第七章-惡意代碼與防治計(jì)算機(jī)網(wǎng)絡(luò)安全教程

第7章惡意代碼分析與防治6內(nèi)容提要◎惡意代碼的發(fā)展史和惡意代碼長(zhǎng)期存在的原因◎惡意代碼實(shí)現(xiàn)機(jī)理、定義以及攻擊方法◎惡意代碼生存技術(shù)、隱藏技術(shù)，介紹網(wǎng)絡(luò)蠕蟲(chóng)的定義以及結(jié)構(gòu)◎惡意代碼防范方法：基于主機(jī)的檢測(cè)方法和基于網(wǎng)絡(luò)的檢測(cè)方法7.1惡意代碼概述代碼是指計(jì)算機(jī)程序代碼，可以被執(zhí)行完成特定功能。任何食物事物都有正反兩面，人類(lèi)發(fā)明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計(jì)算機(jī)程序也不例外，軟件工程師們編寫(xiě)了大量的有用的軟件（操作系統(tǒng)，應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等）的同時(shí)，黑客們?cè)诰帉?xiě)編寫(xiě)擾亂社會(huì)和他人的計(jì)算機(jī)程序，這些代碼統(tǒng)稱(chēng)為惡意代碼（MaliciousCodes）。7.1.1研究惡意代碼的必要性在Internet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。惡意代碼主要包括計(jì)算機(jī)病毒（Virus）、蠕蟲(chóng)（Worm）、木馬程序（TrojanHorse）、后門(mén)程序（Backdoor）、邏輯炸彈（LogicBomb）等等。與此同時(shí)，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問(wèn)題，不僅使企業(yè)及用戶(hù)蒙受了巨大經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。惡意代碼問(wèn)題，不僅使企業(yè)和用戶(hù)蒙受了巨大的經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。目前國(guó)際上一些發(fā)達(dá)國(guó)家(如美國(guó)，德國(guó)，日本等國(guó))均已在該領(lǐng)域投入大量資金和人力進(jìn)行了長(zhǎng)期的研究，并取得了一定的技術(shù)成果。據(jù)報(bào)道，1991年的海灣戰(zhàn)爭(zhēng)，美國(guó)在伊拉克從第三方國(guó)家購(gòu)買(mǎi)的打印機(jī)里植入了可遠(yuǎn)程控制的惡意代碼，在戰(zhàn)爭(zhēng)打響前，使伊拉克整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)管理的雷達(dá)預(yù)警系統(tǒng)全部癱瘓，這是美國(guó)第一次公開(kāi)在實(shí)戰(zhàn)中使用惡意代碼攻擊技術(shù)取得的重大軍事利益。7.1.1研究惡意代碼的必要性惡意代碼攻擊成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)最重要的入侵手段之一。惡意代碼問(wèn)題無(wú)論從政治上、經(jīng)濟(jì)上，還是軍事上，都成為信息安全面臨的首要問(wèn)題。惡意代碼的機(jī)理研究成為解決惡意代碼問(wèn)題的必需途徑，只有掌握當(dāng)前惡意代碼的實(shí)現(xiàn)機(jī)理，加強(qiáng)對(duì)未來(lái)惡意代碼趨勢(shì)的研究，才能在惡意代碼問(wèn)題上取得先決之機(jī)。一個(gè)典型的例子是在電影《獨(dú)立日》中，美國(guó)空軍對(duì)外星飛船進(jìn)行核轟炸沒(méi)有效果，最后給敵人飛船系統(tǒng)注入惡意代碼，使敵人飛船的保護(hù)層失效，從而拯救了地球，從中可以看出惡意代碼研究的重要性。7.1.2惡意代碼的發(fā)展史惡意代碼經(jīng)過(guò)20多年的發(fā)展，破壞性、種類(lèi)和感染性都得到增強(qiáng)。隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高，網(wǎng)絡(luò)傳播的惡意代碼對(duì)人們?nèi)粘Ｉ钣绊懺絹?lái)越大。1988年11月泛濫的Morris蠕蟲(chóng)，頃刻之間使得6000多臺(tái)計(jì)算機(jī)（占當(dāng)時(shí)Internet上計(jì)算機(jī)總數(shù)的10%多）癱瘓，造成嚴(yán)重的后果，并因此引起世界范圍內(nèi)關(guān)注。1998年CIH病毒造成數(shù)十萬(wàn)臺(tái)計(jì)算機(jī)受到破壞。1999年Happy99、Melissa病毒大爆發(fā)，Melissa病毒通過(guò)E-mail附件快速傳播而使E-mail服務(wù)器和網(wǎng)絡(luò)負(fù)載過(guò)重，它還將敏感的文檔在用戶(hù)不知情的情況下按地址簿中的地址發(fā)出。2000年5月爆發(fā)的“愛(ài)蟲(chóng)”病毒及其以后出現(xiàn)的50多個(gè)變種病毒，是近年來(lái)讓計(jì)算機(jī)信息界付出極大代價(jià)的病毒，僅一年時(shí)間共感染了4000多萬(wàn)臺(tái)計(jì)算機(jī)，造成大約87億美元的經(jīng)濟(jì)損失。7.1.2惡意代碼的發(fā)展史2001年，國(guó)信安辦與公安部共同主辦了我國(guó)首次計(jì)算機(jī)病毒疫情網(wǎng)上調(diào)查工作。結(jié)果感染過(guò)計(jì)算機(jī)病毒的用戶(hù)高達(dá)73％，其中，感染三次以上的用戶(hù)又占59％多，網(wǎng)絡(luò)安全存在大量隱患。2001年8月，“紅色代碼”蠕蟲(chóng)利用微軟Web服務(wù)器IIS4.0或5.0中Index服務(wù)的安全漏洞，攻破目標(biāo)機(jī)器，并通過(guò)自動(dòng)掃描方式傳播蠕蟲(chóng)，在互聯(lián)網(wǎng)上大規(guī)模泛濫。2003年，SLammer蠕蟲(chóng)在10分鐘內(nèi)導(dǎo)致互聯(lián)網(wǎng)90％脆弱主機(jī)受到感染。同年8月，“沖擊波”蠕蟲(chóng)爆發(fā)，8天內(nèi)導(dǎo)致全球電腦用戶(hù)損失高達(dá)20億美元之多。2004年到2006年，振蕩波蠕蟲(chóng)、愛(ài)情后門(mén)、波特后門(mén)等惡意代碼利用電子郵件和系統(tǒng)漏洞對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行瘋狂傳播，給國(guó)家和社會(huì)造成了巨大的經(jīng)濟(jì)損失。惡意代碼的發(fā)展目前，惡意代碼問(wèn)題成為信息安全需要解決的，迫在眉睫的、刻不容緩的安全問(wèn)題。圖7-1顯示了過(guò)去20多年主要惡意代碼事件。惡意代碼從80年代發(fā)展至今體現(xiàn)出來(lái)的3個(gè)主要特征①惡意代碼日趨復(fù)雜和完善：從非常簡(jiǎn)單的，感染游戲的AppleII病毒發(fā)展到復(fù)雜的操作系統(tǒng)內(nèi)核病毒和今天主動(dòng)式傳播和破壞性極強(qiáng)的蠕蟲(chóng)。惡意代碼在快速傳播機(jī)制和生存性技術(shù)研究取得了很大的成功。②惡意代碼編制方法及發(fā)布速度更快：惡意代碼剛出現(xiàn)時(shí)發(fā)展較慢，但是隨著網(wǎng)絡(luò)飛速發(fā)展，Internet成為惡意代碼發(fā)布并快速蔓延的平臺(tái)。特別是過(guò)去5年，不斷涌現(xiàn)的惡意代碼，證實(shí)了這一點(diǎn)。③從病毒到電子郵件蠕蟲(chóng)，再到利用系統(tǒng)漏洞主動(dòng)攻擊的惡意代碼：惡意代碼的早期，大多數(shù)攻擊行為是由病毒和受感染的可執(zhí)行文件引起的。然而，在過(guò)去5年，利用系統(tǒng)和網(wǎng)絡(luò)的脆弱性進(jìn)行傳播和感染開(kāi)創(chuàng)了惡意代碼的新紀(jì)元。7.1.3惡意代碼長(zhǎng)期存在的原因計(jì)算機(jī)技術(shù)飛速發(fā)展的同時(shí)并未使系統(tǒng)的安全性得到增強(qiáng)。技術(shù)進(jìn)步帶來(lái)的安全增強(qiáng)能力最多只能彌補(bǔ)由應(yīng)用環(huán)境的復(fù)雜性帶來(lái)的安全威脅的增長(zhǎng)程度。不但如此，計(jì)算機(jī)新技術(shù)的出現(xiàn)還很有可能使計(jì)算機(jī)系統(tǒng)的安全變得比以往更加脆弱。AT&T實(shí)驗(yàn)室的S.Bellovin曾經(jīng)對(duì)美國(guó)CERT（ComputerEmergencyResponseTeam）提供的安全報(bào)告進(jìn)行過(guò)分析，分析結(jié)果表明，大約50%的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題是由軟件工程中產(chǎn)生的安全缺陷引起的，其中，很多問(wèn)題的根源都來(lái)自于操作系統(tǒng)的安全脆弱性。互聯(lián)網(wǎng)的飛速發(fā)展為惡意代碼的廣泛傳播提供了有利的環(huán)境?；ヂ?lián)網(wǎng)具有開(kāi)放性的特點(diǎn)，缺乏中心控制和全局視圖能力，無(wú)法保證網(wǎng)絡(luò)主機(jī)都處于統(tǒng)一的保護(hù)之中。計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)存在設(shè)計(jì)上的缺陷，這些缺陷會(huì)導(dǎo)致安全隱患。7.2碼碼惡惡意意代代碼碼實(shí)實(shí)現(xiàn)現(xiàn)機(jī)機(jī)理理早期期惡惡意意代代碼碼的的主主要要形形式式是是計(jì)計(jì)算算機(jī)機(jī)病病毒毒。。80年代代，，Cohen設(shè)計(jì)計(jì)出出一一種種在在運(yùn)運(yùn)行行過(guò)過(guò)程程中中可可以以復(fù)復(fù)制制自自身身的的破破壞壞性性程程序序，，Adleman將它它命命名名為為計(jì)計(jì)算算機(jī)機(jī)病病毒毒，，它它是是早早期期惡惡意意代代碼碼的的主主要要內(nèi)內(nèi)容容。。隨隨后后，，Adleman把病病毒毒定定義義為為一一個(gè)個(gè)具具有有相相同同性性質(zhì)質(zhì)的的程程序序集集合合，，只只要要程程序序具具有有破破壞壞、、傳傳染染或或模模仿仿的的特特點(diǎn)點(diǎn)，，就就可可認(rèn)認(rèn)為為是是計(jì)計(jì)算算機(jī)機(jī)病病毒毒。。這這種種定定義義有有將將病病毒毒內(nèi)內(nèi)涵涵擴(kuò)擴(kuò)大大化化的的傾傾向向，，將將任任何何具具有有破破壞壞作作用用的的程程序序都都認(rèn)認(rèn)為為是是病病毒毒，，掩掩蓋蓋了了病病毒毒潛潛伏伏、、傳傳染染等等其其它它重重要要特特征征。。7.2.1惡惡意意代代碼碼的的定定義義90年代代末末，，惡惡意意代代碼碼的的定定義義隨隨著著計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)技技術(shù)術(shù)的的發(fā)發(fā)展展逐逐漸漸豐豐富富，，Grimes將惡惡意意代代碼碼定定義義為為，，經(jīng)經(jīng)過(guò)過(guò)存存儲(chǔ)儲(chǔ)介介質(zhì)質(zhì)和和網(wǎng)網(wǎng)絡(luò)絡(luò)進(jìn)進(jìn)行行傳傳播播，，從從一一臺(tái)臺(tái)計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)到到另另外外一一臺(tái)臺(tái)計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)，，未未經(jīng)經(jīng)授授權(quán)權(quán)認(rèn)認(rèn)證證破破壞壞計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)完完整整性性的的程程序序或或代代碼碼。。它它包包括括計(jì)計(jì)算算機(jī)機(jī)病病毒毒(ComputerVirus)、蠕蠕蟲(chóng)蟲(chóng)(Worms)、特特洛洛伊伊木木馬馬(TrojanHorse)、邏邏輯輯炸炸彈彈(LogicBombs)、病病菌菌(Bacteria)、用用戶(hù)戶(hù)級(jí)級(jí)RootKit、核核心心級(jí)級(jí)RootKit、腳腳本本惡惡意意代代碼碼(MaliciousScripts)和惡惡意意ActiveX控件件等等。。由由此此定定義義，，惡惡意意代代碼碼兩兩個(gè)個(gè)顯顯著著的的特特點(diǎn)點(diǎn)是是：：非非授授權(quán)權(quán)性性和和破破壞壞性性。。惡意意代代碼碼的的相相關(guān)關(guān)定定義義惡意代碼類(lèi)型定義特點(diǎn)計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。潛伏、傳染和破壞計(jì)算機(jī)蠕蟲(chóng)指通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序掃描、攻擊和擴(kuò)散特洛伊木馬指一種與遠(yuǎn)程計(jì)算機(jī)建立連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過(guò)網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計(jì)算機(jī)系統(tǒng)程序的，通過(guò)特殊的數(shù)據(jù)或時(shí)間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴(lài)于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務(wù)用戶(hù)級(jí)RootKit指通過(guò)替代或者修改被系統(tǒng)管理員或普通用戶(hù)執(zhí)行的程序進(jìn)入系統(tǒng)，從而實(shí)現(xiàn)隱藏和創(chuàng)建后門(mén)的程序。隱蔽，潛伏核心級(jí)RootKit指嵌入操作系統(tǒng)內(nèi)核進(jìn)行隱藏和創(chuàng)建后門(mén)的程序隱蔽，潛伏7.2.2惡惡意意代代碼碼攻攻擊擊機(jī)機(jī)制制惡意意代代碼碼的的行行為為表表現(xiàn)現(xiàn)各各異異，，破破壞壞程程度度千千差差萬(wàn)萬(wàn)別別，，但但基基本本作作用用機(jī)機(jī)制制大大體體相相同同，，其其整整個(gè)個(gè)作作用用過(guò)過(guò)程程分分為為6個(gè)部部分分：：①侵侵入入系系統(tǒng)統(tǒng)。。侵侵入入系系統(tǒng)統(tǒng)是是惡惡意意代代碼碼實(shí)實(shí)現(xiàn)現(xiàn)其其惡惡意意目目的的的的必必要要條條件件。。惡惡意意代代碼碼入入侵侵的的途途徑徑很很多多，，如如：：從從互互聯(lián)聯(lián)網(wǎng)網(wǎng)下下載載的的程程序序本本身身就就可可能能含含有有惡惡意意代代碼碼；；接接收收已已經(jīng)經(jīng)感感染染惡惡意意代代碼碼的的電電子子郵郵件件；；從從光光盤(pán)盤(pán)或或軟軟盤(pán)盤(pán)往往系系統(tǒng)統(tǒng)上上安安裝裝軟軟件件；；黑黑客客或或者者攻攻擊擊者者故故意意將將惡惡意意代代碼碼植植入入系系統(tǒng)統(tǒng)等等。。②維維持持或或提提升升現(xiàn)現(xiàn)有有特特權(quán)權(quán)。。惡惡意意代代碼碼的的傳傳播播與與破破壞壞必必須須盜盜用用用用戶(hù)戶(hù)或或者者進(jìn)進(jìn)程程的的合合法法權(quán)權(quán)限限才才能能完完成成。。③隱蔽策略。。為了不讓系系統(tǒng)發(fā)現(xiàn)惡意意代碼已經(jīng)侵侵入系統(tǒng)，惡惡意代碼可能能會(huì)改名、刪刪除源文件或或者修改系統(tǒng)統(tǒng)的安全策略略來(lái)隱藏自己己。④潛伏。惡意意代碼侵入系系統(tǒng)后，等待待一定的條件件，并具有足足夠的權(quán)限時(shí)時(shí)，就發(fā)作并并進(jìn)行破壞活活動(dòng)。⑤破壞。惡意意代碼的本質(zhì)質(zhì)具有破壞性性，其目的是是造成信息丟丟失、泄密，，破壞系統(tǒng)完完整性等。⑥重復(fù)①至⑤⑤對(duì)新的目標(biāo)標(biāo)實(shí)施攻擊過(guò)過(guò)程。惡意代碼的攻攻擊模型7.3惡意意代碼實(shí)現(xiàn)關(guān)關(guān)鍵技術(shù)一段好的惡意意代碼，首先先必須具有良良好隱蔽性，，生存性，不不能輕松被軟軟件或者用戶(hù)戶(hù)察覺(jué)。然后后，必須具有有良好的攻擊擊性。7.3.1惡惡意代碼生生存技術(shù)生存技術(shù)主要要包括4方面：反跟蹤技術(shù)加密技術(shù)模糊變換技術(shù)術(shù)自動(dòng)生產(chǎn)技術(shù)術(shù)。反跟蹤技術(shù)可可以減少被發(fā)發(fā)現(xiàn)的可能性性，加密技術(shù)術(shù)是惡意代碼碼自身保護(hù)的的重要機(jī)制。。1.反跟蹤蹤技術(shù)（1）禁止跟蹤中中斷。針對(duì)調(diào)調(diào)試分析工具具運(yùn)行系統(tǒng)的的單步中斷和和斷點(diǎn)中斷服服務(wù)程序，惡惡意代碼通過(guò)過(guò)修改中斷服服務(wù)程序的入入口地址實(shí)現(xiàn)現(xiàn)其反跟蹤目目的?！?575”計(jì)算機(jī)病毒采采用該方法將將堆棧指針指指向處于中斷斷向量表中的的INT0至INT3區(qū)域，阻止調(diào)調(diào)試工具對(duì)其其代碼進(jìn)行跟跟蹤。（2）封鎖鍵盤(pán)輸輸入和屏幕顯顯示，破壞各各種跟蹤調(diào)試試工具運(yùn)行的的必需環(huán)境；；（3）檢測(cè)跟蹤法法。檢測(cè)跟蹤蹤調(diào)試時(shí)和正正常執(zhí)行時(shí)的的運(yùn)行環(huán)境、、中斷入口和和時(shí)間的差異異，根據(jù)這些些差異采取一一定的措施，，實(shí)現(xiàn)其反跟跟蹤目的。例例如，通過(guò)操操作系統(tǒng)的API函數(shù)試圖打開(kāi)開(kāi)調(diào)試器的驅(qū)驅(qū)動(dòng)程序句柄柄，檢測(cè)調(diào)試試器是否激活活確定代碼是是否繼續(xù)運(yùn)行行。（4）其它反跟蹤蹤技術(shù)。如指指令流隊(duì)列法法和逆指令流流法等。反靜態(tài)分析技技術(shù)主要包括括兩方面內(nèi)容容（1）對(duì)程序代碼碼分塊加密執(zhí)執(zhí)行。為了防防止程序代碼碼通過(guò)反匯編編進(jìn)行靜態(tài)分分析，程序代代碼以分塊的的密文形式裝裝入內(nèi)存，在在執(zhí)行時(shí)由解解密程序進(jìn)行行譯碼，某一一段代碼執(zhí)行行完畢后立即即清除，保證證任何時(shí)刻分分析者不可能能從內(nèi)存中得得到完整的執(zhí)執(zhí)行代碼；（2）偽指令法(JunkCode)。偽指令法系系指在指令流流中插入“廢廢指令”，使使靜態(tài)反匯編編無(wú)法得到全全部正常的指指令，不能有有效地進(jìn)行靜靜態(tài)分析。例例如，“Apparition””是一種基于編編譯器變形的的Win32平臺(tái)的病毒，，編譯器每次次編譯出新的的病毒體可執(zhí)執(zhí)行代碼時(shí)都都要插入大量量的偽指令，，既達(dá)到了變變形的效果，，也實(shí)現(xiàn)了反反跟蹤的目的的。此外，偽偽指令技術(shù)還還廣泛應(yīng)用于于宏病毒與腳腳本惡意代碼碼之中。2.加密技技術(shù)加密技術(shù)是惡惡意代碼自我我保護(hù)的一種種手段，加密密技術(shù)和反跟跟蹤技術(shù)的配配合使用，使使得分析者無(wú)無(wú)法正常調(diào)試試和閱讀惡意意代碼，不知知道惡意代碼碼的工作原理理，也無(wú)法抽抽取特征串。。從加密的內(nèi)內(nèi)容上劃分，，加密手段分分為信息加密密、數(shù)據(jù)加密密和程序代碼碼加密三種。。大多數(shù)惡意代代碼對(duì)程序體體自身加密，，另有少數(shù)惡惡意代碼對(duì)被被感染的文件件加密。例如如，“Cascade”是第一例采用用加密技術(shù)的的DOS環(huán)境下的惡意意代碼，它有有穩(wěn)定的解密密器，可以解解密內(nèi)存中加加密的程序體體?！癕ad”和“Zombie”是“Cascade”加密技術(shù)的延延伸，使惡意意代碼加密技技術(shù)走向32位的操作系統(tǒng)統(tǒng)平臺(tái)。此外外，“中國(guó)炸炸彈”(Chinesebomb)和“幽靈病毒毒”也是這一一類(lèi)惡意代碼碼。3.模糊變變換技術(shù)（1）指令替替換技術(shù)。（2）指令壓壓縮技術(shù)。（3）指令擴(kuò)擴(kuò)展技術(shù)。（4）偽指令令技術(shù)。（5）重編譯譯技術(shù)。4.自動(dòng)生生產(chǎn)技術(shù)惡意代碼自動(dòng)動(dòng)生產(chǎn)技術(shù)是是針對(duì)人工分分析技術(shù)的。?！坝?jì)算機(jī)病病毒生成器””，使對(duì)計(jì)算算機(jī)病毒一無(wú)無(wú)所知的用戶(hù)戶(hù)，也能組合合出算法不同同、功能各異異的計(jì)算機(jī)病病毒?！岸鄳B(tài)態(tài)性發(fā)生器””可將普通病病毒編譯成復(fù)復(fù)雜多變的多多態(tài)性病毒。。多態(tài)變換引擎擎可以使程序序代碼本身發(fā)發(fā)生變化，并并保持原有功功能。保加利利亞的“DarkAvenger”是較為著名的的一個(gè)例子，，這個(gè)變換引引擎每產(chǎn)生一一個(gè)惡意代碼碼，其程序體體都會(huì)發(fā)生變變化，反惡意意代碼軟件如如果采用基于于特征的掃描描技術(shù)，根本本無(wú)法檢測(cè)和和清除這種惡惡意代碼。7.3.2惡惡意代碼攻攻擊技術(shù)常見(jiàn)的攻擊技技術(shù)包括：進(jìn)進(jìn)程注入技術(shù)術(shù)、三線(xiàn)程技技術(shù)、端口復(fù)復(fù)用技術(shù)、超超級(jí)管理技術(shù)術(shù)、端口反向向連接技術(shù)和和緩沖區(qū)溢出出攻擊技術(shù)。。1.進(jìn)程注注入技術(shù)當(dāng)前操作系統(tǒng)統(tǒng)中都有系統(tǒng)統(tǒng)服務(wù)和網(wǎng)絡(luò)絡(luò)服務(wù)，它們們都在系統(tǒng)啟啟動(dòng)時(shí)自動(dòng)加加載。進(jìn)程注注入技術(shù)就是是將這些與服服務(wù)相關(guān)的可可執(zhí)行代碼作作為載體，惡惡意代碼程序序?qū)⒆陨砬度肴氲竭@些可執(zhí)執(zhí)行代碼之中中，實(shí)現(xiàn)自身身隱藏和啟動(dòng)動(dòng)的目的。這種形式的惡惡意代碼只須須安裝一次，，以后就會(huì)被被自動(dòng)加載到到可執(zhí)行文件件的進(jìn)程中，，并且會(huì)被多多個(gè)服務(wù)加載載。只有系統(tǒng)統(tǒng)關(guān)閉時(shí)，服服務(wù)才會(huì)結(jié)束束，所以惡意意代碼程序在在系統(tǒng)運(yùn)行時(shí)時(shí)始終保持激激活狀態(tài)。比比如惡意代碼碼“WinEggDropShell””可以注入Windows下的大部分服服務(wù)程序。2.三線(xiàn)程程技術(shù)在Windows操作系統(tǒng)中引引入了線(xiàn)程的的概念，一個(gè)個(gè)進(jìn)程可以同同時(shí)擁有多個(gè)個(gè)并發(fā)線(xiàn)程。。三線(xiàn)程技術(shù)術(shù)就是指一個(gè)個(gè)惡意代碼進(jìn)進(jìn)程同時(shí)開(kāi)啟啟了三個(gè)線(xiàn)程程，其中一個(gè)個(gè)為主線(xiàn)程，，負(fù)責(zé)遠(yuǎn)程控控制的工作。。另外兩個(gè)輔輔助線(xiàn)程是監(jiān)監(jiān)視線(xiàn)程和守守護(hù)線(xiàn)程，監(jiān)監(jiān)視線(xiàn)程負(fù)責(zé)責(zé)檢查惡意代代碼程序是否否被刪除或被被停止自啟動(dòng)動(dòng)。守護(hù)線(xiàn)程注入入其它可執(zhí)行行文件內(nèi)，與與惡意代碼進(jìn)進(jìn)程同步，一一旦進(jìn)程被停停止，它就會(huì)會(huì)重新啟動(dòng)該該進(jìn)程，并向向主線(xiàn)程提供供必要的數(shù)據(jù)據(jù)，這樣就能能保證惡意代代碼運(yùn)行的可可持續(xù)性。例例如，“中國(guó)國(guó)黑客”等就就是采用這種種技術(shù)的惡意意代碼。3.端口復(fù)復(fù)用技術(shù)端口復(fù)用技術(shù)術(shù)，系指重復(fù)復(fù)利用系統(tǒng)網(wǎng)網(wǎng)絡(luò)打開(kāi)的端端口（如25、80、135和139等常用端端口）傳送數(shù)數(shù)據(jù)，這樣既既可以欺騙防防火墻，又可可以少開(kāi)新端端口。端口復(fù)復(fù)用是在保證證端口默認(rèn)服服務(wù)正常工作作的條件下復(fù)復(fù)用，具有很很強(qiáng)的欺騙性性。例如，特特洛伊木馬““Executor”利利用80端端口傳遞控制制信息和數(shù)據(jù)據(jù)，實(shí)現(xiàn)其遠(yuǎn)遠(yuǎn)程控制的目目的。4.超級(jí)管管理技術(shù)一些惡意代碼碼還具有攻擊擊反惡意代碼碼軟件的能力力。為了對(duì)抗抗反惡意代碼碼軟件，惡意意代碼采用超超級(jí)管理技術(shù)術(shù)對(duì)反惡意代代碼軟件系統(tǒng)統(tǒng)進(jìn)行拒絕服服務(wù)攻擊，使使反惡意代碼碼軟件無(wú)法正正常運(yùn)行。例例如，“廣外外女生”是一一個(gè)國(guó)產(chǎn)的特特洛伊木馬，，它采用超級(jí)級(jí)管理技術(shù)對(duì)對(duì)“金山毒霸霸”和“天網(wǎng)網(wǎng)防火墻”進(jìn)進(jìn)行拒絕服務(wù)務(wù)攻擊。5.端口反反向連接技術(shù)術(shù)防火墻對(duì)于外外部網(wǎng)絡(luò)進(jìn)入入內(nèi)部網(wǎng)絡(luò)的的數(shù)據(jù)流有嚴(yán)嚴(yán)格的訪問(wèn)控控制策略，但但對(duì)于從內(nèi)網(wǎng)網(wǎng)到外網(wǎng)的數(shù)數(shù)據(jù)卻疏于防防范。端口反反向連接技術(shù)術(shù)，系指令?lèi)簮阂獯a攻擊擊的服務(wù)端（（被控制端））主動(dòng)連接客客戶(hù)端（控制制端）。國(guó)外的“Boinet”是最先實(shí)現(xiàn)這這項(xiàng)技術(shù)的木木馬程序，它它可以通過(guò)ICO、IRC、HTTP和反向主動(dòng)連連接這4種方式聯(lián)系客客戶(hù)端。國(guó)內(nèi)內(nèi)最早實(shí)現(xiàn)端端口反向連接接技術(shù)的惡意意代碼是“網(wǎng)網(wǎng)絡(luò)神偷”。?！盎银澴印薄眲t是這項(xiàng)技技術(shù)的集大成成者，它內(nèi)置置FTP、域名、服務(wù)務(wù)端主動(dòng)連接接這3種服務(wù)端在線(xiàn)線(xiàn)通知功能。。6.緩沖區(qū)區(qū)溢出攻擊技技術(shù)緩沖區(qū)溢出漏漏洞攻擊占遠(yuǎn)遠(yuǎn)程網(wǎng)絡(luò)攻擊擊的80％，這種攻擊擊可以使一個(gè)個(gè)匿名的Internet用戶(hù)有機(jī)會(huì)獲獲得一臺(tái)主機(jī)機(jī)的部分或全全部的控制權(quán)權(quán)，代表了一一類(lèi)嚴(yán)重的安安全威脅。惡惡意代碼利用用系統(tǒng)和網(wǎng)絡(luò)絡(luò)服務(wù)的安全全漏洞植入并并且執(zhí)行攻擊擊代碼，攻擊擊代碼以一定定的權(quán)限運(yùn)行行有緩沖區(qū)溢溢出漏洞的程程序，從而獲獲得被攻擊主主機(jī)的控制權(quán)權(quán)。緩沖區(qū)溢出攻攻擊成為惡意意代碼從被動(dòng)動(dòng)式傳播轉(zhuǎn)為為主動(dòng)式傳播播的主要途徑徑。例如，““紅色代碼””利用IISServer上IndexingService的緩沖區(qū)溢出出漏洞完成攻攻擊、傳播和和破壞等惡意意目的?！澳崮崮愤_(dá)蠕蟲(chóng)””利用IIS4.0/5.0DirectoryTraversal的弱點(diǎn)，以及及紅色代碼II所留下的后門(mén)門(mén)，完成其傳傳播過(guò)程。7.3.3惡惡意代碼的的隱蔽技術(shù)隱藏通常包括括本地隱藏和和通信隱藏，，其中本地隱隱藏主要有文文件隱藏、進(jìn)進(jìn)程隱藏、網(wǎng)網(wǎng)絡(luò)連接隱藏藏、內(nèi)核模塊塊隱藏、編譯譯器隱藏等。。網(wǎng)絡(luò)隱藏主主要包括通信信內(nèi)容隱藏和和傳輸通道隱隱藏。1.本地隱隱藏本地隱蔽是指指為了防止本本地系統(tǒng)管理理人員覺(jué)察而而采取的隱蔽蔽手段。本地地系統(tǒng)管理人人員通常使用用“查看進(jìn)程程列表”，““查看目錄””，“查看內(nèi)內(nèi)核模塊”，，“查看系統(tǒng)統(tǒng)網(wǎng)絡(luò)連接狀狀態(tài)”等管理理命令來(lái)檢測(cè)測(cè)系統(tǒng)是否被被植入了惡意意代碼。隱蔽手段隱蔽手段主要要有三類(lèi)：一一類(lèi)方法是將將惡意代碼隱隱蔽（附著、、捆綁或替換換）在合法程程序中，可以以避過(guò)簡(jiǎn)單管管理命令的檢檢查；另一類(lèi)類(lèi)方法是如果果惡意代碼能能夠修改或替替換相應(yīng)的管管理命令，也也就是把相應(yīng)應(yīng)管理命令?lèi)簮阂獯a化，，使相應(yīng)的輸輸出信息經(jīng)過(guò)過(guò)處理以后再再顯示給用戶(hù)戶(hù)，就可以很很容易地達(dá)到到蒙騙管理人人員，隱蔽惡惡意代碼自身身的目的；還還有一類(lèi)方法法是分析管理理命令的檢查查執(zhí)行機(jī)制，，利用管理命命令本身的弱弱點(diǎn)巧妙地避避過(guò)管理命令令，可以達(dá)到到既不修改管管理命令，又又達(dá)到隱蔽的的目的。本地隱藏包括括5個(gè)方面（1）文件隱隱蔽。（2）進(jìn)程隱隱蔽。（3）網(wǎng)絡(luò)連連接隱蔽。（4）編譯器器隱蔽。（5）RootKit隱隱蔽。2.網(wǎng)絡(luò)隱隱蔽現(xiàn)在計(jì)算機(jī)用用戶(hù)的安全意意識(shí)較以前有有了很大提高高。在網(wǎng)絡(luò)中中，普遍采用用了防火墻、、入侵檢測(cè)和和漏洞掃描等等安全措施。。那種使用傳傳統(tǒng)通信模式式的惡意代碼碼客戶(hù)端與服服務(wù)端之間的的會(huì)話(huà)已不能能逃避上述安安全措施的檢檢測(cè)，惡意代代碼需要使用用更加隱蔽的的通信方式。。使用加密算法法對(duì)所傳輸?shù)牡膬?nèi)容進(jìn)行加加密能夠隱蔽蔽通信內(nèi)容。。隱蔽通信內(nèi)內(nèi)容雖然可以以保護(hù)通信內(nèi)內(nèi)容，但無(wú)法法隱蔽通信狀狀態(tài)，因此傳傳輸信道的隱隱蔽也具有重重要的意義。。對(duì)傳輸信道道的隱蔽主要要采用隱蔽通通道技術(shù)。美美國(guó)國(guó)防部可可信操作系統(tǒng)統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)對(duì)對(duì)隱蔽通道進(jìn)進(jìn)行了如下定定義：隱蔽通道是允允許進(jìn)程違反反系統(tǒng)安全策策略傳輸信息息的通道。隱隱蔽通道分為為兩種類(lèi)型：：存儲(chǔ)隱蔽通通道和時(shí)間隱隱蔽通道。存存儲(chǔ)隱蔽通道道是一個(gè)進(jìn)程程能夠直接或或間接訪問(wèn)某某存儲(chǔ)空間，，而該存儲(chǔ)空空間又能夠被被另一個(gè)進(jìn)程程所訪問(wèn)，這這兩個(gè)進(jìn)程之之間所形成的的通道稱(chēng)之為為存儲(chǔ)隱蔽通通道。時(shí)間隱隱蔽通道是一一個(gè)進(jìn)程對(duì)系系統(tǒng)性能產(chǎn)生生的影響可以以被另外一個(gè)個(gè)進(jìn)程觀察到到并且可以利利用一個(gè)時(shí)間間基準(zhǔn)進(jìn)行測(cè)測(cè)量，這樣形形成的信息傳傳遞通道稱(chēng)為為時(shí)間隱蔽通通道。7.4網(wǎng)絡(luò)絡(luò)蠕蟲(chóng)隨著網(wǎng)絡(luò)系統(tǒng)統(tǒng)應(yīng)用及復(fù)雜雜性的增加，，網(wǎng)絡(luò)蠕蟲(chóng)成成為網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全的重要要威脅。在網(wǎng)網(wǎng)絡(luò)環(huán)境下，，多樣化的傳傳播途徑和復(fù)復(fù)雜的應(yīng)用環(huán)環(huán)境使網(wǎng)絡(luò)蠕蠕蟲(chóng)的發(fā)生頻頻率增高、潛潛伏性變強(qiáng)、、覆蓋面更廣廣，網(wǎng)絡(luò)蠕蟲(chóng)蟲(chóng)成為惡意代代碼研究中重重中之重。7.4.1網(wǎng)網(wǎng)絡(luò)蠕蟲(chóng)的的定義網(wǎng)絡(luò)蠕蟲(chóng)是一一種智能化、、自動(dòng)化的計(jì)計(jì)算機(jī)程序，，綜合了網(wǎng)絡(luò)絡(luò)攻擊、密碼碼學(xué)和計(jì)算機(jī)機(jī)病毒等技術(shù)術(shù)，是一種無(wú)無(wú)需計(jì)算機(jī)使使用者干預(yù)即即可運(yùn)行的攻攻擊程序或代代碼，它會(huì)掃掃描和攻擊網(wǎng)網(wǎng)絡(luò)上存在系系統(tǒng)漏洞的節(jié)節(jié)點(diǎn)主機(jī)，通通過(guò)局域網(wǎng)或或者國(guó)際互聯(lián)聯(lián)網(wǎng)從一個(gè)節(jié)節(jié)點(diǎn)傳播到另另外一個(gè)節(jié)點(diǎn)點(diǎn)。蠕蟲(chóng)具有主動(dòng)動(dòng)攻擊、行蹤蹤隱蔽、利用用漏洞、造成成網(wǎng)絡(luò)擁塞、、降低系統(tǒng)性性能、產(chǎn)生安安全隱患、反反復(fù)性和破壞壞性等特征，，網(wǎng)絡(luò)蠕蟲(chóng)是是無(wú)須計(jì)算機(jī)機(jī)使用者干預(yù)預(yù)即可運(yùn)行的的獨(dú)立程序，，它通過(guò)不停停地獲得網(wǎng)絡(luò)絡(luò)中存在漏洞洞的計(jì)算機(jī)上上的部分或全全部控制權(quán)來(lái)來(lái)進(jìn)行傳播。。7.4.2蠕蠕蟲(chóng)的結(jié)構(gòu)構(gòu)網(wǎng)絡(luò)蠕蟲(chóng)的功功能模塊可以以分為主體功功能模塊和輔輔助功能模塊塊。實(shí)現(xiàn)了主主體功能模塊塊的蠕蟲(chóng)能夠夠完成復(fù)制傳傳播流程，而而包含輔助功功能模塊的蠕蠕蟲(chóng)程序則具具有更強(qiáng)的生生存能力和破破壞能力1.主體功功能模塊主體功能模塊塊由四個(gè)模塊塊構(gòu)成：①信信息搜集模塊塊。該模塊決決定采用何種種搜索算法對(duì)對(duì)本地或者目目標(biāo)網(wǎng)絡(luò)進(jìn)行行信息搜集，，內(nèi)容包括本本機(jī)系統(tǒng)信息息、用戶(hù)信息息、郵件列表表、對(duì)本機(jī)的的信任或授權(quán)權(quán)的主機(jī)、本本機(jī)所處網(wǎng)絡(luò)絡(luò)的拓?fù)浣Y(jié)構(gòu)構(gòu)，邊界路由由信息等等，，這些信息可可以單獨(dú)使用用或被其他個(gè)個(gè)體共享；②②掃描探測(cè)模模塊。完成對(duì)對(duì)特定主機(jī)的的脆弱性檢測(cè)測(cè)，決定采用用何種的攻擊擊滲透方式；；③攻擊滲透透模塊。該模模塊利用②獲獲得的安全漏漏洞，建立傳傳播途徑，該該模塊在攻擊擊方法上是開(kāi)開(kāi)放的、可擴(kuò)擴(kuò)充的；④自自我推進(jìn)模塊塊。該模塊可可以采用各種種形式生成各各種形態(tài)的蠕蠕蟲(chóng)副本，在在不同主機(jī)間間完成蠕蟲(chóng)副副本傳遞。例例如“Nimda””會(huì)生生成成多多種種文文件件格格式式和和名名稱(chēng)稱(chēng)的的蠕蠕蟲(chóng)蟲(chóng)副副本本；；““W32.Nachi.Worm””利用用系系統(tǒng)統(tǒng)程程序序（（例例如如TFTP）來(lái)來(lái)完完成成推推進(jìn)進(jìn)模模塊塊的的功功能能等等等等。。2.輔輔助助功功能能模模塊塊輔助助功功能能模模塊塊是是對(duì)對(duì)除除主主體體功功能能模模塊塊外外的的其其他他模模塊塊的的歸歸納納或或預(yù)預(yù)測(cè)測(cè)，，主主要要由由五五個(gè)個(gè)功功能能模模塊塊構(gòu)構(gòu)成成：：①①實(shí)實(shí)體體隱隱藏藏模模塊塊。。包包括括對(duì)對(duì)蠕蠕蟲(chóng)蟲(chóng)各各個(gè)個(gè)實(shí)實(shí)體體組組成成部部分分的的隱隱藏藏、、變變形形、、加加密密以以及及進(jìn)進(jìn)程程的的隱隱藏藏，，主主要要提提高高蠕蠕蟲(chóng)蟲(chóng)的的生生存存能能力力；；②②宿宿主主破破壞壞模模塊塊。。該該模模塊塊用用于于摧摧毀毀或或破破壞壞被被感感染染主主機(jī)機(jī)，，破破壞壞網(wǎng)網(wǎng)絡(luò)絡(luò)正正常常運(yùn)運(yùn)行行，，在在被被感感染染主主機(jī)機(jī)上上留留下下后后門(mén)門(mén)等等；；③③信信息息通通信信模模塊塊。。該該模模塊塊能能使使蠕蠕蟲(chóng)蟲(chóng)間間、、蠕蠕蟲(chóng)蟲(chóng)同同黑黑客客之之間間能能進(jìn)進(jìn)行行交交流流，，這這是是未未來(lái)來(lái)蠕蠕蟲(chóng)蟲(chóng)發(fā)發(fā)展展的的重重點(diǎn)點(diǎn)；；利利用用通通信信模模塊塊，，蠕蠕蟲(chóng)蟲(chóng)間間可可以以共共享享某某些些信信息息，，使使蠕蠕蟲(chóng)蟲(chóng)的的編編寫(xiě)寫(xiě)者者更更好好地地控控制制蠕蠕蟲(chóng)蟲(chóng)行行為為；；④④遠(yuǎn)遠(yuǎn)程程控控制制模模塊塊。?？乜刂浦颇ＤK塊的的功功能能是是調(diào)調(diào)整整蠕蠕蟲(chóng)蟲(chóng)行行為為，，控控制制被被感感染染主主機(jī)機(jī)，，執(zhí)執(zhí)行行蠕蠕蟲(chóng)蟲(chóng)編編寫(xiě)寫(xiě)者者下下達(dá)達(dá)的的指指令令；；⑤⑤自自動(dòng)動(dòng)升升級(jí)級(jí)模模塊塊。。該該模模塊塊可可以以使使蠕蠕蟲(chóng)蟲(chóng)編編寫(xiě)寫(xiě)者者隨隨時(shí)時(shí)更更新新其其它它模模塊塊的的功功能能，，從從而而實(shí)實(shí)現(xiàn)現(xiàn)不不同同的的攻攻擊擊目目的的。。7.5惡惡意意代代碼碼防防范范方方法法目前前，，惡惡意意代代碼碼防防范范方方法法主主要要分分為為兩兩方方面面：：基基于于主主機(jī)機(jī)的的惡惡意意代代碼碼防防范范方方法法和和基基于于網(wǎng)網(wǎng)絡(luò)絡(luò)的的惡惡意意代代碼碼防防范范方方法法。。7.5.1基于于主主機(jī)機(jī)的的惡惡意意代代碼碼防防范范方方法法主要要包包括括：：基基于于特特征征的的掃掃描描技技術(shù)術(shù)、、校校驗(yàn)驗(yàn)和和、、沙沙箱箱技技術(shù)術(shù)和和安安全全操操作作系系統(tǒng)統(tǒng)對(duì)對(duì)惡惡意意代代碼碼的的防防范范，，等等等等。。1.基基于于特特征征的的掃掃描描技技術(shù)術(shù)基于于主主機(jī)機(jī)的的惡惡意意代代碼碼防防范范方方法法是是目目前前檢檢測(cè)測(cè)惡惡意意代代碼碼最最常常用用的的技技術(shù)術(shù)，，主主要要源源于于模模式式匹匹配配的的思思想想。。掃掃描描程程序序工工作作之之前前，，必必須須先先建建立立惡惡意意代代碼碼的的特特征征文文件件，，根根據(jù)據(jù)特特征征文文件件中中的的特特征征串串，，在在掃掃描描文文件件中中進(jìn)進(jìn)行行匹匹配配查查找找。。用用戶(hù)戶(hù)通通過(guò)過(guò)更更新新特特征征文文件件更更新新掃掃描描軟軟件件，，查查找找最最新新的的惡惡意意代代碼碼版版本本。。這這種種技技術(shù)術(shù)廣廣泛泛地地應(yīng)應(yīng)用用于于目目前前的的反反病病毒毒引引擎擎中中惡意代碼碼防范工工作流程程基于特征征的掃描描技術(shù)主主要存在在兩個(gè)方方面的問(wèn)問(wèn)題①它是一一種特征征匹配算算法，對(duì)對(duì)于加密密、變形形和未知知的惡意意代碼不不能很好好地處理理；②需要用用戶(hù)不斷斷升級(jí)更更新檢測(cè)測(cè)引擎和和特征數(shù)數(shù)據(jù)庫(kù)，，不能預(yù)預(yù)警惡意意代碼入入侵，只只能做事事后處理理。2.校校驗(yàn)和校驗(yàn)和是是一種保保護(hù)信息息資源完完整性的的控制技技術(shù)，例例如Hash值和循環(huán)環(huán)冗余碼碼等。只只要文件件內(nèi)部有有一個(gè)比比特發(fā)生生了變化化，校驗(yàn)驗(yàn)和值就就會(huì)改變變。未被被惡意代代碼感染染的系統(tǒng)統(tǒng)首先會(huì)會(huì)生成檢檢測(cè)數(shù)據(jù)據(jù)，然后后周期性性地使用用校驗(yàn)和和法檢測(cè)測(cè)文件的的改變情情況。運(yùn)運(yùn)用校驗(yàn)驗(yàn)和法檢檢查惡意意代碼有有3種方法：：（1）在惡意意代碼檢檢測(cè)軟件件中設(shè)置置校驗(yàn)和和法。對(duì)對(duì)檢測(cè)的的對(duì)象文文件計(jì)算算其正常常狀態(tài)的的校驗(yàn)和和并將其其寫(xiě)入被被查文件件中或檢檢測(cè)工具具中，而而后進(jìn)行行比較。。（2）在應(yīng)用用程序中中嵌入校校驗(yàn)和法法。將文文件正常常狀態(tài)的的校驗(yàn)和和寫(xiě)入文文件本身身中，每每當(dāng)應(yīng)用用程序啟啟動(dòng)時(shí)，，比較現(xiàn)現(xiàn)行校驗(yàn)驗(yàn)和與原原始校驗(yàn)驗(yàn)和，實(shí)實(shí)現(xiàn)應(yīng)用用程序的的自我檢檢測(cè)功能能。（3）將校驗(yàn)驗(yàn)和程序序常駐內(nèi)內(nèi)存。每每當(dāng)應(yīng)用用程序開(kāi)開(kāi)始運(yùn)行行時(shí)，自自動(dòng)比較較檢查應(yīng)應(yīng)用程序序內(nèi)部或或別的文文件中預(yù)預(yù)留保存存的校驗(yàn)驗(yàn)和。校驗(yàn)和兩兩個(gè)缺點(diǎn)點(diǎn)校驗(yàn)和可可以檢測(cè)測(cè)未知惡惡意代碼碼對(duì)文件件的修改改，但也也有兩個(gè)個(gè)缺點(diǎn)：：首先，，校驗(yàn)和和法實(shí)際際上不能能檢測(cè)文文件是否否被惡意意代碼感感染，它它只是查查找變化化。即使使發(fā)現(xiàn)惡惡意代碼碼造成了了文件的的改變，，校驗(yàn)和和法也無(wú)無(wú)法將惡惡意代碼碼消除，，也不能能判斷究究竟被那那種惡意意代碼感感染。其其次，惡惡意代碼碼可以采采用多種種手段欺欺騙校驗(yàn)驗(yàn)和法，，使之認(rèn)認(rèn)為文件件沒(méi)有改改變。3.沙沙箱技術(shù)術(shù)沙箱技術(shù)術(shù)指根據(jù)據(jù)系統(tǒng)中中每一個(gè)個(gè)可執(zhí)行行程序的的訪問(wèn)資資源，以以及系統(tǒng)統(tǒng)賦予的的權(quán)限建建立應(yīng)用用程序的的“沙箱箱”，限限制惡意意代碼的的運(yùn)行。。每個(gè)應(yīng)應(yīng)用程序序都運(yùn)行行在自己己的且受受保護(hù)的的“沙箱箱”之中中，不能能影響其其它程序序的運(yùn)行行。同樣樣，這些些程序的的運(yùn)行也也不能影影響操作作系統(tǒng)的的正常運(yùn)運(yùn)行，操操作系統(tǒng)統(tǒng)與驅(qū)動(dòng)動(dòng)程序也也存活在在自己的的“沙箱箱”之中中。美國(guó)國(guó)加州大大學(xué)Berkeley實(shí)驗(yàn)室開(kāi)開(kāi)發(fā)了基基于Solaris操作系統(tǒng)統(tǒng)的沙箱箱系統(tǒng)，，應(yīng)用程程序經(jīng)過(guò)過(guò)系統(tǒng)底底層調(diào)用用解釋執(zhí)執(zhí)行，系系統(tǒng)自動(dòng)動(dòng)判斷應(yīng)應(yīng)用程序序調(diào)用的的底層函函數(shù)是否否符合系系統(tǒng)的安安全要求求，并決決定是否否執(zhí)行。。4.安全操作作系統(tǒng)對(duì)對(duì)惡意代代碼的防防范惡意代碼碼成功入入侵的重重要一環(huán)環(huán)是，獲獲得系統(tǒng)統(tǒng)的控制制權(quán)，使使操作系系統(tǒng)為它它分配系系統(tǒng)資源源。無(wú)論論哪種惡惡意代碼碼，無(wú)論論要達(dá)到到何種惡惡意目的的，都必必須具有有相應(yīng)的的權(quán)限。。沒(méi)有足足夠的權(quán)權(quán)限，惡惡意代碼碼不可能能實(shí)現(xiàn)其其預(yù)定的的惡意目目標(biāo)，或或者僅能能夠?qū)崿F(xiàn)現(xiàn)其部分分惡意目目標(biāo)。7.5.2基于網(wǎng)絡(luò)絡(luò)的惡意意代碼防防范方法法由于惡意意代碼具具有相當(dāng)當(dāng)?shù)膹?fù)雜雜性和行行為不確確定性，，惡意代代碼的防防范需要要多種技技術(shù)綜合合應(yīng)用，，包括惡惡意代碼碼監(jiān)測(cè)與與預(yù)警、、惡意代代碼傳播播抑制、、惡意代代碼漏洞洞自動(dòng)修修復(fù)、惡惡意代碼碼阻斷等等?；谟诰W(wǎng)絡(luò)的的惡意代代碼防范范方法包包括：惡惡意代碼碼檢測(cè)防防御和惡惡意代碼碼預(yù)警。。其中常見(jiàn)見(jiàn)的惡意意代碼檢檢測(cè)防御御包括：：基于GrIDS的惡意代代碼檢測(cè)測(cè)、基于于PLD硬件的檢檢測(cè)防御御、基于于HoneyPot的檢測(cè)防防御和基基于CCDC的檢測(cè)防防御。1.基基于GrIDS的惡意意代碼檢檢測(cè)著名的GrIDS主要針對(duì)對(duì)大規(guī)模模網(wǎng)絡(luò)攻攻擊和自自動(dòng)化入入侵設(shè)計(jì)計(jì)的，它它收集計(jì)計(jì)算機(jī)和和網(wǎng)絡(luò)活活動(dòng)的數(shù)數(shù)據(jù)以及及它們之之間的連連接，在在預(yù)先定定義的模模式庫(kù)的的驅(qū)動(dòng)下下，將這這些數(shù)據(jù)據(jù)構(gòu)建成成網(wǎng)絡(luò)活活動(dòng)行為為來(lái)表征征網(wǎng)絡(luò)活活動(dòng)結(jié)構(gòu)構(gòu)上的因因果關(guān)系系。它通通過(guò)建立立和分析析節(jié)點(diǎn)間間的行為為圖（ActivityGraph），通過(guò)過(guò)與預(yù)定定義的行行為模式式圖進(jìn)行行匹配，，檢測(cè)惡惡意代碼碼是否存存在，是是當(dāng)前檢檢測(cè)分布布式惡意意代碼入入侵有效效的工具具。2.基基于PLD硬件件的檢測(cè)測(cè)防御華盛頓大大學(xué)應(yīng)用用研究室室的JohnW.Lockwood、JamesMoscola1和MatthewKulig等提出了了一種采采用可編編程邏輯輯設(shè)備（（ProgrammableLogicDevices，PLDs)對(duì)抗惡意意代碼的的防范系系統(tǒng)。該該系統(tǒng)由由三個(gè)相相互內(nèi)聯(lián)聯(lián)部件DED（DataEnablingDevice）、CMS（ContentMatchingServer）和RTP（RegionalTransactionProcessor）組成。。DED負(fù)責(zé)捕獲獲流經(jīng)網(wǎng)網(wǎng)絡(luò)出入入口的所所有數(shù)據(jù)據(jù)包，根根據(jù)CMS提供的特特征串或或規(guī)則表表達(dá)式對(duì)對(duì)數(shù)據(jù)包包進(jìn)行掃掃描匹配配并把結(jié)結(jié)果傳遞遞給RTP；CMS負(fù)責(zé)從后后臺(tái)的MYSQL數(shù)據(jù)庫(kù)中中讀取已已經(jīng)存在在的惡意意代碼特特征，編編譯綜合合成DED設(shè)備可可以利利用特特征串串或規(guī)規(guī)則表表達(dá)式式；RTP根據(jù)匹匹配結(jié)結(jié)果決決定DED采取何何種操操作。。惡意意代碼碼大規(guī)規(guī)模入入侵時(shí)時(shí)，系系統(tǒng)管管理員員首先先把該該惡意意代碼碼的特特征添添加到到CMS的特征征數(shù)據(jù)據(jù)庫(kù)中中，DED掃描到到相應(yīng)應(yīng)特征征才會(huì)會(huì)請(qǐng)求求RTP做出放放行還還是阻阻斷等等響應(yīng)應(yīng)。3.基基于于HoneyPot的檢檢測(cè)防防御早期HoneyPot主要用用于防防范網(wǎng)網(wǎng)絡(luò)黑黑客攻攻擊。。ReVirt是能夠夠檢測(cè)測(cè)網(wǎng)絡(luò)絡(luò)攻擊擊或網(wǎng)網(wǎng)絡(luò)異異常行行為的的HoneyPot系統(tǒng)。。Spitzner首次運(yùn)運(yùn)用HoneyPot防御惡惡意代代碼攻攻擊。。HoneyPot之間可可以相相互共共享捕捕獲的的數(shù)據(jù)據(jù)信息息，采采用NIDS的規(guī)則則生成成器產(chǎn)產(chǎn)生惡惡意代代碼的的匹配配規(guī)則則，當(dāng)當(dāng)惡意意代碼碼根據(jù)據(jù)一定定的掃掃描策策略?huà)邟呙璐娲嬖诼┞┒粗髦鳈C(jī)的的地址址空間間時(shí)，，HoneyPots可以捕捕獲惡惡意代代碼掃掃描攻攻擊的的數(shù)據(jù)據(jù)，然然后采采用特特征匹匹配來(lái)來(lái)判斷斷是否否有惡惡意代代碼攻攻擊。。4.基基于于CCDC的檢檢測(cè)防防御由于主主動(dòng)式式傳播播惡意意代碼碼具有有生物物病毒毒特征征，美美國(guó)安安全專(zhuān)專(zhuān)家提提議建建立CCDC（TheCyberCentersforDiseaseControl）來(lái)對(duì)對(duì)抗惡惡意代代碼攻攻擊。。防范范惡意意代碼碼的CCDC體系實(shí)實(shí)現(xiàn)以以下功功能：：①鑒鑒別惡惡意代代碼的的爆發(fā)發(fā)期；；②惡惡意代代碼樣樣本特特征分分析；；③惡惡意代代碼傳傳染對(duì)對(duì)抗；；④惡惡意代代碼新新的傳傳染途途徑預(yù)預(yù)測(cè)；；⑤前前攝性性惡意意代碼碼對(duì)抗抗工具具研究究；⑥⑥對(duì)抗抗未來(lái)來(lái)惡意意代碼碼的威威脅。。CCDC能夠?qū)崒?shí)現(xiàn)對(duì)對(duì)大規(guī)規(guī)模惡惡意代代碼入入侵的的預(yù)警警、防防御和和阻斷斷。但但CCDC也存在在一些些問(wèn)題題：①①CCDC是一個(gè)個(gè)規(guī)模模龐大大的防防范體體系，，要考考慮體體系運(yùn)運(yùn)轉(zhuǎn)的的代價(jià)價(jià)；②②由于于CCDC體系的的開(kāi)放放性，，CCDC自身的的安全