惡意代碼與計(jì)算機(jī)病毒的防治

第14章惡意代碼與計(jì)算機(jī)14.1惡意代碼14.2計(jì)算機(jī)病毒14.3防治措施14.4本章小結(jié)習(xí)題代碼是指計(jì)算機(jī)程序代碼，可以被執(zhí)行完成特定功能。黑客編寫的具有破壞作用的計(jì)算機(jī)程序，這就是惡意代碼。14.1惡意代碼

14.1.1惡意代碼的概念惡意代碼可以按照兩種分類標(biāo)準(zhǔn)，從兩個(gè)角度進(jìn)行直交分類。一種分類標(biāo)準(zhǔn)是，惡意代碼是否需要宿主，即特定的應(yīng)用程序、工具程序或系統(tǒng)程序。需要宿主的惡意代碼具有依附性，不能脫離宿主而獨(dú)立運(yùn)行；不需宿主的惡意代碼具有獨(dú)立性，可不依賴宿主而獨(dú)立運(yùn)行。另一種分類標(biāo)準(zhǔn)是，惡意代碼是否能夠自我復(fù)制。不能自我復(fù)制的惡意代碼是不感染的；能夠自我復(fù)制的惡意代碼是可感染的。14.1.2惡意代碼的分類表14-1惡意代碼的分類方法分類標(biāo)準(zhǔn)需要宿主無(wú)需宿主不能自我復(fù)制不感染的依附性惡意代碼不感染的獨(dú)立性惡意代碼能夠自我復(fù)制可感染的依附性惡意代碼可感染的獨(dú)立性惡意代碼表14-2惡意代碼的分類實(shí)例類別實(shí)例不感染的依附性惡意代碼特洛伊木馬（Trojanhorse）邏輯炸彈（Logicbomb）后門（Backdoor）或陷門（Trapdoor）不感染的獨(dú)立性惡意代碼點(diǎn)滴器（Dropper）繁殖器（Generator）惡作?。℉oax）可感染的依附性惡意代碼病毒（Virus）可感染的獨(dú)立性惡意代碼蠕蟲（Worm）細(xì)菌（Germ）1.不感染的依附性惡意代碼特洛伊木馬特洛伊木馬是一段能實(shí)現(xiàn)有用的或必需的功能的程序，但是同時(shí)還完成一些不為人知的功能，這些額外的功能往往是有害的。特洛伊木馬經(jīng)常偽裝成游戲軟件、搞笑程序、屏保、非法軟件、色情資料等，上載到電子新聞組或通過(guò)電子郵件直接傳播，很容易被不知情的用戶接收和繼續(xù)傳播。(2)邏輯炸彈邏輯炸彈（Logicbomb）是一段具有破壞性的代碼，事先預(yù)置于較大的程序中，等待某扳機(jī)事件發(fā)生觸發(fā)其破壞行為。一旦邏輯炸彈被觸發(fā)，就會(huì)造成數(shù)據(jù)或文件的改變或刪除、計(jì)算機(jī)死機(jī)等破壞性事件。(3)后門或陷門后門（backdoor）或陷門（trapdoor）是進(jìn)入系統(tǒng)或程序的一個(gè)秘密入口，它能夠通過(guò)識(shí)別某種特定的輸入序列或特定賬戶，使訪問者繞過(guò)訪問的安全檢查，直接獲得訪問權(quán)利，并且通常高于普通用戶的特權(quán)。多年來(lái)，程序員為了調(diào)試和測(cè)試程序一直合法地使用后門，但當(dāng)程序員或他所在的公司另有企圖時(shí)，后門就變成了一種威脅。2.不感染的獨(dú)立性惡意代碼(1)點(diǎn)滴器點(diǎn)滴器（dropper）是為傳送和安裝其他惡意代碼而設(shè)計(jì)的程序，它本身不具有直接的感染性和破壞性。點(diǎn)滴器專門對(duì)抗反病毒檢測(cè)，使用了加密手段，以阻止反病毒程序發(fā)現(xiàn)它們。當(dāng)特定事件出現(xiàn)時(shí)，它便啟動(dòng)，將自身包含的惡意代碼釋放出來(lái)。(2)繁殖器繁殖器（generator）是為制造惡意代碼而設(shè)計(jì)的程序，通過(guò)這個(gè)程序，把某些已經(jīng)設(shè)計(jì)好的惡意代碼模塊按照使用者的選擇組合起來(lái)而已，沒有任何創(chuàng)造新惡意代碼的能力。因此，檢測(cè)由繁殖器產(chǎn)生的任何病毒都比較容易，只要通過(guò)搜索一個(gè)字符串，每種組合都可以被發(fā)現(xiàn)。(3)惡作劇惡作?。╤oax）是為欺騙使用者而設(shè)計(jì)的程序，它侮辱使用者或讓其做出不明智的舉動(dòng)。惡作劇通過(guò)“心理破壞”達(dá)到“現(xiàn)實(shí)破壞”。3.可感染的依附性惡意代碼計(jì)算機(jī)病毒（viru）是一段附著在其他程序上的可以進(jìn)行自我繁殖的代碼。由此可見，計(jì)算機(jī)病毒是既有依附性，又有感染性。4.可感染的獨(dú)立性惡意代碼(1)蠕蟲計(jì)算機(jī)蠕蟲（worm）是一種通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)能夠自我復(fù)制和擴(kuò)散的程序。蠕蟲與病毒的區(qū)別在于“附著”。蠕蟲不需要宿主，感染的是系統(tǒng)環(huán)境（如操作系統(tǒng)或郵件系統(tǒng)）。蠕蟲利用一些網(wǎng)絡(luò)工具復(fù)制和傳播自身，其中包括：電子郵件蠕蟲會(huì)把自身的副本郵寄到其他系統(tǒng)中；遠(yuǎn)程執(zhí)行蠕蟲能夠執(zhí)行在其他系統(tǒng)中的副本；遠(yuǎn)程登錄蠕蟲能夠像用戶一樣登錄到遠(yuǎn)程系統(tǒng)中，然后使用系統(tǒng)命令將其自身從一個(gè)系統(tǒng)復(fù)制到另一個(gè)系統(tǒng)中。根據(jù)啟動(dòng)方式可分為幾種。自動(dòng)啟動(dòng)蠕蟲（Self-LaunchingWorm）不需要與受害者交互而自動(dòng)執(zhí)行，如MorrisWorm；用戶啟動(dòng)蠕蟲（User-LaunchedWorm）必須由使用者來(lái)執(zhí)行，因此需要一定的偽裝，如CHRISTMAEXEC；混合啟動(dòng)蠕蟲（Hybrid-LaunchWorm）包含上述兩種啟動(dòng)方式。(2)細(xì)菌計(jì)算機(jī)細(xì)菌（germ）是一種在計(jì)算機(jī)系統(tǒng)中不斷復(fù)制自己的程序。以指數(shù)形式膨脹，最終會(huì)占用全部的處理器時(shí)間和內(nèi)存或磁盤空間，從而導(dǎo)致計(jì)算資源耗盡無(wú)法為用戶提供服務(wù)。細(xì)菌通常發(fā)生在多用戶系統(tǒng)和網(wǎng)絡(luò)環(huán)境中，目的就是占用所有的資源。計(jì)算機(jī)病毒是一種可感染的依附性惡意代碼。計(jì)算機(jī)病毒具有純粹意義上的病毒特征外，還帶有其他類型惡意代碼的特征。蠕蟲病毒就是最典型和最常見的惡意代碼，它是蠕蟲和病毒的混合體。14.2計(jì)算機(jī)病毒《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為：“計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?4.2.1計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒（簡(jiǎn)稱病毒）具有以下特征：（1）傳染性病毒通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。所謂“感染”，就是病毒將自身嵌入到合法程序的指令序列中，致使執(zhí)行合法程序的操作會(huì)招致病毒程序的共同執(zhí)行或以病毒程序的執(zhí)行取而代之。（2）隱蔽性病毒一般是具有很高編程技巧的、短小精悍的一段代碼，躲在合法程序當(dāng)中。如果不經(jīng)過(guò)代碼分析，病毒程序與正常程序是不容易區(qū)別開來(lái)的。（3）潛伏性病毒進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，默默地進(jìn)行傳染擴(kuò)散而不被人發(fā)現(xiàn)。病毒的內(nèi)部有一種觸發(fā)機(jī)制，一旦觸發(fā)條件得到滿足，病毒便開始表現(xiàn)，有的只是在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作。觸發(fā)條件可能是預(yù)定時(shí)間或日期、特定數(shù)據(jù)出現(xiàn)、特定事件發(fā)生等。（4）多態(tài)性病毒試圖在每一次感染時(shí)改變它的形態(tài)，使對(duì)它的檢測(cè)變得更困難。（5）破壞性病毒一旦被觸發(fā)而發(fā)作就會(huì)造成系統(tǒng)或數(shù)據(jù)的損傷甚至毀滅。病毒的破壞程度主要取決于病毒設(shè)計(jì)者的目的，如果病毒設(shè)計(jì)者的目的在于徹底破壞系統(tǒng)及其數(shù)據(jù)，那么這種病毒對(duì)于計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊造成的后果是難以想像的，它可以毀掉系統(tǒng)的部分或全部數(shù)據(jù)并使之無(wú)法恢復(fù)。計(jì)算機(jī)病毒主要由潛伏機(jī)制、傳染機(jī)制和表現(xiàn)機(jī)制構(gòu)成。在程序結(jié)構(gòu)上由實(shí)現(xiàn)這3種機(jī)制的模塊組成（見圖14.1）。若某程序被定義為計(jì)算機(jī)病毒，只有傳染機(jī)制是強(qiáng)制性的，潛伏機(jī)制和表現(xiàn)機(jī)制是非強(qiáng)制性的。14.2.2計(jì)算機(jī)病毒的結(jié)構(gòu)圖14.1計(jì)算機(jī)病毒程序結(jié)構(gòu)1.潛伏機(jī)制潛伏機(jī)制的功能包括初始化、隱藏和捕捉。潛伏機(jī)制模塊隨著感染的宿主程序的執(zhí)行進(jìn)入內(nèi)存，首先，初始化其運(yùn)行環(huán)境，使病毒相對(duì)獨(dú)立于宿主程序，為傳染機(jī)制做好準(zhǔn)備。然后，利用各種可能的隱藏方式，躲避各種檢測(cè)，欺騙系統(tǒng)，將自己隱蔽起來(lái)。最后，不停地捕捉感染目標(biāo)交給傳染機(jī)制，不停地捕捉觸發(fā)條件交給表現(xiàn)機(jī)制。2.傳染機(jī)制傳染機(jī)制的功能包括判斷和感染。傳染機(jī)制先是判斷候選感染目標(biāo)是否已被感染，感染與否通過(guò)感染標(biāo)記來(lái)判斷，感染標(biāo)記是計(jì)算機(jī)系統(tǒng)可以識(shí)別的特定字符或字符串。一旦發(fā)現(xiàn)作為候選感染目標(biāo)的宿主程序中沒有感染標(biāo)記，就對(duì)其進(jìn)行感染，也就是將病毒代碼和感染標(biāo)記放入宿主程序之中。3.表現(xiàn)機(jī)制表現(xiàn)機(jī)制的功能包括判斷和表現(xiàn)。表現(xiàn)機(jī)制首先對(duì)觸發(fā)條件進(jìn)行判斷，然后根據(jù)不同的條件決定什么時(shí)候表現(xiàn)、如何表現(xiàn)。表現(xiàn)內(nèi)容多種多樣，然而不管是炫耀、玩笑、惡作劇，還是故意破壞，或輕或重都具有破壞性。表現(xiàn)機(jī)制反映了病毒設(shè)計(jì)者的意圖，是病毒間差異最大的部分。潛伏機(jī)制和傳染機(jī)制是為表現(xiàn)機(jī)制服務(wù)的。防治病毒，“防”是主動(dòng)的，“治”是被動(dòng)的。首先要積極地“防”，盡量避免病毒入侵。對(duì)于入侵的病毒當(dāng)然要努力地“治”，以盡量減少和挽回病毒造成的損失，。因此，病毒防治應(yīng)采取“以防為主、與治結(jié)合、互為補(bǔ)充”的策略，不可偏廢任何一方面。14.3防治措施如上所述，病毒防治技術(shù)分為“防”和“治”兩部分?！胺馈倍炯夹g(shù)包括預(yù)防技術(shù)和免疫技術(shù)；“治”毒技術(shù)包括檢測(cè)技術(shù)和消除技術(shù)。14.3.1病毒防治的技術(shù)1.病毒檢測(cè)技術(shù)病毒檢測(cè)就是采用各種檢測(cè)方法將病毒識(shí)別出來(lái)。目前，對(duì)已知病毒的識(shí)別主要采用特征判定技術(shù)，即靜態(tài)判定技術(shù)，對(duì)未知病毒的識(shí)別除了特征判定技術(shù)外，還有行為判定技術(shù)，即動(dòng)態(tài)判定技術(shù)。4.病毒消除技術(shù)病毒消除的目的是清除受害系統(tǒng)中的病毒，恢復(fù)系統(tǒng)的原始無(wú)毒狀態(tài)。具體來(lái)講，就是針對(duì)系統(tǒng)中的病毒寄生場(chǎng)所或感染對(duì)象進(jìn)行一一殺毒。有效的病毒防治部署是采用基于網(wǎng)絡(luò)的多層次的病毒防御體系。該體系在整個(gè)網(wǎng)絡(luò)系統(tǒng)的各組成環(huán)節(jié)處，包括客戶端、服務(wù)器、Internet網(wǎng)關(guān)和防火墻，設(shè)置防線，形成多道防線。即使病毒突破了一道防線，還有第二、第三道防線攔截，因此，能夠有效地遏制病毒在網(wǎng)絡(luò)上的擴(kuò)散。14.3.2病毒防治的部署病毒防治不僅是技術(shù)問題，更是社會(huì)問題、管理問題和教育問題。要做到以下幾點(diǎn)：建立和健全相應(yīng)的國(guó)家法律和法規(guī)；建立和健全相應(yīng)的管理制度和規(guī)章；加強(qiáng)和普及相應(yīng)的知識(shí)宣傳和培訓(xùn)。14.3.3病毒防治的管理1.病毒防治軟件的類型病毒防治軟件按其查毒殺毒機(jī)制可分為以下3種類型：(1)病毒掃描型病毒掃描型軟件采用特征掃描法。這類軟件具有檢測(cè)速度快、誤報(bào)率低和準(zhǔn)確度高的優(yōu)點(diǎn)，正因?yàn)槟軠?zhǔn)確識(shí)別已知病毒，所以對(duì)被已知病毒感染的程序和數(shù)據(jù)一般都能恢復(fù)。要保證病毒防治的有效性，病毒特征碼庫(kù)和掃描引擎必須經(jīng)常升級(jí)。14.3.4病毒防治軟件(2)完整性檢查型完整性檢查型軟件采用比較法和校驗(yàn)和法，監(jiān)視觀察對(duì)象（包括引導(dǎo)扇區(qū)和計(jì)算機(jī)文件等）的屬性（包括大小、時(shí)間、日期和校驗(yàn)和等）和內(nèi)容是否發(fā)生改變，如果檢測(cè)出變化，則觀察對(duì)象極有可能已遭病毒感染。(3)行為封鎖型行為封鎖型軟件采用駐留內(nèi)存在后臺(tái)工作的方式，監(jiān)視可能因病毒引起的異常行為，如果發(fā)現(xiàn)異常行為，便及時(shí)警告用戶，由用戶決定該行為是否繼續(xù)。這類軟件試圖阻止任何病毒的異常行為，因此可以防止新的未知病毒的傳播和破壞。當(dāng)然，有的“可疑行為”是正常的，所以出現(xiàn)“誤診”總是難免的。2.病毒防治軟件的選購(gòu)選購(gòu)病毒防治軟件時(shí)，需要注意的指標(biāo)包括檢測(cè)速度、識(shí)別率、清除效果、可管理性、操作界面友好性、升級(jí)難易度、技術(shù)支持水平等諸多方面。(1)檢測(cè)速度(2)識(shí)別率(3)清除效果惡意代碼是指黑客編寫的擾亂社會(huì)和他人甚至起著破壞作用的計(jì)算機(jī)程序，計(jì)算機(jī)病毒是惡意代碼中最常見的一種。為了保障計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，有必要懂得惡意代碼與計(jì)算機(jī)病毒的基本概念、工作原理和防止措施。14.4本章小結(jié)惡意代碼按照是否需要宿主和是否能夠自我復(fù)制分為4大類：（1）不感染的依附性惡意代碼，包括特洛伊木馬、邏輯炸彈、后門或陷門等。（2）不感染的獨(dú)立性惡意代碼，包括點(diǎn)滴器、繁殖器、惡作劇等。（3）可感染的依附性惡意代碼，主要是病毒。（4）可感染的獨(dú)立性惡意代碼，包括蠕蟲、細(xì)菌等。計(jì)算機(jī)病毒的基本特征有傳染性、隱蔽性、潛伏性、多態(tài)性和破壞性。計(jì)算機(jī)病毒主要由潛伏機(jī)制、傳染機(jī)制和表現(xiàn)機(jī)制構(gòu)成。惡意代碼或計(jì)算機(jī)病毒的防治應(yīng)采取“以防為主，與治結(jié)合，互為補(bǔ)充”的策略，不可偏廢任何一方面。病毒防治技術(shù)包括預(yù)防技術(shù)、免疫技術(shù)、檢測(cè)技術(shù)和消除技術(shù)。有效的病毒防治部署采用基于網(wǎng)絡(luò)的多層次的病毒防御體系。病毒防治不僅是技術(shù)問題，更是社會(huì)問題、管理問題和教育問題，應(yīng)建立和健全相應(yīng)的國(guó)家法律和法規(guī)，建立和健全相應(yīng)的管理制度和規(guī)章，加強(qiáng)和普及相應(yīng)的知識(shí)宣傳和培訓(xùn)。病毒防治軟件按其查毒殺毒機(jī)制分為病毒掃描型、完整性檢查型和行為封鎖型。選購(gòu)病毒防治軟件時(shí)，需要注意的指標(biāo)包括檢測(cè)速度、識(shí)別率、清除效果、可管理性、操作界面友好性、升級(jí)難易度、技術(shù)支持水平等諸多方面。14-1畫出下面惡意代碼類別與實(shí)例的對(duì)應(yīng)關(guān)系。類別A.不感染、依附性B.不感染、獨(dú)立性C.可感染、依附性D.可感染、獨(dú)立性實(shí)例習(xí)題a.后門（backdoor）b.點(diǎn)滴器（dropper）c.繁殖器（generator）d.細(xì)菌（germ）e.惡作?。╤oax）f.邏輯炸彈（LogicBomb）g.陷門（trapdoor）h.特洛伊木馬（TrojanHorse）i.病毒（virus）j.蠕蟲（worm）14-2計(jì)算機(jī)病毒有哪些基本特征？14-3計(jì)算機(jī)病毒主要由（）機(jī)制、（）機(jī)制和（）機(jī)制構(gòu)成。14-4計(jì)算機(jī)病毒按連接方式分為（）、（）、（）和（），按破壞性質(zhì)分為（）和（），按感染方式分為（）、（）和（）。A.良性病毒B.源碼型病毒C.惡性病毒D.嵌入型病毒E.引導(dǎo)型病毒F.外殼型病毒G.文