信息安全与技术——（十一）恶意代码检测与防范技术

1.恶意代码(Malicious Code)

恶意代码(Malicious Code )或恶意软件(Malware )主要是指以危害信息的安全等不良意图为目的的程序，它们一般潜伏在受害计算机系统中实施破坏或窃取信息。

2.恶意代码对系统带来的影响

3.典型病毒

• 早期的蠕虫病毒，冲击波蠕虫和震荡波蠕虫就是典型的蠕虫病毒(攻击系统)
• 早期的熊猫烧香病毒（危害数据）
• 木马病毒（泄露信息）
• DDoS攻击木马（影响性能）
• 邮箱病毒（攻击程序）

3.1蠕虫病毒

1.冲击波蠕虫

• 冲击波（Worm.Blaster）病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows2000、XP、Server 2003。
• 该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启，不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象：
  

2.震荡波蠕虫

• 震荡波电脑病毒于2004年4月30日爆发，短短的时间内就给全球造成了数千万美元的损失。
• 电脑一旦中招就会莫名其妙地死机或重新启动计算机，而在纯 DOS 环境下执行病毒文件，则会显示出谴责美国大兵的英文语句。

3.2熊猫烧香病毒

• “熊猫烧香”，是由李俊制作并肆虐网络的一款电脑病毒，是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒
• 它不但能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件（该类文件是一系统备份工具“GHOST”的备份文件，删除后会使用户的系统备份文件丢失）。
• 被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样
  

3.3木马病毒

• 木马病毒是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马程序都会导致个人隐私泄露，并不限定几种。
• 特洛伊木马, 是一种非常危险的恶性程序,它无休止地窃取用户的信息,从而给用户造成了巨大的损失。

如：“NOPEN”的远程木马病毒
美国国安局的间谍设备被曝光，其中有一款名为“NOPEN”的远程木马病毒，这种病毒手段非常高
明，遭到攻击后电脑会被完全控制，美国已经使用这种手段入侵了全球大量的计算机，这些设备在被
病毒控制后隐私信息一览无余，其中还包括许多事关国家安全的机密信息。

3.4DDoS攻击木马

DDoS攻击木马（僵尸网络）DDoS特洛伊木马将受害者的设备变成僵尸，参与更大的僵尸网络。攻击者的目标是在设备所有者不知情的情况下获取尽可能多的机器并将它们用于恶意目的——通常是作为分布式拒绝服务(DDoS)攻击的一部分用虚假流量淹没服务器。

3.5邮箱病毒

• 邮箱病毒即邮件病毒，对通过电子邮件形式发送的计算机病毒，我们称之为“邮件病毒”。
• 邮箱病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为邮箱病毒的首要条件。
• 计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。

4.恶意代码的特性

• 针对性:如勒索病毒
• 欺骗性:如情书病毒
• 变化性：规避防火墙、杀毒软件

4.1勒索病毒

• 勒索攻击又称为“赎金木马”，是指网络攻击者通过对目标数据强行加密，导致企业核心业务停摆，以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱，小偷没有撬开保险箱偷钱，反而把放保险箱的房间加了把锁。如果没有房间的钥匙，我们依然拿不到保险箱里的钱。
• 1989年，哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马，这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数，一旦超过90次就会对电脑中的文件进行加密，并要求邮寄189美元才能解密重新访问系统。

4.2情书病毒

在2000年左右的情书病毒（Loveletter virus)，在它发布后就攻击了数以万计的电脑——通过给用户发送一封表白邮件，引诱你打开 I Love You的附件，便开始将用户的本地图片、文件替换，并将该邮件再次发给通讯录中的其他好友。

5.计算机病毒

• 计算机病毒能够寻找宿主对象，并且依附于宿主，是一类具有传染、隐蔽、破坏等能力的恶意代码。传染性和依附性是计算机病毒区别于其他恶意代码的本质特征。
• 计算机病毒分为引导型病毒和文件型病毒2种。
• 引导型病毒:指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时，不对主引导区的内容正确与否进行判别的缺点，在引导系统的过程中侵入系统，驻留内存，监视系统运行，待机传染和破坏。
• 文件型病毒:文件型病毒是计算机病毒的一种，主要通过感染计算机中的可执行文件(.exe)和命令文件(.com)。文件型病毒是对计算机的源文件进行修改，使其成为新的带毒文件。一旦计算机运行该文件就会被感染,从而达到传播的目的。

典型：蠕虫病毒
蠕虫病毒是一种常见的计算机病毒，是无须计算机使用者干预即可运行的独立程序，它通过不停
的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在
计算机程序中插入的破坏计算机功能或者破坏数据和恶意篡改系统．影响计算机使用并且能够自
我复制的一组计算机指令或者程序代码。

6.恶意代码生命周期

6.1恶意代码传播

6.2恶意代码感染途径

6.3恶意代码的触发

7.恶意代码分析

恶意代码分析过程实际上是了解恶意代码运行过程、传播机制和功能用途的过程，通过静态查看恶意代码相关的代码或数据文件，可以帮助分析人员对恶意代码有基本的了解，而要全面和深入地掌握恶意代码的内部细节，往往需要开展动态分析。

7.1静态分析

通过反汇编二进制文件寻找关键的代码流程来帮助分析理解恶意代码的内部细节。

7.2动态分析

动态分析通过实际运行恶意代码，跟踪和观察其执行细节来帮助分析人员理解恶意代码的行为和功能，由于分析过程中恶意代码被实际执行，因此分析过程能够真实展现恶意代码的内部细节。

7.3动态污点分析

细粒度地跟踪和监控恶意代码执行流程，揭示恶意代码的运行机理。

8.恶意代码检测

9.恶意代码清除

清除恶意代码是指尽量在保全被感染程序功能的情况下移除恶意代码或使其失效，清除工具或人员一般需要了解相关恶意代码的感染机制。

10.恶意代码的预防

恶意代码的预防是指抵御恶意代码的传播和感染，它的方法主要是切断传播和感染的途径或破坏他们实施的条件。