恶意代码(Malware),核心定义是任何故意创建的、会对系统 / 用户造成非预期有害影响的代码。下面按最常用的分类方式拆解,帮你快速理清不同恶意代码的核心差异。
一、按核心行为目标分类(最主流的分类)
这是安全分析中最常用的分类方式,按恶意代码的最终目的和典型行为划分:
表格
| 类型 | 核心特点 | 典型行为 | 与其他类型的关键区别 |
|---|---|---|---|
| 病毒(Virus) | 寄生 + 自我复制,依赖宿主文件传播 | 附着在 exe/dll 等文件上,执行宿主文件时激活,感染其他文件 | 必须依赖宿主,不主动传播,现在纯病毒已少见 |
| 蠕虫(Worm) | 独立存在 + 主动传播,利用漏洞 / 弱口令扩散 | 扫描网络、攻击漏洞、自动复制传播,无需用户交互 | 不依赖宿主,可独立传播,容易造成网络拥堵 |
| 木马(Trojan) | 伪装 + 非授权控制 / 窃取信息 | 伪装成正常软件,执行后留后门、窃取账号密码 | 不主动自我复制,核心目标是 “控制 / 窃取”,而非传播 |
| 勒索软件(Ransomware) | 加密数据 + 索要赎金 | 加密用户文件、修改文件后缀,索要比特币赎金 | 部分变种结合蠕虫传播方式(如 WannaCry 利用永恒之蓝漏洞) |
| 挖矿恶意代码(Coinminer) | 占用系统资源挖矿 | 消耗 CPU/GPU 资源,给攻击者挖加密货币 | 不直接破坏数据,以消耗资源为核心目标 |
| 间谍软件(Spyware) | 秘密收集用户信息 | 记录键盘输入、窃取浏览记录、调用摄像头 / 麦克风 | 多捆绑在免费软件中,用户不知情时被安装 |
| 广告软件(Adware) | 强制推送广告 | 修改浏览器主页、弹窗广告,影响用户体验 | 不直接破坏系统,常被用来分发其他恶意代码 |
| 逻辑炸弹(Logic Bomb) | 条件触发式破坏 | 特定时间 / 事件触发后,执行删除数据、格式化硬盘等操作 | 常见于内部威胁场景,多为定制化代码 |
二、按传播方式 / 载体分类
不同恶意代码的传播途径差异很大,按载体和传播方式可分为:
- 文件型恶意代码:附着在 exe、dll 等可执行文件上,执行时激活。
- 脚本型恶意代码:用 VBS、JS、PowerShell 等脚本编写,常见于钓鱼邮件附件、网页脚本。
- 宏恶意代码:嵌入在 Word/Excel 文件的宏中,打开文件时执行,是钓鱼邮件的常见载体。
- 内存型(无文件)恶意代码:不写入硬盘,直接在内存中执行(如利用 PowerShell、WMI、注册表),传统杀毒软件难以检测,常见于 APT 攻击。
- 网页恶意代码:嵌入在网页中,利用浏览器漏洞执行,用户访问挂马网站时被植入。
三、按运行平台分类
不同恶意代码针对不同平台开发:
- Windows 恶意代码:最常见,如 Office 宏病毒、Windows 勒索软件、远控木马。
- Linux 恶意代码:针对服务器,如挖矿蠕虫、后门木马,多利用弱口令 / 漏洞传播。
- 移动端恶意代码:针对 Android/iOS,如盗号木马、广告软件,常见于非官方应用商店。
- IoT 恶意代码:针对路由器、摄像头等物联网设备,如 Mirai 僵尸网络,常被用来发起 DDoS 攻击。
四、新型复合恶意代码
现在的恶意代码很少是单一类型,大多是多种技术结合:
- 勒索蠕虫:结合蠕虫的传播方式和勒索软件的加密功能(如 WannaCry)。
- 挖矿 + 后门:挖矿程序同时植入后门,方便攻击者后续访问主机。
- APT 恶意代码:高级持续性威胁使用的定制化代码,结合无文件、内存注入、反检测等技术,长期潜伏在目标系统中。
关键避坑指南
- 不是所有恶意代码都自我复制:木马、间谍软件不会主动复制,核心目标是控制 / 窃取,而非传播。
- 无文件恶意代码≠无法检测:可通过监控 PowerShell/WMI 执行、内存行为等方式发现。
- 勒索软件并非都靠漏洞传播:很多是通过钓鱼邮件、弱口令、远程桌面爆破植入的。
No responses yet