社区:
4. 传送负载。恶意软件成功地感染了一个宿主之后,它可能会传递负载。如果代码具有用于负载的条件触发器,则此阶段是满足传递机制条件的时候。例如,某些恶意软件负载会在用户执行特定操作或在宿主计算机上的时钟到达特定日期时被触发。如果恶意软件有一个直接操作触发器,则它仅会在感染完成后开始传递负载。例如,在数据记录负载的情况下,恶意软件程序将仅开始记录所需的数据。
5. 识别。在时间线的这一点上,恶意软件被防病毒团体识别出来。在极大多数情况下,此步骤将会在阶段 4 或甚至阶段 3 之前发生,但情况并非总是如此。
6. 检测。威胁被识别出来之后,防病毒软件开发人员需要分析代码来确定可靠的检测方法。一旦他们确定了方法,则会更新防病毒签名文件,以使现有的防病毒应用程序可以检测出新的恶意软件。此过程所用的时间对于控制病毒爆发至关重要。
7. 删除。在发布更新之后,防病毒应用程序的用户有责任及时应用更新,以保护其计算机免受攻击(或者清理已感染的系统)。
注意: 如果没有及时更新本地签名文件,则会导致出现以下极其危险的情况:用户会认为已处于防病毒产品的保护之下,但实际上并没有。
随着越来越多的用户更新防病毒软件,恶意软件的威胁性将会慢慢地变小。此过程基本不会删除处于放任状态的恶意软件的所有实例,因为某些连接到 Internet 的计算机只有极少或根本没有防病毒保护,而恶意软件会驻留在这些计算机中。但总体而言,来自攻击的威胁已经减弱。
尽管此时间线对于每个新开发的恶意软件攻击都会重复一遍,但是它并不代表所有的攻击。许多攻击仅是恶意代码原始部分的修改版本。这样,基础代码和方法是相同的,但是进行了很小的更改,以免攻击在检测到之后被删除。通常,成功的恶意代码攻击会随着星期和月份的推移而产生多个版本。这种情况将导致一种"军备竞赛",恶意软件编写者为了自身利益(可能是为了经济利益,也可能是为了扬名,或仅仅出于好奇)将努力避免程序被检测出来。而病毒防护将根据需要再次被更新、修补或更改,以减轻恶意软件更新后带来的威胁。
小结
恶意软件是计算机技术中一个复杂并且不断发展的领域。在 IT 业面临的所有问题中,几乎没有比恶意软件攻击更具普遍性,也几乎没有比处理恶意软件的相关费用更昂贵的了。了解恶意软件的工作原理、随时间推移的演变方式以及它们所使用的攻击方法,将有助于您以主动的方式处理此问题。反过来,如果恶意软件的确影响了您或您的组织,这将为您提供一种更为有效且效率更高的应对过程。
由于恶意软件使用如此之多的技术进行创建、分发和利用计算机系统,因此很难知道如何保护系统才足以抵挡这样的攻击。但是,一旦了解了风险和漏洞,则可以通过使成功攻击基本不可能发生这种方式来管理系统。
(责任编辑 zhaohb zhaohb#51cto.comTEL:(010)68476636-8002)
