在早期，恶意代码的编写者都是相当有经验（可能误入歧途）的软件开发人员，他们会为自己精心构思的、富有创意的恶意代码技术感到骄傲

如今这个时代出现了一些脚本小子，他们并不理解安全漏洞的内在机理，只会从网上下 载现成的软件（或脚本程序），并利用这些软件对远程系统进行攻

恶意软件开发的最新趋势是高级持续性威胁(APT)的兴起。

计算机病毒可能是最早的令安全管理员苦恼的恶意代码。

像生物病毒那样，计算机病毒主要有两个功能：传播和有效载荷执行

1. 病毒传播技术

2. 病毒技术

3. 病毒恶作剧

逻辑炸弹：是感染系统并且在满足一个或多个条件（如时间、程序启动、 Web 站点登录、某些按键等）前保持休眠状态的恶意代码对象

例如， 2019 年 7 月，西门子公司的一名承包商承认，他根据合同编写的软件中包含逻辑炸弹。其目的是周期性地破坏软件，并要求西门子再次雇用他来解决问题，从而保证他有稳定的业务

特洛伊木马：也是一种软件程序，它表面友善，但实际却包含了恶意有效载荷，可能对系统或网络造成破坏。

最近，对安全造成重大影响的一类木马是流氓杀毒软件

远程访问木马(remote access Trojan, RAT)：是特恪伊木马的一个子类，它在系统中打开后门，使攻击者能够远程控制被感染的系统。

其他特洛伊木马旨在窃取受感染系统的计算能力，以挖掘比特币或其他加密货币

僵尸网络：主要症状是网速变慢，特洛伊木马使所有被感染的系统成为某个僵尸网络(botnet) 的成员，僵尸网络由互联网上被僵尸牧人(botmaster)控制的众多计算机，可对某个web站点进行DOS攻击

蠕虫：给网络安全带来了重大风险。它们和其他恶意代码对象有相同的破坏潜力，并且另 有变化一一不需要人为干预就可以传播它们自己

互联网蠕虫是互联网上发生的首例主要的计算机安全事件。

1. Code Red 蠕虫

RTM 与互联网蠕虫

2. 震网病毒

间谍软件

广告软件

间谍谍软件和广告软件都属于潜在有害程序(Potentially unwanted program，PUP)

勒索软件是一种利用加密技术的恶意软件

勒索软件生成一个只有勒索软件作者知道的加密密钥，并使用该密钥加密系统硬盘和任何已安装的驱动器上的关键文件

加密使授权用户或恶意软件作者以外的任何人都无法访问数据。

我们经常会见到使用 PowerShell 和 Bash 等语言编写的脚本库，它们以高度自动化的方式执行一系列命令行指令

不幸的是，恶意攻击者也可以使用同样的脚本技术来提高效率。特别是， APT 组织经常利用脚本自动化其恶意活动的常规部分

例如，他们可能会在每次试图获取新 Windows 系统访问权限时运行 PowerShell 脚本，尝试一系列特权提升攻击

恶意脚本通常也存在于一类名为“无文件恶意软件”的软件中。这些无文件攻击从不将文件写入磁盘，使其更难被检测到

许多形式的恶意代码利用了零日(zero-day)漏洞（黑客发现的还没有被安全社区彻底修复的安全漏洞）

系统受零日漏桐影响的主要原因有两个

强大的补丁管理程序、最新的反病毒软件、配置管理、应用程序控制、内容过滤和其他保护措施

大多数计算机病毒都是为了在运行世界上最流行的操作系统(Microsoft Windows)的计算 机上执行破坏活动而设计的

2020 年 av-test 的分析中，研究人员估计，大约有 83％的恶意软件是针对 Windows 平台的

值得注意的是， Mac 系统上的恶意软件数量最近增加了三倍，而针对 Android 设备的恶意软件变体数量在同一年翻了一番

本质上，防病毒软件维护一个包含所有已知病毒特征的超大数据库。根据防病毒软件包的配置设置，它会定期扫描存储介质，检查其中是否有包含符合这些条件的数据的文件

防病毒软件将执行以下操作之一：

还有一些防病毒软件使用启发式机制来检测潜在的恶意软件感染。这些方法分析软件的行为寻找病毒活动的迹象，例如试图提升特权等级，掩盖其电子轨迹，以及更改无关的或操作系统的文件

现代防病毒软件产品能够检测和删除各种类型的恶意代码，然后清理系统。

反恶意软件还包括集中式监视和控制功能，管理员可以从集中控制台强制执行配置设置 和监控警报

其他安全软件，如文件完整性监控工具，也提供了辅助性的防病毒功能

这些工具旨在提醒管理员文件可能遭到了未经授权的修改

这些系统通过维护存储在系统上的所有文件的哈希值来工作（有关用于创建这些值的哈 希函数的完整讨论，请参阅第 6 章

端点检测和响应(Endpoint Detection and Response，EDR)：包超越了传统的反恶意软件防护方案，帮助端点抵御攻击

将传统防病毒软件中的反恶意软件功能与旨在更好地检测威胁并采取措施消除威胁的先进技术相结合

EDR 包的一些特殊功能

托管 EDR 产品称为托管式检测和响应(MOR)服务。

用户和实体行为分析(User and Entity Behavior Analytics，UEBA)：软件特别关注端点和其他设备上基于用户的活动，它构建每个人正常活动的概要文件，然后突出显示用户活动与该概要文件的偏差，这些偏差表明可能存在潜在的危害

UEBA 与 EDR 的不同之处在于， UEBA 的分析重点是用户，而 EDR的分析重点是端点

当开发人员没有正确验证用户的输入以确保用户输入适当大小的内容时，就会存在缓冲区溢出漏洞

输入太多而“溢出“原有的缓冲区，就会覆盖内存中相邻的其他数据。

预防措施

如果没有做上述检查，将可能造成缓冲区溢出漏洞，这种漏洞会导致系统崩溃，甚至可 能允许用户运行 shell 命令以获得系统访问权限

缓冲区溢出漏洞在使用通用网关接口(common gateway interface, CGI)或其他语言进行快速 Web 开发的代码中尤其普遍，这种开发方案允许没有经验的编程人员快速生成交互式Web页面

检查时间(time of check, TOC)：是主体检查客体状态的时间。在返回到客体以访间 它之前，可能要做几个决定。当决定访问客体时，过程在使用时间(time of use, TOU)访问它。

检查时间到使用时间(TOCTTOU 或 TOC/TOU)攻击：通常被称为竞态条件，因为攻击者赶在合法过程使用客体之前替换它

TOCTTOU 攻击的一个典型示例是在验证数据文件的身份后，在读取数据前替换数据文件。通过将一个真实的数据文件替换为攻击者选择和设计的文件，攻击者可以潜在地以多种方式引导程序的操作

TOCTTOU 攻击、竞态条件攻击和通信中断被称为状态攻击，因为它们攻击的是特定时间、数据流控制以及系统状态之间的转换。

后门是没有被记录到文档中的指令序列，它们允许软件开发人员绕过正常的访问限制。

在开发和调试过程中，后门常用于加快工作流程，以免系统不断要求开发人员进行身份认证。

除了开发人员植入的后门外，许多恶意代码感染系统后也会留后门，以允许恶意代码的开发者远程访问受感染的系统

无论怎样，后门不被记录到文档中的性质使其成为系统安全的严重威胁

攻击者一旦在系统上站稳脚跟，通常会迅速向第二个目标迈进—计各他们的访问权限从 普通账号提升为管理员账号。他们通过特权提升攻击来实现此目标

特权提升攻击的常见方法之一是使用 rootkit 。 rootkit 可从互联网上免费获得，它利用操 作系统上已知的漏洞

攻击者经常通过使用密码攻击或社会工程获得系统的普通用户账户的访问权哏，然后利用 roo如t 将访问权限提高到 root（或系统管理员）级

系统管理员必须关注厂商针对操作系统发布的最新补丁，并持续应用这些补救措施

Web 应用程序通常会接收来自用户的输入并将其组合成一个数据库查询语句，最后把查 询结果返回用户

1. 基于内容的盲注

2. 基于计时的盲注

任何将用户提供的输入插入应用程序开发人员编写的代码中的环境都可能受到代码注入攻击

LDAP注入

XML注入

DLL注入攻击

在某些情况下，应用程序代码可能返回到操作系统以执行命令

这尤其危险，因为攻击者可能会利用应用程序中的漏洞进行攻击，从而获得直接操纵操作系统的能力

此命令序列删除 /home 目录及其包含的所有文件和子文件夹

在某些情况下， Web 开发人员设计的应用程序根据用户在查询字符串或 POST 请求中提供的参数直接从数据库检索信息

例如，以下查询字符串可用于从文档管理系统中检索文档（当然，将[companyname)替换为特定组织的名称）：

这是因为攻击者可以轻松查看此URL, 然后对其进行修改以尝试检索其他文档，例如

如果应用程序不执行授权验证，用户则可能查看超出其权限的信息。这种情况被称为不安全的直接对象引用。

某些 Web 服务器存在安全配置错误，允许用户浏览目录结构并访问本应保密的文件

文件包含：是实际执行文件中包含的代码，从而使攻击者能够欺骗Web 服务器执行其目标代码

文件包含攻击有两种变体：

当攻击者发现文件包含漏洞时，他们通常会利用该漏洞上传 Web shell 到服务器。

跨站脚本(cross-site scripting, XSS)攻击

1. 反射 XSS

2. 存储／持续 XSS

有些XSS攻击非常隐蔽，它们通过修改用户浏览器中的文档对象模型(DOM)环境

请求伪造攻击利用信任关系，并试图让用户无意中对远程服务器执行命令

跨站请求伪造(cross-site request forgery, CSRF）

服务器端请求伪造(server-side request forgery, SSRF）

当恶意的个人拦截授权用户和资源之间的部分通信，然后使用劫持技术接管会话并假冒 授权用户的身份时，即发生了会话劫持攻击。

下面列了一些常用技术：

通过管理控制（如反重放身份认证技术）和应用程序控制（如在合理的时间内使 cookie 过期）加以解决。

输入验证。允许用户输入的应用程序应该对输入进行验证，以降低其包含攻击的可能性。

最有效的输入验证形式是使用输入白名单（也称为允许列表）

元字符：是被赋予特殊编程含义的字符，典型的例子包括：单引号和双引号、方括号、反斜线、分号、＆符号

参数污染：通过向 Web 应用程序发送同一输入变量的多个值来运行。

Web 应用程序防火墙(WAF)在确保Web 应用程序免受攻击方面也发挥着重要作用

WAF 的功能类似于网络防火墙，但它们工作在 OSI 模型的应用层，如第 11 章所述 WAF位于 Web 服务器前面（如图 21.8 所示），接收所有到服务器的网络流量

然后，它将检查传给应用程序的输入，在将输入传给 Web 服务器之前执行输入验证（白名单和/或黑名单）

关系数据库是大多数现代应用程序的核心，对这些数据库的保护并非仅限于使它们免受 SQL 注入攻击。

1. 参数化查询和存储过程

2. 混淆和伪装

软件开发人员还应该采取措施保护代码的创建、存储和交付

1. 代码签名

2. 代码重用

3. 软件多样性

4. 代码仓库

5. 完整性度量

6. 应用程序韧性

注释是优秀开发人员工作流桯的重要组成部分

然而，注释也可能向攻击者提供解释代码工作原理的路线图

对于己编译的可执行文件，这是不必要的，因为编译器会自动从可执行文件中删除注释

公开代码的 Web 应用程序可能允许远程用户查看代码中留下的注释，在这些环境中，开发人员应该在部署前从生产版本的代码中删除注

攻击者利用代码中的错误进行攻击

许多编程语言包括 try... catch 功能，允许开发人员显式指定如何处理错误

例如，如果 Web 表单请求一个年龄作为输入，那么仅验证年龄是否为整数是不够的。攻击者可能在该字段中输入 50000 位整数，试图执行整数溢出攻击

错误处理的另一面一一过于详细的错误处理例程也可能存在风险。如果错误处理例程对代码的内部工作原理解释得太多，则可能会让攻击者找到利用代码的方法

在某些情况下，开发人员可能会使源代码包含用户名和密码。

硬编码凭证的第二种变体发生在开发人员使其源代码包含其他服务的访问凭证时。如果该代码被有意或无意泄露，那么这些凭证将为外部人员所知

当开发人员意外地将包含 API密钥或其他硬编码凭证的代码发布到公共代码仓库（如 GitHub) 时，通常会出现这种情况。

应用程序通常负贞管理自己使用的内存，在这神情况下，槽糕的内存管理做法可能会破坏整个系统的安全性。

1. 资源耗尽

2. 指针解引用