1、下载器和启动器
常见的两种恶意代码是下载器和启动器。下载器从互联网上下载其他的恶意代码,然后在本地系统中运行。下载器通常会与漏洞利用(exploit)打包一起。下载器常用windows API函数URLDownloadtoFileA和WinExec,来下载并运行新的恶意代码。
启动器(也称为加载器)是一类可执行文件,用来安装立即运行或者将来秘密执行的恶意代码,启动器通常包含一个它要加载的恶意代码。
2、后门(bookdoor)
后门是另一种类型的恶意代码,它能让攻击者远程访问一个受害的机器。后门是一种最常见的恶意代码,他们拥有多种功能,并且以多种形式与大小存在。后门代码往往实现了全套功能,所以当使用一个后门时,攻击者通常不需要下载额外的恶意代码。
反向shell:反向shell是从被感染机器上发起一个连接,它提供攻击者shell访问被感染机器的权限。反向shell或者作为一个单独的恶意代码存在,或者作为一个复杂后门程序中的组件而存在。在反向shell中,攻击者能够如同在本地系统上一样运行命令。
远程控制工具
僵尸网络:是被感染主机的一个集合。它们由单一实体控制,通常由一个称为僵尸控制器的机器作为服务器。僵尸网络的目标是尽可能多地感染机器。僵尸网络的目标是尽可能多地感染机器,来构建一个更大的僵尸主机网络,从而使僵尸网络传播其他的恶意代码或蠕虫,或者执行分布式拒绝服务(DDoS)攻击。在实施分布式拒绝服务攻击时,所有僵尸主机会在同一时刻访问同一个站点,僵尸网络能够让这个站点挂掉。
登录凭证窃密器:等待用户登录以窃取凭证的程序,转储windows系统中存放信息的程序,击键记录程序。
存活机制:一旦恶意代码获取系统的控制权,它通常就会在系统中驻留很长一段时间,恶意代码的这种行为被称为存活。如果存活机制足够特别,它甚至能作为给定恶意代码的指纹。