惡意代碼泛指所有不懷好意的程序代碼，包括計算機病毒、“蠕蟲”病毒、特洛伊木馬和黑客后門。

1、惡意代碼的演化

計算機惡意代碼有一個演化過程，這一過程與全球計算機操作系統的發展有密切關系。Microsoft的操作系統一直是惡意代碼發展的主要平臺，這里以時間為主線對在該平臺上惡意代碼的演化進行分析。在過去的10多年中Microsoft主要推出了4大操作系統：MS-DOS、16位的Windows 3.1、32位的Windows 9x/NT/2000及64位的Windows XP。

1987~1993：這時，個人計算機盛行及網絡處于萌芽階段，磁盤是主要的交換媒介。計算機則是采用8086/8088CPU的XT及80286的AT機為主。處于這個信息爆炸年代，加上版權保護觀念尚未普及，一套計算機軟件往往一傳十、十傳百，這也是造成開機型及DOS文件格式病毒快速蔓延的主要原因。

1993~1995：繼MS-DOS之后，16位的操作系統Windows 3.1占領了市場，由于Windows 3.1操作系統需要在MS-DOS環境下激活，所以除了原有開機型及DOS文件型病毒仍具威脅外，專門針對Windows 3.1操作系統設計的NE格式的計算機病毒也在這個時期問世。

1996~2001：隨著Microsoft 32位操作系統的推出，宏病毒、PE格式的32位病毒、VBScript等惡意代碼紛紛出籠，而且這些惡意代碼大都具有編寫容易、影響普遍的特點。計算機病毒的作者還大量使用了“變體引擎”、壓縮和加密等技術，以使程序很難被破解和偵察。

2002至今：隨著Microsoft 64位操作系統的推出，操作系統的網絡功能大大增強，Web服務器和網絡瀏覽器普及很快，公共網關接口(CGI，common gateway interface)腳本使用機會大大增多，而CGI腳本經常是安全漏洞的來源。因為CGI腳本的功能是很強的，能夠做以下事情：在主機上進行讀和寫、使用用戶設置的權限執行等。

從以上分析，我們可以看出惡意代碼的進化過程和操作系統有著密切關系。隨著操作平臺的發展，惡意代碼的功能及影響層面與日俱增。

2、惡意代碼的傳播趨勢

在計算機惡意代碼造成的危害中，“傳播媒介”一直起著推波助瀾的作用。PE_CIH的危害再大，也只能通過單部計算機進行傳播，影響較小。而借助于電子郵件傳播的W97M_MALISSA.A和TROJ_SIRCAM.A惡意代碼可以在一周內侵害全球數以萬計的計算機。就傳播的速度而言，電子郵件快于局域網，而局域網快于磁盤。目前DOS文件型和開機型病毒幾乎已經絕跡，以局域網為傳播媒介的惡意代碼也逐漸減少，取而代之的是借助于網絡進行傳播的電子郵件類型的惡意代碼。除了郵件以外，點對點的傳播方式也值得引起人們的重視。由于網絡的普及，許多人的計算機已經處于隨時聯機的狀態，未來惡意代碼的傳播可能不必通過第三者（如文件服務器、郵件服務器）而直接傳播至各主機。

3、惡意代碼類型

在因特網上的計算機，除了容易遭受黑客攻擊外，還存在如表1所示的4種惡意代碼的入侵威脅，它們的主要特性分別敘述如下。

表1：4種惡意代碼的特征

1）計算機病毒：它是一個自復制的計算機程序，能夠把自身添加到可執行文件或磁盤上的系統區域中。當使用者執行已感染病毒的文件或者啟動帶有病毒的磁盤時，病毒就會傳播出去。計算機病毒是否會在某一特定日期發作破壞系統，這要看該病毒是如何編寫的。

2）“蠕蟲”：它并不是另一個程序的一部分，它自身由一對獨立的程序組成，分別稱作主程序和矢量程序。一旦它們在因特網上的一個或更多個主機上被激活，主程序就自動收集主機、網絡和用戶信息，并使用這些信息和利用主機的系統軟件存在的缺陷，首先通過局域網、互聯網或者電子郵件派遣矢量程序進入其他機器，在矢量程序探明情況并成功完成入侵以后，再通過網絡傳播主程序，然后復制的新“蠕蟲”（包括主程序和矢量程序）將采用同樣的方法嘗試感染其他機器。

3）特洛伊木馬：偽裝型木馬是隱藏在執行合法功能的大型程序中一段惡意程序。網絡傳播型木馬由兩個程序組成，分別稱作服務器端程序和客戶端程序。其中服務器端程序是安裝在入侵的計算機上，而客戶端程序是安裝在攻擊者的計算機上。

4）黑客后門：是攻擊者創建能迅速重新獲取訪問權的機制。它通常采用遠程shell 訪問，即攻擊者在目標系統緩沖區建立執行代碼，并能遠程控制它并執行。