算机或者网络系统可靠性，可用性，安全性和数据完整性或者消耗系统资源的恶意程序。

恶意代码的主要的存在形态有：恶意数据文档，恶意网页，内存代码，可执行程序和动态链接库等。

2．恶意代码=广义的计算机病毒；恶意代码的一般命名格式为：<恶意代码前缀>.<恶意代码名称>.<恶意代码后缀>；恶意代码后缀的数量可以有1到多个，如果只有1个，通知是指一个恶意代码的变种特征。

3．常用恶意代码前缀解释：

① 系统病毒：前缀为：Win32，PE，Win95，W32，W95等，这些病毒是可以感染Windows操作系统的*.exe和*.dll文件。

② 网络蠕虫：前缀为Worm

③ 特洛伊木马：前缀为Trojam

④ 脚本病毒：前缀为Script

⑤ 宏病毒：前缀为Macro

⑥ 后门程序：前缀是Backdoor

⑦ 病毒种植程序病毒

⑧ 破坏程序病毒：前缀是Harm

⑨ 玩笑病毒：前缀是Joke

⑩ 捆绑机病毒：前缀是Binder

4．恶意代码命名的形式，每个组成部分介绍如下：

① 恶意代码类型（malware_type）；② 平台（platform）；③ 家族名（family_name）；④ 组名（group_name)；⑤ 感染程度（infective_length）；⑥ 变种名（variant）；⑦ 退化标识（devolution）；⑧ 修饰符（modifiers）。

5．计算机病毒的特征可以归纳为传染性，程序性，破坏性，非授权性，隐蔽性，潜伏性，可触发性和不可预见性。

6．计算机病毒的生命周期：潜伏阶段，传播阶段，出发阶段，发作阶段。

7．计算机病毒传播途径：

① 通过软盘，光盘传播；② 通过移动存储设备传播；③ 通过网络传播。

8．蠕虫最重要的两个特征：“可以从一台计算机移动到另一台计算机”，以及“可以自我复制”。

9．木马与病毒不同，它不以破坏目标计算机系统为主要目的，同时在主机间没有感染性。木马的危害早已超过病毒。

10．特洛伊木马又可以分为多种，如远程控制型木马，信息窃取木马，破坏型木马等。

11．后门：指绕过系统中常规安全控制机制而获取对特定软件或系统的访问权限的程序。一般是指攻击者在获得目标主机控制权之后为了今后能方便地进入该计算机而安装的一类软件，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。

12．其他恶意代码：① DDos程序；② 僵尸程序（Bot）；③ Rootkit：最初被定义为由有用的小程序组成的工具包，可是的攻击者能够获得计算机用户“Root”的较高系统权限。Rootkit技术的关键在于“是的髠对象无法被检测”，因此Rootkit所采用的大部分技术和技巧都用于在计算机上隐藏代码和数据。④ Exploit：漏洞利用程序。针对某一特定漏洞或一组漏洞而精心编写的漏洞利用程序。目前比较常见的Exploit有：主机系统漏洞Exploit、文档类漏洞Exploit和网页挂马类Exploit等。

13．为了彻底清除恶意代码，需要按照以下步骤进行：

① 停止恶意代码的所有活动行为（包括停止进程，服务，卸载DLL等）；

② 删除恶意代码新建的所有文件备份（包括可执行文件，DLL文件，驱动程序等）；

③ 清除恶意代码写入的所有启动选项；

④ 对被计算机病毒感染的文件，还需要对被感染文件进行病毒清除等。

需要注意的是，并不是所有恶意代码对系统进行的修改都可以被恢复。

14．典型反病毒技术：

① 特征值查毒法：前提是需要从病毒体中提取病毒特征值构成病毒特征库；

② 校验和技术；

③ 启发式扫描技术：一个熟练的程序员在调试状态下只需要一看便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到反病毒软件中，从而有可能找到未知的病毒。

④ 虚拟机技术：软件模拟法，它是一种软件分析器，用软件方法来模拟和分析程序的运行，而且程序的运行不会对系统起实际的作用

⑤ 行为监控技术：通过审查应用程序的操作来判断是否有恶意（病毒）倾向并向用户发出警告。

⑥ 主动防御技术：并不是一项全新的技术，集成了启发式扫描技术和行为监控及行为阻断等技术。

【备知识点拨】

了解并理解相关知识点内容。