計算機網(wǎng)絡(luò)信息安全第12章

1、第12章 惡意代碼防范技術(shù)的原理 12.1 惡意代碼概述 12.2 計算機病毒 12.3 特洛伊木馬 12.4 網(wǎng)絡(luò)蠕蟲 12.5 其他惡意代碼 12.6 本章小結(jié) 本章思考與練習(xí) 12.1 惡意代碼概述 12.1.1 惡意代碼的定義與分類惡意代碼的英文是Malicious Code，它是一種違背目標(biāo)系統(tǒng)安全策略的程序代碼，可造成目標(biāo)系統(tǒng)信息泄露和資源濫用，破壞系統(tǒng)的完整性及可用性。它能夠經(jīng)過存儲介質(zhì)或網(wǎng)絡(luò)進行傳播，未經(jīng)授權(quán)認(rèn)證訪問或破壞計算機系統(tǒng)。通常許多人認(rèn)為“病毒”代表了所有感染計算機并造成破壞的程序。事實上，惡意代碼更為通用，病毒只是一種類型的惡意代碼而已。惡意代碼的種類主要包括計算機

2、病毒(Computer Virus)、蠕蟲(Worms)、特洛伊木馬(Trojan Horse)、邏輯炸彈(Logic Bombs)、細(xì)菌(Bacteria)、惡意腳本(Malicious Scripts)和惡意ActiveX控件、間諜軟件(Spyware)等。根據(jù)惡意代碼的傳播特性，可以將惡意代碼分成兩大類，如圖12-1所示。 圖12-1 惡意代碼的分類 惡意代碼也是一個不斷變化的概念。20世紀(jì)80年代，惡意代碼的早期形式主要是計算機病毒。1984年，Cohen在美國國家計算機安全會議上演示了病毒的實驗。人們普遍認(rèn)為，世界上首例病毒是由他創(chuàng)造的。1988年，美國康奈爾大學(xué)的學(xué)生 Morris

3、 制造了世界上首例“網(wǎng)絡(luò)蠕蟲”，稱為“小莫里斯蠕蟲”。該蠕蟲一夜之間攻擊了網(wǎng)上約6200臺計算機。美國政府為此成立了世界上第一個計算機安全應(yīng)急響應(yīng)組織(CERT)。1989年4月，中國首次發(fā)現(xiàn)小球病毒。從此后，國外發(fā)現(xiàn)的其他計算機病毒紛紛走進國門，迅速地蔓延全國。20世紀(jì)90年代，惡意代碼的定義隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展逐漸豐富起來。1995年出現(xiàn)了Word宏病毒，1998年出現(xiàn)了CIH病毒，特洛伊木馬已達(dá)到數(shù)萬種。 12.1.2 惡意代碼防范整體策略惡意代碼防范已經(jīng)成為用戶、網(wǎng)管的日常安全工作。要做好惡意代碼的防范，一方面組織管理上必須加強惡意代碼的安全防范意識。因為，惡意代碼具有隱蔽性、潛伏

4、性和傳染性，用戶在使用計算機過程中會不知不覺地將惡意代碼引入到所使用的計算機中，所以防范惡意代碼應(yīng)從安全意識上著手，明確安全責(zé)任、義務(wù)和注意事項。另一方面，通過技術(shù)手段來實現(xiàn)惡意代碼防范。防范惡意代碼的總體框架如圖12-2所示。 圖12-2 惡意代碼防范框架結(jié)構(gòu)圖 12.2 計 算 機 病 毒 12.2. 計算機病毒的概念與特性計算機病毒的名稱由來借用了生物學(xué)上的病毒概念，它是一組具有自我復(fù)制、傳播能力的程序代碼。它常依附在計算機的文件中，如可執(zhí)行文件或Word文檔中。高級的計算機病毒具有變種和進化能力，可以對付反病毒程序。計算機病毒編制者將病毒插入到正常程序或文檔中，以達(dá)到破壞計算機功能、毀

5、壞數(shù)據(jù)、影響計算機使用的目的。計算機病毒傳染和發(fā)作表現(xiàn)的癥狀各不相同，這取決于計算機病毒程序設(shè)計人員和感染的對象，其表現(xiàn)的主要癥狀如下：計算機屏幕顯示異常、機器不能引導(dǎo)啟動、磁盤存儲容量異常減少、磁盤讀寫異常、出現(xiàn)異常的聲音、執(zhí)行程序文件無法執(zhí)行、文件長度和日期發(fā)生變化、系統(tǒng)死機頻繁、系統(tǒng)不承認(rèn)硬盤、中斷向量表發(fā)生異常變化、內(nèi)存可用空間異常變化或減少、系統(tǒng)運行速度下降、系統(tǒng)配置文件改變、系統(tǒng)參數(shù)改變。據(jù)統(tǒng)計，目前的計算機病毒數(shù)量已達(dá)到數(shù)萬種，但所有計算機病毒都具有四個基本特點： (1) 隱蔽性。計算機病毒附加在正常軟件或文檔中，例如可執(zhí)行程序、電子郵件、Word文檔等，一旦用戶未察覺，病毒就觸

6、發(fā)執(zhí)行，潛入到受害用戶的計算機中。目前，計算機病毒常利用電子郵件的附件作為隱蔽載體，許多病毒通過郵件進行傳播，例如Melissa病毒、“I Love You”病毒和“求職信”病毒。病毒的隱蔽性使得受害用戶在不知不覺中感染病毒，對受害計算機造成系列危害操作。正因如此，計算機病毒才能迅速擴散與傳播。 (2) 傳染性。計算機病毒的傳染性是指計算機病毒具有自我復(fù)制能力，并能把復(fù)制的病毒附加到無病毒的程序中，或者去替換磁盤引導(dǎo)區(qū)的記錄，使得附加了病毒的程序或者磁盤變成新的病毒源，又能進行病毒復(fù)制，重復(fù)原先的傳染過程。計算機病毒與其他程序最本質(zhì)的區(qū)別在于計算機病毒能傳染，而其他的程序則不能。沒有傳染性的程

7、序就不是計算機病毒。生物病毒的傳播載體是水、實物和空氣，而計算機病毒的傳染載體是傳遞計算機信息的實體。計算機病毒通過傳染載體向周圍的計算機系統(tǒng)擴散。目前，計算機病毒的傳染載體主要是磁性介質(zhì)、光盤和計算機網(wǎng)絡(luò)。計算機病毒常見于免費軟件、共享軟件、電子郵件、磁盤壓縮程序和游戲軟件中。特別是在今天，計算機病毒通過網(wǎng)絡(luò)傳播，其擴散速度明顯加快。 (3) 潛伏性。計算機病毒感染正常的計算機之后，一般不會立即發(fā)作，而是等到觸發(fā)條件滿足時，才執(zhí)行病毒的惡意功能，從而產(chǎn)生破壞作用。計算機病毒的觸發(fā)條件常見的是特定日期。例如CIH計算機病毒的發(fā)作時間是4月26日。 (4) 破壞性。計算機病毒對系統(tǒng)的危害程度，取

8、決于病毒設(shè)計者的設(shè)計意圖。有的僅僅是惡作劇，有的要破壞系統(tǒng)數(shù)據(jù)。簡而言之，病毒的破壞后果是不可知的。由于計算機病毒是一段惡意的程序，因此凡是常規(guī)程序操作使用的計算機資源，計算機病毒均有可能對其進行破壞。據(jù)統(tǒng)計，病毒發(fā)作后，造成的破壞主要有數(shù)據(jù)部分丟失、系統(tǒng)無法使用、瀏覽器配置被修改、網(wǎng)絡(luò)無法使用、使用受限、受到遠(yuǎn)程控制、數(shù)據(jù)全部丟失等。據(jù)統(tǒng)計分析，瀏覽器配置被修改、數(shù)據(jù)丟失、網(wǎng)絡(luò)無法使用最為常見，如圖12-3所示。 圖12-3 病毒破壞的情況 12.2.2 計算機病毒的組成與運行機制計算機病毒由三部分組成：復(fù)制傳染部件(replicator)、隱藏部件(concealer)和破壞部件(bomb

9、)。復(fù)制傳染部件的功能是控制病毒向其他文件的傳染，隱藏部件的功能是防止病毒被檢測到，破壞部件則用于在當(dāng)病毒符合激活條件后，執(zhí)行破壞操作。計算機病毒實現(xiàn)者將上述三個部分綜合在一起，使用當(dāng)前反病毒軟件不能檢測到的病毒感染系統(tǒng)，使病毒逐漸開始傳播。 計算機病毒的生命周期主要有兩個階段：* 第一階段，計算機病毒的復(fù)制傳播階段。這一階段有可能持續(xù)一個星期到幾年。計算機病毒在這個階段盡可能隱蔽其行為，不干擾正常系統(tǒng)的功能。計算機病毒主動搜尋新的主機進行感染，如將病毒附在其他的軟件程序中，或者滲透操作系統(tǒng)。同時，可執(zhí)行程序中的計算機病毒獲取程序控制權(quán)。在這一階段，發(fā)現(xiàn)計算機病毒特別困難，這主要因為計算機病毒

10、只感染了少量的文件，難以引起用戶警覺。* 第二階段，計算機病毒的激活階段。計算機病毒在該階段根據(jù)數(shù)學(xué)公式判斷激活條件是否滿足，然后再開始逐漸或突然破壞系統(tǒng)。 12.2.3 計算機病毒常見類型與技術(shù)1引導(dǎo)型病毒引導(dǎo)型病毒通過感染計算機系統(tǒng)的引導(dǎo)區(qū)而控制系統(tǒng)，病毒將真實的引導(dǎo)區(qū)內(nèi)容修改或替換，當(dāng)病毒程序執(zhí)行后，才啟動操作系統(tǒng)。因此，感染引導(dǎo)型病毒的計算機系統(tǒng)看似正常運轉(zhuǎn)，而實際上病毒已在系統(tǒng)中隱藏，等待時機傳染和發(fā)作。引導(dǎo)型病毒通常都是內(nèi)存駐留的，典型的引導(dǎo)型病毒有磁盤殺手病毒、AntiExe病毒等。 2宏病毒(Macro Viruses)宏是1995年出現(xiàn)的應(yīng)用程序編程語言，它使得文檔處理中的繁

11、復(fù)的敲鍵操作自動化。所謂宏病毒，就是指利用宏語言來實現(xiàn)的計算機病毒。宏病毒的出現(xiàn)改變了病毒的載體模式。以前病毒的載體主要是可執(zhí)行文件，而現(xiàn)在文檔或數(shù)據(jù)也可作為病毒的載體。微軟規(guī)定宏代碼保存在文檔或數(shù)據(jù)文件的內(nèi)部，這樣一來就給宏病毒傳播提供了方便。同時，宏病毒的出現(xiàn)也實現(xiàn)了病毒的跨平臺傳播，它能夠感染任何運行Office的計算機。例如，Office病毒就是第一種既能感染運行Windows 98的IBM PC又能感染運行Macintosh的機器的病毒。根據(jù)統(tǒng)計，宏病毒已經(jīng)出現(xiàn)在Word、Excel、Access、PowerPoint、Project、Lotus、AutoCAD和Corel Draw

12、當(dāng)中。宏病毒的觸發(fā)過程是：用戶打開一個被感染的文件并讓宏程序執(zhí)行，宏病毒將自身復(fù)制到全局模板，然后通過全局模板把宏病毒傳染到新打開的文件中，如圖12-4所示。 圖12-4 宏病毒感染示意圖 Word宏病毒是宏病毒的典型代表，其他的宏病毒的傳染過程與它類似。下面以Word宏病毒為例，分析宏病毒的傳染過程。微軟為了使Word更易用，在Word中集成了許多模板，如典雅型 、典雅型報告等。這些模板不僅包含了相應(yīng)類型文檔的一般格式，而且還允許用戶在模板內(nèi)添加宏，使得用戶在制作自己的特定格式文件時，可減少重復(fù)勞動。在所有這些模板中，最常用的就是模板，它是啟動Word時載入的缺省模板。任何一個Word文件，

13、其背后都有相應(yīng)的模板，當(dāng)打開或創(chuàng)建Word文檔時，系統(tǒng)都會自動裝入模板并執(zhí)行其中的宏。Word處理文檔時，需要進行各種不同的操作，如打開文件、關(guān)閉文件、讀取數(shù)據(jù)資料以及儲存和打印等。 每一種動作其實都對應(yīng)著特定的宏命令，如存文件與File Save相對應(yīng)、改名存文件對應(yīng)著File Save AS等。這些宏命令集合在一起構(gòu)成了通用宏。通用宏保存在模板文件中，以使得Word啟動后可以有效地工作。Word打開文件時，它首先要檢查文件內(nèi)包含的宏是否有自動執(zhí)行的宏(AutoOpen宏)存在，假如有這樣的宏，Word就啟動它。通常，Word宏病毒至少會包含一個以上的自動宏，當(dāng)Word運行這類自動宏時，實際

14、上就是在運行病毒代碼。宏病毒的內(nèi)部都具有把帶病毒的宏復(fù)制到通用宏的代碼段的功能，也就是說，當(dāng)病毒代碼被執(zhí)行過后，它就會將自身復(fù)制到通用宏集合內(nèi)。當(dāng)Word系統(tǒng)退出時，它會自動地把所有通用宏和傳染進來的病毒宏一起保存到模板文件中，通常是模板。這樣，一旦Word系統(tǒng)遭受感染，則以后每當(dāng)系統(tǒng)進行初始化時，系統(tǒng)都會隨著的裝入而成為帶病毒的Word系統(tǒng)，繼而在打開和創(chuàng)建任何文檔時感染該文檔。 3多態(tài)病毒(Polymorphic Viruses)多態(tài)病毒有三個主要組成部分：雜亂的病毒體、解密例程(decryption routine)和變化引擎(mutation engine)。在一個多態(tài)病毒中，變化引擎

15、和病毒體都被加密。一旦用戶執(zhí)行被多態(tài)病毒感染過的程序，則解密例程首先獲取計算機的控制權(quán)，然后將病毒體和變化引擎進行解密。接下來，解密例程把控制權(quán)轉(zhuǎn)讓給病毒，重新開始感染新的程序。此時，病毒進行自我復(fù)制，變化引擎隨機訪問內(nèi)存(RAM)。4隱蔽病毒(Stealth Viruses)隱蔽病毒試圖將自身的存在形式進行隱藏，使得操作系統(tǒng)和反病毒軟件不能發(fā)現(xiàn)。隱蔽病毒使用的技術(shù)有許多，主要包括：* 隱藏文件的日期、時間的變化；* 隱藏文件大小的變化；* 病毒加密。 12.2.4 計算機病毒防范策略與技術(shù) 1防范計算機病毒策略之一：病毒檢測檢測的原理主要基于下列四種方法：比較法。(2) 搜索法。 (3) 特

16、征字識別法。 (4) 分析法。一般使用分析法的人不是普通用戶，而是反病毒技術(shù)人員。他們詳細(xì)分析病毒代碼，為采取相應(yīng)的反病毒措施制定方案。使用分析法的目的在于：* 確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒；* 確認(rèn)病毒的類型和種類，判定其是否是一種新病毒；* 搞清楚病毒體的大致結(jié)構(gòu)，提取特征識別用的字節(jié)串或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用。 2防范計算機病毒策略之二：病毒防范由于計算機病毒的危害性是不可預(yù)見性，因此對于病毒的防范只能以防為主。具體要做的防范措施有：(1) 掌握計算機病毒知識，培養(yǎng)安全防范意識。例如，用戶不要輕易運行未知的可執(zhí)行軟件，特別是不要輕易打開電子郵件的

17、附件。(2) 切斷病毒傳播途徑和消除病毒載體。例如，對于關(guān)鍵的計算機，做到盡量專機專用；不要隨便使用來歷不明的存儲介質(zhì)，如磁盤、USB；禁用不需要的計算機服務(wù)和功能，如腳本語言、光盤自啟動等。 (3) 定期對計算機系統(tǒng)進行病毒檢測。例如，定期檢查主引導(dǎo)區(qū)、引導(dǎo)扇區(qū)、中斷向量表、文件屬性(字節(jié)長度、文件生成時間等)、模板文件和注冊表等。特別要對如下注冊表的鍵值作經(jīng)常性檢查：HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices(4) 安裝防病毒軟件，建立多

18、級病毒防護體系。例如在網(wǎng)關(guān)、服務(wù)器和客戶機器端都要安裝合適的防病毒軟件。同時，要做到及時更新病毒庫。 3防范計算機病毒策略之三：應(yīng)急響應(yīng)這些應(yīng)急響應(yīng)技術(shù)和措施主要有：* 備份。* 數(shù)據(jù)修復(fù)技術(shù)。 * 網(wǎng)絡(luò)過濾技術(shù)。 * 制定應(yīng)急響應(yīng)的具體措施和方案，例如制定處理受病毒攻擊的計算機及網(wǎng)絡(luò)方面的操作規(guī)程。 12.2.5 計算機病毒防御模式1基于單機病毒防御單機病毒防御是傳統(tǒng)防御模式，作為固守網(wǎng)絡(luò)終端的最后防線，單機防御對于廣大家庭用戶、小型網(wǎng)絡(luò)用戶無論是在效果、管理、實用價值上都是有意義的：阻止來自軟盤、光盤、共享文件、互聯(lián)網(wǎng)的病毒入侵，進行重要數(shù)據(jù)備份等其他功能，防護單臺計算機。 2基于網(wǎng)絡(luò)病毒

19、防御基于網(wǎng)絡(luò)病毒防御的基本方法是通過在網(wǎng)管中心建立網(wǎng)絡(luò)防病毒管理平臺，實現(xiàn)病毒集中監(jiān)控與管理，集中監(jiān)測整個網(wǎng)絡(luò)的病毒疫情，提供網(wǎng)絡(luò)整體防病毒策略配置，在網(wǎng)管所涉及的重要部位設(shè)置防病毒軟件或設(shè)備，在所有病毒能夠進入的地方都采取相應(yīng)的防范措施，防止病毒侵襲。對網(wǎng)絡(luò)系統(tǒng)的服務(wù)器、工作站和客戶機，進行病毒防范的統(tǒng)一管理，及時更新病毒特征庫，升級殺毒軟件的版本。網(wǎng)絡(luò)病毒防御模式如圖12-5所示。 圖12-5 網(wǎng)絡(luò)病毒防御模式 3基于網(wǎng)絡(luò)分級病毒防御大型網(wǎng)絡(luò)由若干個局域網(wǎng)組成，各個局域網(wǎng)的地理區(qū)域分散。在防病毒方面采取的防御策略是基于三級管理模式的，即單機終端殺毒局域網(wǎng)集中監(jiān)控廣域網(wǎng)總部管理，如圖12-6

20、所示。策略實現(xiàn)方法是，在局域網(wǎng)病毒防御基礎(chǔ)上分級構(gòu)建，組織總部(常稱信息中心或網(wǎng)絡(luò)中心)負(fù)責(zé)病毒報警信息匯總，監(jiān)控本地、遠(yuǎn)程異地局域網(wǎng)病毒防御情況，統(tǒng)計分析整個組織網(wǎng)絡(luò)的病毒爆發(fā)種類、發(fā)生頻度、易發(fā)生源等信息，以便制定和實施合適的防病毒配置策略。 圖12-6 網(wǎng)絡(luò)分級病毒防御示意圖 4基于郵件網(wǎng)關(guān)病毒防御政府機關(guān)、軍隊、金融及科研院校等機構(gòu)辦公自動化(OA)系統(tǒng)中的郵件服務(wù)器作為內(nèi)部網(wǎng)絡(luò)用戶郵件的集中地和發(fā)散地，也成為病毒郵件、垃圾郵件進出的門戶。如果能夠在網(wǎng)絡(luò)入口處將郵件病毒、郵件垃圾截殺掉，則可以確保內(nèi)部網(wǎng)絡(luò)用戶收到安全無病毒的郵件。郵件網(wǎng)關(guān)防毒系統(tǒng)放置在郵件網(wǎng)關(guān)入口處，接收來自外部的郵件

21、，對病毒、不良郵件(如帶有色情、政治反動色彩)等進行過濾，處理完畢后再將安全郵件轉(zhuǎn)發(fā)至郵件服務(wù)器，全面保護內(nèi)部網(wǎng)絡(luò)用戶的電子郵件安全。 5基于網(wǎng)關(guān)防御在網(wǎng)絡(luò)出口處設(shè)置有效的病毒過濾系統(tǒng)，防火墻將數(shù)據(jù)提交給網(wǎng)關(guān)殺毒系統(tǒng)進行檢查，如有病毒入侵，網(wǎng)關(guān)防毒系統(tǒng)將通知防火墻立刻阻斷病毒攻擊的IP，如圖12-7所示。此種過濾方式能夠過濾多種數(shù)據(jù)庫和郵件中的病毒。利用防火墻實時分離數(shù)據(jù)報，交給網(wǎng)關(guān)專用病毒處理器處理，如果是病毒則阻塞病毒傳播。這種防病毒系統(tǒng)能減少大量的病毒傳播機會，使用戶放心上網(wǎng)。網(wǎng)關(guān)殺毒是殺毒軟件與防火墻技術(shù)的完美結(jié)合，是網(wǎng)絡(luò)多種安全產(chǎn)品協(xié)同工作的一種全新方式。 圖12-7 基于網(wǎng)關(guān)防御的

22、安裝部署模式12.3 特 洛 伊 木 馬 12.3.1 特洛伊木馬的概念與特性 雖然木馬攻擊危害大，但木馬攻擊是否成功，還要取決于以下條件是否具備：(1) 木馬攻擊者要寫出一段程序，既要能進行非法操作，又要讓程序的行為不會引起用戶的懷疑。(2) 木馬攻擊者應(yīng)有某種方式，使得受害者能夠訪問、安裝或接受這段程序。(3) 木馬攻擊者必須使受害者運行該程序。(4) 木馬攻擊者要有某種方法獲取木馬操作結(jié)果，例如獲得木馬拷貝的保密信息。 12.3.2 特洛伊木馬的運行機制木馬受攻擊者的意圖影響，其行為表現(xiàn)各異，但基本的運行機制相同。整個的木馬攻擊過程主要分為五個部分：(1) 尋找攻擊目標(biāo)。 (2) 收集目

23、標(biāo)系統(tǒng)的信息。 (3) 將木馬植入目標(biāo)系統(tǒng)。(4) 木馬隱藏。(5) 攻擊意圖實現(xiàn)，即激活木馬，實施攻擊。 圖12-8 木馬的攻擊機制流程圖 12.3.3 特洛伊木馬技術(shù)1特洛伊木馬植入技術(shù)特洛伊木馬植入是木馬攻擊目標(biāo)系統(tǒng)最關(guān)鍵的一步，是后續(xù)攻擊活動的基礎(chǔ)。當(dāng)前，特洛伊木馬的植入方法可以分為兩大類，即被動植入和主動植入。被動植入是指通過人工干預(yù)方式才能將木馬程序安裝到目標(biāo)系統(tǒng)中，植入過程必須依賴于受害用戶的手工操作；而主動植入則是指主動攻擊方法，是將木馬程序通過程序自動安裝到目標(biāo)系統(tǒng)中，植入過程無需受害用戶的操作。被動植入主要通過社會工程方法將木馬程序偽裝成合法的，以達(dá)到降低受害用戶警覺性，誘

24、騙用戶的目的。常用的方法有： * 文件捆綁法：將木馬捆綁到一些常用的應(yīng)用軟件包中，當(dāng)用戶安裝該軟件包時，木馬在用戶毫無察覺的情況下就植入到系統(tǒng)中。* 郵件附件：木馬設(shè)計者將木馬程序偽裝成郵件附件，然后發(fā)送給目標(biāo)用戶，若用戶執(zhí)行郵件附件就將木馬植入該系統(tǒng)中。* Web網(wǎng)頁：木馬程序隱藏在HTML文件中，當(dāng)受害用戶點擊該網(wǎng)頁時，就將木馬植入到目標(biāo)系統(tǒng)中。 2特洛伊木馬隱藏技術(shù)1) 本地活動行為隱藏技術(shù)現(xiàn)在的操作系統(tǒng)支持LKM(Loadable Kernel Modules)功能，通過LKM可增加系統(tǒng)功能，而且不需要重新編譯內(nèi)核，就可以動態(tài)地加載，如Linux、Solaris和FreeBSD都支持L

25、KM。木馬設(shè)計者利用操作系統(tǒng)的LKM功能，通過替換或調(diào)整系統(tǒng)調(diào)用來實現(xiàn)木馬程序的隱藏，常見的技術(shù)方法有：(1) 文件隱藏。 (2) 進程隱藏。 (3) 通信連接隱藏。 2) 木馬遠(yuǎn)程通信隱藏在遠(yuǎn)程通信隱藏方面，木馬用到的通信隱藏關(guān)鍵技術(shù)主要有：(1) 通信內(nèi)容加密。通信內(nèi)容的加密是傳統(tǒng)的方法，它是將木馬通信的內(nèi)容進行加密處理，使得網(wǎng)絡(luò)安全管理員無法識別通信內(nèi)容，從而增強木馬的通信保密性。(2) 通信端口復(fù)用。通信端口復(fù)用技術(shù)是指共享復(fù)用系統(tǒng)網(wǎng)絡(luò)端口來實現(xiàn)遠(yuǎn)程通信，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下進行的，具有很強的隱蔽性。 (3) 網(wǎng)絡(luò)隱蔽通道

26、。網(wǎng)絡(luò)隱蔽通道是指利用通信協(xié)議或網(wǎng)絡(luò)信息交換方法來構(gòu)建不同于正常的通信方式。木馬設(shè)計者將利用這些隱蔽通道繞過網(wǎng)絡(luò)安全訪問控制機制，秘密地傳輸信息。由于網(wǎng)絡(luò)通信比較復(fù)雜，因此木馬可以用隱蔽通道技術(shù)掩蓋通信內(nèi)容和通信狀態(tài)。網(wǎng)絡(luò)隱蔽通道的木馬有“ACK Tunneling Trojans”和Loki。表12-1列出了特洛伊木馬隱藏技術(shù)案例統(tǒng)計。 3特洛伊木馬存活性技術(shù)木馬的存活性取決于網(wǎng)絡(luò)木馬逃避安全監(jiān)測的能力，一些網(wǎng)絡(luò)木馬侵入目標(biāo)系統(tǒng)時采用反監(jiān)測技術(shù)，甚至中斷反網(wǎng)絡(luò)木馬程序的運行。例如，“廣外女生”是一個國產(chǎn)的特洛伊木馬，可以讓“金山毒霸”和“天網(wǎng)防火墻”失效。一些高級木馬常具有端口反向連接功能，

27、例如“Boinet”、“網(wǎng)絡(luò)神偷”、“灰鴿子”等木馬。端口反向連接技術(shù)是指由木馬代理在目標(biāo)系統(tǒng)主動連接外部網(wǎng)的遠(yuǎn)程木馬控制端，以逃避防火墻的限制。 表12-1是 特洛伊木馬隱藏技術(shù)案例統(tǒng)計 4特洛伊木馬自啟動技術(shù)特洛伊木馬自啟動技術(shù)用于控制木馬程序的啟動。目前，一般將木馬程序放在系統(tǒng)的啟動目錄中。在Windows系統(tǒng)中，木馬的自啟動設(shè)置在系統(tǒng)配置文件中，如win.ini、system.ini等中，或修改注冊表設(shè)置實現(xiàn)木馬的自動啟動，或把木馬注冊為系統(tǒng)服務(wù)，或把木馬注入到系統(tǒng)服務(wù)程序中。在UNIX系統(tǒng)中，木馬的自啟動設(shè)置在init、inetd、cron等文件或目錄中。 12.3.4 特洛伊木馬防

28、范技術(shù) 1基于查看開放端口檢測特洛伊木馬其基本原理是根據(jù)特洛伊木馬在受害計算機系統(tǒng)上留下的網(wǎng)絡(luò)通信端口號痕跡進行判斷。如果某個木馬的端口在某臺機器上開放，則推斷該機器受到了木馬的侵害。例如，冰河使用的監(jiān)聽端口是7626，Back Orifice 2000使用的則是54320。于是，利用查看本機開放端口的方法來檢查自己是否被植入了木馬。查看開放端口技術(shù)有： 系統(tǒng)自帶的netstat命令； 用端口掃描軟件遠(yuǎn)程檢測機器。 2基于重要系統(tǒng)文件檢測特洛伊木馬其基本原理是根據(jù)特洛伊木馬在受害計算機系統(tǒng)上對重要系統(tǒng)文件進行修改留下的痕跡進行判斷，通過比對正常的系統(tǒng)文件變化來確認(rèn)木馬的存在。這些重要文件一般與

29、系統(tǒng)的自啟動相關(guān)，木馬通過修改這些文件使得木馬能夠自啟動。例如，在Windows系統(tǒng)中，autostart Folder、win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat、config.sys、Explorer Startup等常被木馬修改。以檢查system.ini文件為例，在BOOT下面有個“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”，如果不是“explorer.exe”，而是“程序名”，那么后面跟著的那個程序就是木馬程序，這就說明計算機系統(tǒng)已經(jīng)被安裝上了木馬。 3基于系統(tǒng)注冊表檢測特洛伊木馬Wind

30、ows類型的木馬常通過修改注冊表的鍵值來控制木馬的自啟動?；谙到y(tǒng)注冊表檢測特洛伊木馬方法的基本原理是檢查計算機的注冊表鍵值異常情況以及對比已有木馬的修改注冊表規(guī)律，綜合確認(rèn)系統(tǒng)是否受到木馬侵害。例如，Windows木馬經(jīng)常修改注冊表的以下信息：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunInfo=c:directoryTrojan.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceInfo=c:directoryTrojan.exeHK

31、EY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesInfo=c:directoryTrojan.exeHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesonceInfo=c:directoryTrojan.exeHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunInfo=c:directoryTrojan.exeHKEY_CURRENT_USERSoftwareMic

32、rosoftWindowsCurrentVersionRunOnceInfo=c:directoryTrojan.exe 在Windows系統(tǒng)中，通過regedit命令打開注冊表編輯器，再點擊至“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下，查看鍵值中有沒有異常的自動啟動文件，特別是擴展名為exe的。例如木馬，它將注冊表“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的Explorer 鍵值改為Explorer=“C:WINDOWSexp

33、iorer.exe”，即木馬程序與真正的explorer之間只有字母“i”與“l(fā)”的差別。 4檢測具有隱藏能力的特洛伊木馬技術(shù)rootkit是典型的具有隱藏能力的特洛伊木馬。目前，檢測rootkit的技術(shù)有三類，下面分別敘述其技術(shù)原理。第一類是針對已知的rootkit進行檢測，即基于rootkit的運行痕跡特征來進行判斷，看計算機系統(tǒng)是否存在木馬。這種方式的主要缺點是只能針對特定的已知的rootkit，而對未知的rootkit幾乎無能為力。 第二類是基于執(zhí)行路徑分析檢測方法。其基本原理就是安裝rootkit的系統(tǒng)在執(zhí)行一些操作時，由于要完成附加的rootkit的功能，如隱藏進程、文件等，則需要

34、執(zhí)行更多的CPU指令。通過利用x86系列CPU提供的步進模式(stepping mode)，在CPU每執(zhí)行一條指令后進行計數(shù)，將測量到的結(jié)果與在正常的、干凈的系統(tǒng)下測得的數(shù)據(jù)進行比較，然后根據(jù)比較的差異，判斷系統(tǒng)是否可能已被安裝了rootkit。這種方法不僅對于已知的rootkit有用，而且對于所有通過修改系統(tǒng)執(zhí)行路徑來達(dá)到隱藏和執(zhí)行功能目的的rootkit都有很好的作用。patchfinder就是從實用的角度在win2000平臺上實現(xiàn)了執(zhí)行路徑分析技術(shù)，它是一個設(shè)計復(fù)雜的檢測工具，可以用來檢測系統(tǒng)中的庫和內(nèi)核是否被侵害。利用patchfinder工具，可以發(fā)現(xiàn)許多rootkit，例如Hack

35、er Defender、APX、Vaniquish、He4Hook等。 第三類是直接讀取內(nèi)核數(shù)據(jù)分析檢測方法，該方法針對通過修改內(nèi)核數(shù)據(jù)結(jié)構(gòu)的方法來隱藏自己的rootkit。其基本原理是直接讀取內(nèi)核中的內(nèi)部數(shù)據(jù)以判斷系統(tǒng)當(dāng)前的狀態(tài)。比如，針對修改系統(tǒng)活動進程鏈表來隱藏進程的rootkit，可以通過采取直接讀取KiWaitInListHead和KiWaitOutListHead鏈表來遍歷系統(tǒng)內(nèi)核線程鏈表ETHREAD，從而獲得當(dāng)前系統(tǒng)實際進程鏈表的方法來檢測隱藏進程。Klister是實現(xiàn)該方法的實例，它是Win2000下的一組簡單的工具，設(shè)計用來讀取內(nèi)核的數(shù)據(jù)結(jié)構(gòu)，以獲得關(guān)于系統(tǒng)狀態(tài)的可靠的信息

36、。Klister包括一個內(nèi)核模塊和一些用戶態(tài)的程序，這些用戶態(tài)程序與內(nèi)核模塊通信以顯示內(nèi)核的數(shù)據(jù)結(jié)構(gòu)。 5基于網(wǎng)絡(luò)檢測特洛伊木馬在網(wǎng)絡(luò)中安裝入侵檢測系統(tǒng)，通過捕獲主機的網(wǎng)絡(luò)通信，檢查通信的數(shù)據(jù)包是否具有特洛伊木馬的特征，或者分析通信是否異常來判斷主機是否受到了木馬的侵害。 6防止特洛伊木馬植入的方法* 不輕易安裝未經(jīng)過安全認(rèn)可的軟件，特別是來自公共網(wǎng)的軟件。* 提供完整性保護機制，即在需要保護的計算機上安裝完整性機制，對重要的文件進行完整性檢查。例如安裝一種起完整性保護作用的設(shè)備驅(qū)動程序，這些程序攔截一些系統(tǒng)服務(wù)調(diào)用，禁止任何新的模塊的載入，從而使系統(tǒng)免于受到rootkit的危害。* 利用漏洞

37、掃描軟件檢查系統(tǒng)存在的漏洞，然后針對相應(yīng)的漏洞，安裝補丁軟件包。 7基于網(wǎng)絡(luò)阻斷特洛伊木馬技術(shù)方法現(xiàn)在，特洛伊木馬的傳播和運行都依賴于網(wǎng)絡(luò)通信，基于網(wǎng)絡(luò)阻斷特洛伊木馬技術(shù)方法的原理是利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，對特洛伊木馬的通信進行阻斷，從而使得特洛伊木馬的功能失效或限制其傳播。 8清除特洛伊木馬的方法清除特洛伊木馬的技術(shù)方法有兩種：手工方法和軟件清除方法。其工作原理是刪除特洛伊木馬在受害機器留下的文件，禁止特洛伊木馬的網(wǎng)絡(luò)通信件，恢復(fù)木馬修改過的系統(tǒng)文件或注冊表。目前，市場上有專業(yè)的清除特洛伊木馬的工具。 12.4 網(wǎng) 絡(luò) 蠕 蟲 12.4.1 網(wǎng)絡(luò)蠕蟲的概念與特性網(wǎng)絡(luò)蠕蟲是一種具有自我復(fù)

38、制和傳播能力、可獨立自動運行的惡意程序。它綜合黑客技術(shù)和計算機病毒技術(shù)，通過利用系統(tǒng)中存在漏洞的節(jié)點主機，將蠕蟲自身從一個節(jié)點傳播到另外一個節(jié)點。1988年，著名的“小莫里斯”蠕蟲事件成為網(wǎng)絡(luò)蠕蟲攻擊的先例。隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的深入，網(wǎng)絡(luò)蠕蟲對網(wǎng)絡(luò)系統(tǒng)安全的威脅日益增加。在網(wǎng)絡(luò)環(huán)境下，多模式化的傳播途徑和復(fù)雜的應(yīng)用環(huán)境使網(wǎng)絡(luò)蠕蟲的發(fā)生頻率增高，傳播變強，影響面更廣，造成的損失也更大。 12.4.2 網(wǎng)絡(luò)蠕蟲的組成與運行機制網(wǎng)絡(luò)蠕蟲主體功能模塊由四個模塊構(gòu)成：探測模塊、傳播模塊、蠕蟲引擎模塊和負(fù)載模塊，如圖12-9所示。(1) 探測模塊。完成對特定主機的脆弱性檢測，決定采用何種攻擊滲透方式。該模塊

39、利用獲得的安全漏洞建立傳播途徑。該模塊在攻擊方法上是開放的、可擴充的。(2) 傳播模塊。該模塊可以采用各種形式生成各種形態(tài)的蠕蟲副本，在不同主機間完成蠕蟲副本傳遞。例如，“Nimda”會生成多種文件格式和名稱的蠕蟲副本；“Worm.KillMSBlast”利用系統(tǒng)程序(例如TFTP)來完成推進模塊的功能等。 圖12-9 網(wǎng)絡(luò)蠕蟲組成模塊示意圖 (3) 蠕蟲引擎模塊。該模塊決定采用何種搜索算法對本地或者目標(biāo)網(wǎng)絡(luò)進行信息搜集，內(nèi)容包括本機系統(tǒng)信息、用戶信息、郵件列表、對本機的信任或授權(quán)的主機、本機所處網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、邊界路由信息等。這些信息可以單獨使用或被其他個體共享。 (4) 負(fù)載模塊。網(wǎng)絡(luò)蠕蟲

40、內(nèi)部的實現(xiàn)偽代碼如下：worm( ) worm engine( ) probe( )transport( )worm engine( ) install and initialize the worm( ); execute payload if any needs to be ( );choose the next host to probe( ); wait until desired time for the next probe( ); 網(wǎng)絡(luò)蠕蟲運行機制主要分為三個階段，如圖12-10所示。第一階段，已經(jīng)感染蠕蟲的主機在網(wǎng)絡(luò)上搜索易感目標(biāo)主機，這些易感機器具有蠕蟲代碼執(zhí)行條件，例如易感

41、機器有蠕蟲可利用的漏洞。網(wǎng)絡(luò)蠕蟲發(fā)現(xiàn)易感目標(biāo)取決于所選擇的傳播方法，好的傳播方法使網(wǎng)絡(luò)蠕蟲以最少的資源找到網(wǎng)上易傳染的主機，進而能在短時間內(nèi)擴大傳播區(qū)域。第二階段，已經(jīng)感染蠕蟲的主機把蠕蟲代碼傳送到易感目標(biāo)主機上。傳輸方式有多種形式，如電子郵件、共享文件、網(wǎng)頁瀏覽、緩沖區(qū)溢出程序、遠(yuǎn)程命令拷貝、文件傳輸(ftp或tftp)等。 圖12-10 網(wǎng)絡(luò)蠕蟲運行機制示意圖 第三階段，易感目標(biāo)主機執(zhí)行蠕蟲代碼，感染目標(biāo)主機系統(tǒng)。目標(biāo)主機感染后，又開始第一階段工作，尋找下一個易感目標(biāo)主機，重復(fù)二、三階段的工作，直至蠕蟲從主機系統(tǒng)被清除掉。 12.4.3 網(wǎng)絡(luò)蠕蟲常用技術(shù)1網(wǎng)絡(luò)蠕蟲掃描技術(shù) 1) 隨機掃描基

42、本原理是網(wǎng)絡(luò)蠕蟲在整個IP地址空間內(nèi)隨機抽取一個地址進行掃描，這樣網(wǎng)絡(luò)蠕蟲感染的下一個目標(biāo)是非確定性的?！癝lammer”蠕蟲的傳播方法就采用隨機掃描感染。 2) 順序掃描基本原理是網(wǎng)絡(luò)蠕蟲根據(jù)感染主機的地址信息，按照本地優(yōu)先原則，選擇它所在網(wǎng)絡(luò)內(nèi)的IP地址進行傳播。順序掃描又可稱為“子網(wǎng)掃描”。若蠕蟲掃描的目標(biāo)地址IP為A，則掃描的下一個地址IP為A1或者A1。一旦掃描到具有很多漏洞主機的網(wǎng)絡(luò)時就會達(dá)到很好的傳播效果。該策略可避免網(wǎng)絡(luò)蠕蟲掃描到未用地址空間。不足的地方是對同一臺主機可能重復(fù)掃描，引起網(wǎng)絡(luò)擁塞?！啊笔堑湫偷捻樞驋呙枞湎x。 3) 選擇性掃描基本原理是網(wǎng)絡(luò)蠕蟲在事先獲知一定信息的條

43、件下，有選擇地搜索下一個感染目標(biāo)主機。選擇性掃描又細(xì)分為以下幾種：(1) 選擇性隨機掃描：是指網(wǎng)絡(luò)蠕蟲按照一定信息搜索下一個感染目標(biāo)主機，將最有可能存在漏洞的主機地址集作為掃描的地址空間，以提高掃描效率。 (2) 基于目標(biāo)列表掃描：是指網(wǎng)絡(luò)蠕蟲在尋找受感染的目標(biāo)前，預(yù)先生成一份可能易傳染的目標(biāo)列表，然后對該列表進行攻擊嘗試和傳播。網(wǎng)絡(luò)蠕蟲采用目標(biāo)列表掃描實際上將初始的蠕蟲傳染源分布在不同的地址空間，以提高傳播速度。UC Berkeley的Nicholas C Weaver實現(xiàn)了一個基于目標(biāo)列表掃描的試驗性Warhol蠕蟲，理論推測該蠕蟲能在30分鐘內(nèi)感染整個互聯(lián)網(wǎng)。 (3) 基于路由的掃描：是

44、指網(wǎng)絡(luò)蠕蟲根據(jù)網(wǎng)絡(luò)中的路由信息，如BGP路由表信息，有選擇地掃描IP地址空間，以避免掃描無用的地址空間。采用隨機掃描的網(wǎng)絡(luò)蠕蟲會對未分配的地址空間進行探測，而這些地址大部分在互聯(lián)網(wǎng)上是無法路由的，因此會影響到蠕蟲的傳播速度。如果網(wǎng)絡(luò)蠕蟲能夠知道哪些IP地址是可路由的，則它就能夠更快、更有效地進行傳播，并能逃避一些對抗工具的檢測?；诼酚傻膾呙枥肂GP路由表公開的信息，減少蠕蟲掃描地址空間，提高了蠕蟲的傳播速度。理論計算路由掃描蠕蟲的感染率是采用隨機掃描蠕蟲感染率的倍?；诼酚傻膾呙璧牟蛔闶蔷W(wǎng)絡(luò)蠕蟲傳播時必須攜帶一個路由IP地址庫，蠕蟲代碼量大。另外一個不足是，在使用保留地址空間的內(nèi)部網(wǎng)絡(luò)中，

45、采用基于路由的掃描，網(wǎng)絡(luò)蠕蟲的傳播會受到限制。目前，基于路由的掃描的網(wǎng)絡(luò)蠕蟲還處于理論研究階段。 (4) 基于DNS掃描是指網(wǎng)絡(luò)蠕蟲從DNS服務(wù)器獲取IP地址來建立目標(biāo)地址庫。該掃描策略的優(yōu)點在于獲得的IP地址塊具有針對性和可用性強的特點。(5) 分而治之的掃描：是網(wǎng)絡(luò)蠕蟲之間相互協(xié)作，快速搜索易感染主機的一種策略，網(wǎng)絡(luò)蠕蟲發(fā)送地址庫的一部分給每臺被感染的主機，然后每臺主機再去掃描它所獲得的地址。主機A感染了主機B后，主機A將它自身攜帶的地址分出一部分給主機B，然后主機B開始掃描這一部分地址。分而治之的掃描策略通過將掃描空間分成若干個子空間，各子空間由已感染蠕蟲的主機負(fù)責(zé)掃描，這樣就可能提高網(wǎng)

46、絡(luò)蠕蟲的掃描速度，同時避免重復(fù)掃描。分而治之的掃描策略的不足是存在“壞點”問題。表12-2 網(wǎng)絡(luò)蠕蟲傳播策略統(tǒng)計分析表 2網(wǎng)絡(luò)蠕蟲漏洞利用技術(shù)網(wǎng)絡(luò)蠕蟲發(fā)現(xiàn)易感目標(biāo)主機后，利用易感目標(biāo)主機所存在的漏洞，將蠕蟲程序傳播給易感目標(biāo)主機。常見的網(wǎng)絡(luò)蠕蟲漏洞利用技術(shù)主要有：* 主機之間信任關(guān)系漏洞。網(wǎng)絡(luò)蠕蟲利用系統(tǒng)中的信任關(guān)系，將蠕蟲程序從一臺機器復(fù)制到另一臺機器。1988年的“小莫里斯”蠕蟲就是利用了UNIX系統(tǒng)中的信任關(guān)系脆弱性來傳播的。* 目標(biāo)主機的程序漏洞。網(wǎng)絡(luò)蠕蟲利用它構(gòu)造緩沖區(qū)溢出程序，進而遠(yuǎn)程控制易感目標(biāo)主機，然后傳播蠕蟲程序。 * 目標(biāo)主機的默認(rèn)用戶和口令漏洞。網(wǎng)絡(luò)蠕蟲直接使用口令進入目

47、標(biāo)系統(tǒng)，直接上傳蠕蟲程序。* 目標(biāo)主機的用戶安全意識薄弱漏洞。網(wǎng)絡(luò)蠕蟲通過偽裝成合法的文件，引誘用戶點擊執(zhí)行，直接觸發(fā)蠕蟲程序執(zhí)行。常見的例子是電子郵件蠕蟲。* 目標(biāo)主機的客戶端程序配置漏洞，如自動執(zhí)行網(wǎng)上下載程序。網(wǎng)絡(luò)蠕蟲利用這個漏洞，直接執(zhí)行蠕蟲程序。 12.4.4 網(wǎng)絡(luò)蠕蟲防范技術(shù) 1網(wǎng)絡(luò)蠕蟲監(jiān)測與預(yù)警技術(shù)網(wǎng)絡(luò)蠕蟲監(jiān)測與預(yù)警技術(shù)的基本原理是在網(wǎng)絡(luò)中安裝探測器，這些探測器從網(wǎng)絡(luò)環(huán)境中收集與蠕蟲相關(guān)的信息，然后將這些信息匯總分析，以發(fā)現(xiàn)早期的網(wǎng)絡(luò)蠕蟲的行為。當(dāng)前，探測器收集的與蠕蟲相關(guān)的信息類型有以下幾類： * 本地網(wǎng)絡(luò)通信連接數(shù)；* ICMP協(xié)議的路由錯誤包；* 網(wǎng)絡(luò)當(dāng)前的通信流量；* 網(wǎng)

48、絡(luò)服務(wù)分布；* 域名服務(wù)；* 端口活動；* CPU利用率；* 內(nèi)存利用率。 2網(wǎng)絡(luò)蠕蟲傳播抑制技術(shù)網(wǎng)絡(luò)蠕蟲傳播抑制技術(shù)的基本原理是利用網(wǎng)絡(luò)蠕蟲的傳播特點，來構(gòu)造一個限制網(wǎng)絡(luò)蠕蟲傳播的環(huán)境。現(xiàn)在，已有的網(wǎng)絡(luò)蠕蟲傳播抑制技術(shù)主要基于蜜罐技術(shù)。其技術(shù)方法是在網(wǎng)絡(luò)系統(tǒng)設(shè)置虛擬機器或虛假的漏洞，這些虛假的機器和漏洞能夠欺騙網(wǎng)絡(luò)蠕蟲，導(dǎo)致網(wǎng)絡(luò)蠕蟲的傳播能力下降。例如，用LaBrea對抗蠕蟲工具，能夠通過長時間阻斷與被感染機器的TCP連接來降低網(wǎng)絡(luò)蠕蟲的傳播速度。 3模仿生物疾病防范網(wǎng)絡(luò)蠕蟲技術(shù)由于網(wǎng)絡(luò)蠕蟲具有生物病毒特征，因此美國安全專家提議建立CCDC(the Cyber Centers for Disease Control)來對抗網(wǎng)絡(luò)蠕蟲的攻擊。防范網(wǎng)絡(luò)蠕蟲的CCDC體系有以下功能： 鑒別蠕蟲的爆發(fā)期； 蠕蟲樣本特征分析； 蠕蟲傳染對抗； 蠕蟲新的傳染途徑預(yù)