什么是“恶意代码”——————【Badboy】

恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到还有一段程序中，从而达到破坏被感染电脑数据、执行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。

按传播方式，恶意代码能够分成四类：病毒，木马，蠕虫和移动代码。

　　一、病毒

　　病毒一般都具有自我复制的功能，同一时候。它们还能够把自己的副本分发到其它文件、程序或电脑中去。病毒一般镶嵌在主机的程序中，当被感染文件执行操作的时候。病毒就会自我生殖(比如：打开一个文件，执行一个程序，点击邮件的附件等)。因为设计者的目的不同，病毒也拥有不同的功能，一些病毒仅仅是用于恶作剧。而另一些则是以破坏为目的。另一些病毒表面上看是恶作剧病毒，但实际上隐含破坏功能。病毒能够分为下面几类：感染文件病毒、感染引导区病毒、宏病毒和恶作剧电子邮件。

　　1. 感染文件病毒：感染文件病毒会把自己载入到可执行文件里，比如：WORD、电子表格、电脑游戏。当病毒感染了一个程序后。它就会自我复制去感染系统中的其它程序。或者是其它通过共享使用了被感染文件的系统。此外，病毒还会驻留在系统内存中。以至于一旦有新的程序执行就会被病毒感染。

病毒的还有一种感染方式是通过改动程序执行时所执行文件的顺序而不是改动程序执行的文件本身。

在这样的情况下。被感染的程序在执行的时候将先执行病毒，而后才执行自己的文件。眼下。jerusalem和cascade是这类病毒中比較著名的。

　　2. 感染引导区病毒：感染引导区病毒能够感染硬盘或是可移动存储设备(比如软盘)的主引导区。引导区是存储器最開始的一段空间。它用来放置存储器中数据的结构定义等信息。此外，引导区中还包括引导程序。它在主机启动时执行来引导操作系统启动。主引导区是硬盘上一段独立的空间，仅仅实用基本输入/输出系统能够定位和载入它的引导程序。当带病毒磁盘的内容在系统启动时被读取，病毒代码就会被执行;软盘等可移动存储设备即使不是启动盘。它也能够感染系统。感染引导区病毒具有极好的隐藏能力，而且能够对电脑造成极大的破坏,甚至能够达到无法恢复的地步。电脑假设感染这样的病毒，通常会出现下面症状：电脑在启动时显示错误信息提示。或者是无法启动。

Michelangelo和Stoned是这样的病毒的典型样例。

　　3. 宏病毒：宏病毒是眼下比較流行也是比較危急的一种病毒。宏病毒把自己载入到WORD和电子表格等文件里。这样的病毒就像它的名字所说的，它是利用宏语言编写的应用程序来执行和生殖的。眼下很多受欢迎的软件(比如：Microsoft Office)都会自己主动利用宏语言来编译和重复运行作业。宏病毒就会利用这一点来传播恶意代码。因为用户常常把带有宏程序的文件共享，所以宏病毒的传播速度是很快的。当宏病毒感染文件的时候，它也会把该文件用于创建和打开操作的暂时文件感染。

因此，被宏病毒感染的文件创建出的暂时文件也是被感染的文件。Marker和Melissa是这样的病毒的典型样例。

　　4. 恶作剧电子邮件：这样的病毒就像它的名字提到的一样，是一种假冒的病毒警告。

它的内容通常是吓唬用户，表示将要对用户电脑造成极大的破坏;或是欺骗用户电脑即将被病毒感染，警告他们马上採取紧急措施。虽然这样的病毒公布的信息是非法的。可是它还是像真正的病毒一样传播广泛。通常这样的病毒的传播是通过一些无辜的用户。他们希望发送这个信息提醒其它人防范病毒的侵袭。通常，恶作剧邮件并不会造成什么危害，可是有的恶作剧邮件会指使用户改动系统设置或是删除某些文件，这将会影响系统的安全性。阅读恶作剧邮件会浪费用户时间。并且一些恶作剧邮件会发送到一些技术支持的部门，警告他们将会有新的病毒威胁网络安全或是寻求帮助。这样的病毒传播比較广泛的有Good Times和Bud Frogs。

　　二、特洛伊木马

　　这类病毒是依据古希腊神话中的木马来命名的。这样的程序从表面上看没有什么，可是实际上却隐含着恶意意图。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中。同一时候它能够携带恶意代码，另一些木马会以一个软件的身份出现(比如：一个可供下载的游戏)，但它实际上是一个窃取password的工具。

这样的病毒通常不easy被发现，由于它通常是以一个正常的应用的身份在系统中执行的。特洛伊木马能够分为下面三个模式：

　　* 通常潜伏在正常的程序应用中，附带运行独立的恶意操作

　　* 通常潜伏在正常的程序应用中。可是会改动正常的应用进行恶意操作

　　* 全然覆盖正常的程序应用，运行恶意操作

　　大多数木马都能够使木马的控制者登录到被感染电脑上，并拥有绝大部分的管理员级控制权限。为了达到这个目的，木马一般都包含一个client和一个server端client放在木马控制者的电脑中，server端放置在被入侵电脑中。木马控制者通过client与被入侵电脑的server端建立远程连接。一旦连接建立，木马控制者就能够通过对被入侵电脑发送指令来传输和改动文件。通常木马所具备的还有一个是发动DdoS(拒绝服务)攻击。

　　另一些木马不具备远程登录的功能。它们中的一些的存在仅仅是为了隐藏恶意进程的痕迹，比如使恶意进程不在进程列表中显示出来。

另一些木马用于收集信息，比如被感染电脑的password;木马还能够把收集到的password列表发送互联网中一个指定的邮件帐户中。

　　三、蠕虫

　　是一种能够自我复制的全然独立的程序，它的传播不须要借助被感染主机中的其它程序。蠕虫的自我复制不象其它的病毒，它能够自己主动创建与它的功能全然同样的副本，并在没人干涉的情况下自己主动执行。蠕虫是通过系统存在的漏洞和设置的不安全性(比如：设置共享)来进行入侵的。它的自身特性能够使它以及快的速度传输(在几秒中内从地球的一端传送到还有一端)。

当中比較典型的有Blaster和SQL Slammer。

　　四、移动代码

　　移动代码是可以从主机传输到client计算机上并运行的代码。它一般是作为病毒。蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。

另外，移动代码可以利用系统的漏洞进行入侵，比如非法的数据訪问和盗取root帐号。通经常使用于编写移动代码的工具包含Java applets，ActiveX。JavaScript，和VBScript。