恶意软件

恶意软件是任何软件故意设计造成损害到计算机、服务器、客户端或计算机网络（相比之下，软件导致无意的伤害由于一些缺陷通常被描述为一个软件错误）。各种各样的类型的恶意软件存在的，包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件。

如果程序秘密地违反计算机用户的利益，它们也被视为恶意软件。例如，有一次，索尼音乐光盘在购买者的计算机上静默安装了一个rootkit，目的是防止非法复制，但它还会报告用户的收听习惯，并无意中造成了额外的安全漏洞。

一系列防病毒软件，防火墙和其他策略可用于防止恶意软件的引入，检测是否已经存在，以及从与恶意软件相关的恶意活动和攻击中恢复。

许多早期的感染程序（包括xxx个Internet蠕虫）都是作为实验或恶作剧编写的。如今，黑帽黑客和政府都使用恶意软件来窃取个人、财务或商业信息。

有时，恶意软件通常被广泛用于政府或公司网站，以收集受保护的信息或破坏其运行。但是，恶意软件可用于针对个人获取信息，例如个人标识号或详细信息，银行或信用卡号以及密码。

自从宽带互联网访问广泛兴起以来，恶意软件被更多地设计用于牟利。自2003年以来，大多数流行的病毒和蠕虫已被设计为出于非法目的控制用户的计算机。被感染的“ 僵尸计算机 ”可以用来发送电子邮件垃圾邮件，托管违禁数据或以勒索的形式进行分布式拒绝服务 攻击。

旨在xxx用户的网络浏览，显示未经请求的广告或重定向会员营销收入的程序称为间谍软件。间谍软件程序不会像病毒一样传播。相反，它们通常是通过利用安全漏洞来安装的。也可以将它们隐藏起来，并与不相关的用户安装软件打包在一起。所述的索尼BMG的rootkit是为了防止非法复制; 而且还会报告用户的收听习惯，并无意中创建了额外的安全漏洞。

勒索软件以某种方式影响受感染的计算机系统，并要求付费以使其恢复到正常状态。勒索软件有两种变体，分别是加密勒索软件和更衣室勒索软件。使用储物柜勒索软件仅锁定计算机系统而不加密其内容。传统的勒索软件可以锁定系统并加密系统内容。例如，诸如CryptoLocker之类的 程序可以对文件进行安全加密，并且仅在支付大量费用后才对文件进行解密。

一些恶意软件用于通过点击欺诈来赚钱，从而使计算机用户似乎点击了网站上的广告链接，从而从广告商那里产生了付款。据估计，在2012年，所有活动恶意软件中约60％至70％使用了某种形式的点击欺诈，而所有广告点击中的22％是欺诈。

除了犯罪赚钱外，恶意软件还可用于破坏活动，通常是出于政治动机。例如，Stuxnet旨在破坏非常特殊的工业设备。有出于政治动机的攻击，它们蔓延并关闭了大型计算机网络，包括大量删除文件和损坏主引导记录（称为“计算机杀死”）。此类攻击是在Sony Pictures Entertainment（2014年11月25日，使用称为Shamoon或W32.Disttrack的恶意软件）和Saudi Aramco（2012年8月）上进行的。

最著名的恶意软件，病毒和蠕虫类型以其传播方式而不是任何特定类型的行为而闻名。计算机病毒是一种在无需用户知情和同意的情况下，将自身嵌入目标系统中某些其他可执行软件（包括操作系统本身）中的软件，并且在运行时，病毒会传播到其他可执行文件中。另一方面，蠕虫是一种独立的恶意软件，可以主动通过网络进行传播以感染其他计算机。这些定义导致观察到病毒需要用户运行受感染的软件或操作系统才能传播病毒，而蠕虫则自行传播。

• 在这种情况下，贯穿整个过程，被攻击的“系统”可能是任何东西，从单个应用程序到完整的计算机和操作系统，再到大型网络。
• 各种因素使系统更容易受到恶意软件的攻击：

恶意软件会在操作系统的设计，应用程序（例如浏览器，例如Windows XP支持的较旧版本的Microsoft Internet Explorer ）或易受攻击的浏览器插件版本中利用操作系统设计中的安全缺陷（安全性错误或漏洞）。Adobe Flash Player、Adobe Acrobat或Reader或Java SE。有时即使安装此类插件的新版本也不会自动卸载旧版本。插件提供商的安全公告会宣布与安全相关的更新。^[51]为常见漏洞分配了CVE ID并列在美国国家漏洞数据库中。Secunia PSI是免费提供给个人使用的软件示例，该软件将检查PC上是否存在易受攻击的过时软件，并尝试对其进行更新。

恶意软件作者的目标是要利用的bug或漏洞。一种常见的方法是利用缓冲区溢出漏洞，在这种漏洞中，旨在将数据存储在内存的指定区域中的软件不会阻止提供超出缓冲区可容纳数量的数据。恶意软件可能会提供溢出缓冲区的数据，恶意可执行代码或结束后的数据。当访问此有效负载时，它将执行攻击者（而不是合法软件）所确定的任务。

早期的PC必须从软盘启动。当内置硬盘驱动器变得普遍时，操作系统通常是从它们启动的，但是可以从另一个引导设备（如果有）进行引导，例如软盘、CD-ROM、DVD-ROM、USB闪存驱动器或网络。 通常将计算机配置为从这些设备之一启动（如果可用）。通常情况下，没有可用的方法。用户可能会故意将CD插入光盘驱动器中，以便以某种特殊方式引导计算机，例如，安装操作系统。即使没有引导，也可以将计算机配置为在可用的媒体上立即执行软件，例如在插入时自动运行CD或USB设备。

恶意软件分发者会诱使用户从受感染的设备或介质启动或运行。例如，病毒可能使受感染的计算机向插入其中的任何USB闪存盘添加可自动运行的代码。然后，将控制棒连接到另一台计算机上以从USB自动运行的人，将依次被感染，并以相同的方式传播感染。更一般而言，任何插入USB端口的设备-甚至包括灯、风扇、扬声器、玩具或诸如数码显微镜的xxx设备-都可以用来传播恶意软件。如果质量控制不充分，在制造或供应期间可能会感染设备。

通过默认情况下将计算机设置为从内部硬盘驱动器引导（如果有），而不是从设备自动运行，可以很大程度上避免这种感染。始终可以通过在引导过程中按某些键来有意从其他设备引导。

较早的电子邮件软件会自动打开包含潜在恶意JavaScript代码的HTML电子邮件。用户还可以执行伪装的恶意电子邮件附件。由CSO Online引用的Verizon的《2018年数据泄露调查报告》指出，电子邮件是恶意软件交付的主要方法，占全球恶意软件交付的92％。

随着恶意软件攻击变得越来越频繁，人们的注意力已经开始从病毒和间谍软件保护转移到恶意软件保护，以及专门针对恶意软件开发的程序。（计算机病毒文章中提到了其他预防和恢复措施，例如备份和恢复方法）。

防病毒和防恶意软件的特定组件（通常称为按访问扫描程序或实时扫描程序）以类似于某些恶意软件本身将如何尝试的方式深入操作系统的核心或内核并起作用。尽管用户获得了保护系统的知情许可，但仍可以进行操作。操作系统每次访问文件时，读写扫描器都会检查该文件是否为“合法”文件。如果扫描程序将文件识别为恶意软件，则将停止访问操作，扫描程序将以预定义的方式（在安装过程中/安装后配置防病毒程序的方式）处理该文件，并且将通知用户。尽管影响的程度取决于扫描仪的编程程度，但这可能会对操作系统的性能产生重大影响。目的是阻止恶意软件在系统上尝试进行的任何操作，包括可能利用漏洞或触发操作系统异常行为的活动。

反恶意软件程序可以通过两种方式抵御恶意软件：

1. 它们可以提供实时保护，以防止在计算机上安装恶意软件。这种类型的恶意软件防护与反病毒防护的工作方式相同，因为反恶意软件软件会扫描所有传入的网络数据以查找恶意软件并阻止其遇到的任何威胁。
2. 反恶意软件软件程序只能用于检测和删除已经安装到计算机上的恶意软件。这种类型的反恶意软件软件将扫描Windows注册表，操作系统文件和计算机上已安装程序的内容，并将提供发现的任何威胁的列表，从而使用户可以选择删除或保留或比较哪些文件。此列表到已知恶意软件组件的列表，删除匹配的文件。

对恶意软件的实时保护与实时防病毒保护的工作原理相同：该软件在下载时扫描磁盘文件，并阻止已知可代表恶意软件的组件的活动。在某些情况下，它也可能拦截尝试安装启动项或修改浏览器设置的尝试。由于浏览器漏洞或用户错误而导致安装了许多恶意软件组件，因此请使用安全软件（其中一些是反恶意软件，尽管有些不是反恶意软件）安装到“沙盒”浏览器（实质上是将浏览器与计算机隔离，从而隔离了所有恶意软件）诱导变化）也可以有效地帮助限制造成的任何损害。