企业遭到黑客攻击怎么处理，应急响应的整体思路和基本流程( 五 ) _黑客攻击

感染型病毒：能将自身恶意代码插入正常文件的病毒。
脚本病毒：使用脚本编写的病毒。
宏病毒：宏是微软公司为其office软件包设计的一个特殊功能，由于其功能强大，使得黑客可以通过精心构造的宏代码来实现恶意操作，这些代码就叫做宏病毒。宏病毒常以垃圾邮件的方式对用户进行攻击，因为伪造的Office文档不容易引起用户的怀疑，所以当用户毫无防备的打开Office文档并启用宏之后，宏病毒便开始了运行，对用户主机进行恶意操作。
僵尸网络病毒：能形成大型的一对多，多对多控制的远程控制病毒。
后门：在主机上开放端口允许远程非授权访问。
以感染型病毒为例，需要知道并了解其原理：
正常PE文件的执行流程入下：

文章插图

[1] 从PE头中提取入口点地址EP 。
[2] 定位到EP处的PE代码。
[3] 开始执行PE代码。

被感染的PE文件的执行流程入下，其中多了恶意代码环节：

文章插图

[1] 从PE头中提取入口点地址EP 。
[2] 通过篡改EP或覆盖原始入口点代码的方式，使EP指向恶意代码。
[3] 执行恶意代码。
[4] 恶意代码执行完后，跳回到原PE代码处执行。

文章插图

虽然感染的总体思路都是让宿主文件先执行恶意代码，执行完后再跳回到原始代码，但每种病毒家族实现的方式却不尽相同。我总结为四类，复杂度由低到高依次为：偏移式、覆盖式、加密式、混淆式。
专业术语：入口点EP（Entry Point），原始入口点OEP（Original Entry Point）。
偏移式是最多感染型病毒使用的感染方式，病毒会将恶意代码注入到宿主文件的一个空闲位置，然后修改PE头中的EP地址，使其指向恶意代码起始处。被感染文件运行后就会先执行恶意代码，恶意代码执行完成后，会获取OEP的偏移（每个病毒家族的OEP偏移值藏在不同的地方），然后将执行流跳回到OEP处，执行宿主文件原始代码。
七、理解漏洞和补丁漏洞和补丁，在应急响应中是不可或缺。如果黑客是通过某种漏洞入侵系统的，而在应急响应中，无法找出黑客所利用的漏洞，就会意味着，入侵行为可以反复发生。在终端侧，就会表现为病毒清理不干净，杀了又来，所以一定要找出漏洞。
找到漏洞后，就需要打上相应的补丁，这样才是一次完整的处置。
怎么查看系统补丁情况？以Windows为例，直接打开cmd，输入命令systeminfo即可获取。