在这篇文章中，我们将看到不同种类的恶意软件以及他们都是做什么的。当执行静态或动态恶意软件分析时，了解不同的恶意软件类型至关重要，这样你就可以识别它们并专注于后续的调查。在静态恶意软件分析期间，导入的DLL和函数经常告诉我们有关恶意软件的意图和行为。例如，当恶意软件将网络功能与编辑Windows注册表和压缩功能的功能一起导入时，我们可能处理的是间谍软件——下载程序恶意软件或在启动时执行自身以及其他恶意软件的木马。在静态导入DLL的最简单的情况下，你可以使用像Dependency Walker这样的应用程序来找出恶意软件中使用的函数。而进一步检查DLL、函数、PE头和资源应该尽可能缩小范围找到可能的恶意软件种类。下面就让我们继续观察不同类型的恶意软件以及他们究竟可以做什么吧。

Adware

Adware是指未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后，往往造成系统运行缓慢或系统异常。一些恶意广告软件可能会集成间谍软件 ，如键盘记录程序和隐私入侵软件其他等。

如何防范？

第一，不要轻易安装共享软件或"免费软件"，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。
第二，有些广告软件通过恶意网站安装，所以，不要浏览不良网站。
第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞。

Backdoor

Backdoor是一种电脑病毒木马，中文名称—“后门”， 是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。后门通常由木马生成，如果主机没有有效的检测机制，后门就会被忽视。 后门可以使用很多方法来沟通主机。 此外，端口80通常由恶意软件通过HTTP协议使用，因为该端口在连接到互联网的大多数机器上是打开的。 我们将讨论2种后门： 反向shell和远程访问/管理工具（RAT）。

反向Shell

反向Shell是指从被感染的主机到攻击者的连接，并向攻击者提供对主机的shell访问。它通常由木马创建，并作为被感染主机上的后门。 在反向shell设置之后，攻击者能够像在本地一样执行命令。 恶意软件开发人员有几种方法来设置反向shell，常用的反向shell方法是将Netcat和Windows cmd.exe打包在恶意软件中。 恶意软件使用Windows CMD设置反向shell的一个简单方法是创建一个套接字以建立与攻击者的连接，而不是将其连接到cmd.exe的标准流（标准输入，输出和错误）。 cmd.exe运行与被抑制的窗口，以隐藏它从受害者的视图，可以用于在受感染的主机上执行命令。

RAT

远程访问木马（RAT，remote access Trojan）是一种恶意程序，其中包括在目标计算机上用于管理控制的后门。远程访问木马通常与用户请求的程序（如游戏程序）一起，是一种看不见的下载，或作为电子邮件附件发送。一旦主机系统被攻破，入侵者可以利用它来向其他易受感染的计算机分发远程访问木马，从而建立僵尸网络。 在本文中我们将主要讨论恶意RAT，而不是系统管理员或软件供应商用于远程支持和故障排除的那些。远程访问木马通常包含在免费软件中，并通过电子邮件作为附件发送。

因为远程访问木马能进行管理控制，入侵者几乎可以在目标计算机上做任何事，其中包括：

监视用户行为。
访问机密信息，如信用卡和社会安全号码。
激活系统的摄像头和录音录像。
截屏。
传播病毒和其他恶意软件。
将驱动器格式化。
删除、下载或改变文件和文件系统。

人们很难发现远程访问木马（RAT），因为它们通常不会在正在运行的程序或任务的列表中出现。它们执行的行动类似于合法程序。此外，入侵者往往会管理资源利用水平，这样性能的下降不会提醒用户有一些东西不对劲。

Botnet

Botnet也就是我们所说的僵尸网络，是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。

Botnet首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

Browser Hijacker

Browser Hijacker即“浏览器劫持”，通俗点说就是故意误导浏览器的行进路线的一种现象，常见的浏览器劫持现象有：访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等，不少用户都深受其害。

浏览器劫持从软件方面来说，它是一种恶意程序，通过DLL插件、BHO、WinsockLSP等形式对用户的浏览器进行篡改，使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址等异常情况。

浏览器劫持从技术方面来说，它是一种常见的在线攻击类型，黑客可通过这种方式控制的计算机的浏览器，并更改网上冲浪的方式和冲浪时所显示的内容。

浏览器劫持分为多种不同的方式，从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程，劫持浏览器，都有人采用。

浏览器一旦被劫持，就意味这用户无法决定自己的电脑里将被存放进什么资料，这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱，单凭普通用户被动的事后修正无异于亡羊补牢；更多的需要全世界互联网使用者把好公众舆论和道德走向一关。

Downloader Malware

Downloader Malware是可以下载其他恶意软件的恶意软件。 攻击者在获得对系统的第一次访问时，经常会使机器感染上Downloader Malware。它可以悄无声息的对目标进行多个其他恶意软件的下载感染。

Information Stealing Malware

Information Stealing Malware是恶意软件类型的集合，其被开发用于窃取诸如信用卡号，银行账户细节，账户详细信息和其他个人信息的信息。 收集的信息通常发送给攻击者，攻击者经常使用它来访问您的个人帐户或在深度网络上出售。 窃取恶意软件的信息通常以键盘记录器，密码（哈希）抓取器和嗅探器的形式出现。 被盗的信息通常被发送到命令和控制服务器用于进一步处理。

Keylogger

Keylogger即键盘记录恶意软件，是一种恶意的软件（或硬件），它可以记录你的键盘敲击，以检索密码、对话和其他个人详细信息。 记录的击键内容会被发送给攻击者， 键盘记录器是攻击者窃取密码的非常有效的方法，因为不需要破解哈希，解密信息或嗅探密码的安全连接。

Launcher malware

这是一种用于启动其他恶意软件。 这种恶意软件通常与下载恶意软件相结合，它通常使用隐身和非常规的方法来启动其他恶意代码，以避免被检测到。

Ransomware

从技术上说，所有防止用户访问计算机或文件并要求用金钱换取访问的恶意软件都可以称为勒索软件。 Ransomware通常加密你的硬盘驱动器或文件，并要求钱来换取解密密钥。这种勒索软件也称为加密锁。感染后，勒索软件向用户提供一些付款方法，可用于解锁计算机或解密文件。如果勒索软件或加密锁柜实际上将解锁您的硬盘驱动器或文件，解密密钥和付款通常由命令和控制服务器控制。

毫无疑问，目前Ransomware已经变得越来越流行，因为它是高利润的恶意软件开发人员。特别是勒索软件与匿名支付方法（如比特币）相结合，使这种恶意软件非常有利可图，降低了被捕获的风险。流行的勒索软件恶意软件是：Cryptolocker，Cryptowall和Tox勒索软件被称为第一个勒索软件作为一个服务可用于每个人通过TOR网络。

Rootkit

Rootkit是旨在隐藏其他恶意软件的存在的恶意软件。 隐藏的恶意软件通常是后门，以提供对攻击者的完全访问或窃取恶意软件的信息。 Rootkit可能很难根据rootkit驻留的位置进行检测和删除，例如固件级别的Rootkit可能需要硬件替换，并且在内核级别的rootkit可能需要操作系统的重新安装。

Bootkit

Bootkit是隐藏在引导扇区中的rootkit，感染主引导记录。 这种rootkit能够绕过驱动器加密，例如，因为主引导记录（MBR）未加密。 MBR包含解密驱动器的解密软件，引导加载程序是在操作系统之前运行的一段代码。

Spam Sending Malware

垃圾邮件发送恶意软件是使用受感染的计算机发送垃圾邮件的恶意软件。它可能是由作为分布式垃圾邮件发送网络的命令和控制服务器控制的僵尸网络的一部分。 由于使用了分布式的方法，所以没有单点故障，如果¼的被感染的机器被清理，其他¾将继续发送垃圾邮件。 大型的僵尸网络每周可以发送数十亿条垃圾邮件，而且常常有新的恶意软件与垃圾邮件一起传播。它会轻易的让你陷入麻烦，因为ISP的切断你的互联网连接或你的电子邮件地址可以列入黑名单，所以一定要尽快删除这种恶意软件。 这种类型的恶意软件对于恶意软件开发人员是有利可图的，因为他们是可以销售垃圾邮件发送服务的。

Trojan

作为恶意软件的木马其实是作为后门的恶意程序。 就像古希腊故事中希腊军队将木马用来入侵特洛伊城市，木马在计算机上看起来像一个常规的应用程序、媒体或任何其他文件，但其实是包含恶意有效载荷的。 木马通常通过社会工程传播，受害者被欺骗到对木马执行文件或应用程序进行运行。 大多数木马包含后门程序，攻击者可以使用它来窃取信息，传播其他恶意软件或在僵尸网络中使用受感染机器的资源。当感染了一个木马后进行运行获取到最高权限后任何事情都是可能的。 计算机中的木马已经存在了很长时间，一些比较老的和受欢迎的木马包括：Netbus，SubSeven、Sub7以及Back Orifice。

Virus

病毒就是一个恶意程序，它将自身复制到其他应用程序，文件或甚至引导扇区。 然后它就可以做任何事情，往往会被编程为喜欢窃取信息、击键日志、甚至导致计算机无法使用。 病毒的定义特征在于在没有用户同意的情况下自复制和将恶意代码插入到其他程序中。 就像大多数其他恶意软件一样，病毒的设计用于其实是在寻求利润的。

Worm

蠕虫是一种恶意软件，它复制自身以便传播和感染其他系统。 计算机蠕虫会使用网络、链接、P2P网络、电子邮件和利用漏洞来传播自己。 通常不止一个会被wat用于传播蠕虫。 与病毒的区别是，病毒将代码插入其他程序，而蠕虫却不会，它仅仅只复制自身。 蠕虫不一定包含有效载荷，但大多数蠕虫都包含，有些蠕虫会被设计成只在没有有效载荷的情况下扩散。