惡意代碼檢測與防范

惡意代碼檢測與防范主要內(nèi)容常見的惡意代碼惡意代碼機(jī)理惡意代碼檢測惡意代碼去除與預(yù)防惡意代碼

主要是指以危害信息的平安等不良意圖為目的的程序，它們一般潛伏在受害計(jì)算機(jī)系統(tǒng)中實(shí)施破壞或竊取信息。主要有計(jì)算機(jī)病毒、蠕蟲、木馬惡意代碼主要危害攻擊系統(tǒng)，造成系統(tǒng)癱瘓或操作異常危害數(shù)據(jù)文件的平安存儲和使用泄露文件、配置或隱秘信息肆意占用資源，影響系統(tǒng)或網(wǎng)絡(luò)性能常見的惡意代碼都是人為編制的程序?qū)ο到y(tǒng)具有破壞性或威脅性往往具有傳染性、潛伏性、非授權(quán)執(zhí)行性根據(jù)種類不同還具有寄生性、欺騙性、針對性等惡意代碼的根本特征網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳播的主要載體網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的病毒類型與黑客技術(shù)相結(jié)合，出現(xiàn)帶有明顯病毒特征的木馬或木馬特征的病毒出現(xiàn)病毒、信息家電病毒病毒制造傳播目的由以表現(xiàn)破壞為主轉(zhuǎn)向以獲利為主，木馬病毒成為當(dāng)前主流病毒惡意代碼的開展趨勢計(jì)算機(jī)病毒是一類具有寄生性、傳染性、破壞性的程序代碼，寄生性和傳染性是病毒區(qū)別于其他惡意代碼的本質(zhì)特征計(jì)算機(jī)病毒代碼不能獨(dú)立存在，必須插入到其他序或文件中，并隨著其他文件的運(yùn)行而被激活，然后駐留在內(nèi)存以便進(jìn)一步感染或者破壞可分為引導(dǎo)型、文件型、混合型病毒如CIH病毒，宏病毒等計(jì)算機(jī)病毒病毒的兩種存在狀態(tài)靜態(tài)：僅存在于文件中激活：駐留內(nèi)存，可以感染其他文件或磁盤僅感染本機(jī)的文件隨感染文件的傳播而傳播傳播方式軟盤、移動硬盤、U盤、光盤等，特別是盜版光盤文件共享、電子郵件、網(wǎng)頁瀏覽、文件下載計(jì)算機(jī)病毒傳染傳播不依附其他程序，而是一段獨(dú)立的程序通過網(wǎng)絡(luò)把自身的拷貝傳播給其它計(jì)算機(jī)可以修改刪除其他程序，也可能通過反復(fù)自我復(fù)制占盡網(wǎng)絡(luò)或系統(tǒng)資源，造成拒絕效勞具備病毒復(fù)制和入侵攻擊雙重特點(diǎn)利用漏洞自主傳播如：紅色代碼、沖擊波等蠕蟲蠕蟲程序的傳播過程〔1〕掃描：蠕蟲的掃描功能模塊負(fù)責(zé)探測存在漏洞的主機(jī)，以便得到一個可傳染的對象?！?〕攻擊：攻擊模塊自動攻擊找到的可傳染對象，取得該主機(jī)的權(quán)限，獲得一個shell?！?〕復(fù)制：復(fù)制模塊通過兩主機(jī)的交互將蠕蟲程序復(fù)制到目標(biāo)主機(jī)并啟動?？梢?，傳播模塊實(shí)現(xiàn)的是自動入侵的功能。蠕蟲的傳播技術(shù)是蠕蟲技術(shù)的首要技術(shù)。蠕蟲木馬是一種程序，它能提供一些有用的或者令人感興趣的功能，但是還具有用戶不知道的其它功能。木馬不具有傳染性，不能自我復(fù)制，通常不被當(dāng)成病毒典型木馬如冰河、灰鴿子、Bo2K等木馬特洛伊木馬的分類遠(yuǎn)程訪問型密碼發(fā)送型鍵盤記錄型破壞型FTP型DoS攻擊型代理型木馬1、木馬效勞程序：也稱效勞器端，是指被控制電腦內(nèi)被種植且被運(yùn)行的木馬程序，接受控制指令，執(zhí)行監(jiān)控功能2、木馬配置程序：設(shè)置木馬的參數(shù)，如端口號、木馬文件名稱、啟動方式等3、木馬控制程序：也稱控制端，是指進(jìn)行操控和監(jiān)視的電腦內(nèi)運(yùn)行的程序，用以連接到效勞程序，發(fā)出控制指令，并接收效勞程序傳送來的數(shù)據(jù)。有時配置程序和控制程序集成在一起，統(tǒng)稱控制端程序。木馬程序構(gòu)成配置木馬：設(shè)置木馬參數(shù)，實(shí)現(xiàn)偽裝和信息反響傳播木馬：如通過幫定程序?qū)⒛抉R幫定到某個合法或有用軟件，通過誘騙等方式傳播到用戶系統(tǒng)運(yùn)行木馬：用戶運(yùn)行捆綁木馬的軟件而安裝木馬，將木馬文件復(fù)制到系統(tǒng)，并設(shè)置觸發(fā)條件，以后可自動運(yùn)行信息反響：木馬收集系統(tǒng)信息發(fā)送給控制端攻擊者建立連接：控制程序掃描運(yùn)行了木馬的主機(jī)〔開放特定端口〕，添加到主機(jī)列表，并在特定端口建立連接實(shí)施監(jiān)控：實(shí)現(xiàn)遠(yuǎn)程控制，如同本地操作木馬的根本原理〔1〕以郵件附件的形式傳播：〔2〕將木馬程序捆綁在軟件安裝程序上，通過網(wǎng)絡(luò)下載傳播。〔3〕通過聊天工具如QQ等傳送文件傳播〔4〕通過蠕蟲程序植入。〔5〕通過交互腳本或網(wǎng)頁植入〔6〕通過系統(tǒng)漏洞直接種植〔7〕通過各種介質(zhì)交換文件傳播木馬的傳播方式和應(yīng)用程序捆綁修改Windows系統(tǒng)注冊表

例如：下面注冊表中的某些鍵值HLM\Software\Microsoft\Windows\CurrentVersion\RunHLM\Software\Microsoft\Windows\CurrentVersion\RunServiceHLM\software\microsoft\windows\currentversion\runonceHCU\software\microsoft\windows\currentversion\run修改文件關(guān)聯(lián)

如冰河木馬修改文本文件關(guān)聯(lián)

HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值Notepad.exe1%改為Sysexplr.exe1%木馬的自加載運(yùn)行技術(shù)惡意代碼防范，是指通過建立合理的病毒防范體系和制度，及時發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，從計(jì)算機(jī)中去除病毒代碼，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。防范體系管理體系技術(shù)體系防治策略主動預(yù)防為主、被動處理為輔預(yù)防、檢測、去除相結(jié)合惡意代碼防治及時備份重要數(shù)據(jù)和系統(tǒng)數(shù)據(jù)關(guān)注漏洞公告，及時更新系統(tǒng)或安裝補(bǔ)丁程序新購置的機(jī)器、磁盤、軟件使用前進(jìn)行病毒檢測不要下載或使用來歷不明的軟件外用的磁盤盡量要寫保護(hù)，外來的磁盤要檢毒安裝具有實(shí)時防病毒功能的防病毒軟件，并及時升級更新，定期檢測系統(tǒng)翻開防病毒軟件的實(shí)時監(jiān)控功能建立嚴(yán)密的病毒監(jiān)測體系，及早發(fā)現(xiàn)病毒，及時去除病毒一般預(yù)防措施外觀檢測法病毒侵入系統(tǒng)后會是系統(tǒng)表現(xiàn)出一些異?，F(xiàn)象根據(jù)異?，F(xiàn)象判斷病毒的存在特征代碼法病毒特征碼是從病毒體內(nèi)抽取的代表病毒特征的唯一代碼串用每一種病毒的特征碼對被檢測的對象進(jìn)行掃描病毒掃描軟件由兩局部組成病毒代碼庫：含有各種計(jì)算機(jī)病毒的代碼串掃描程序：利用該代碼庫進(jìn)行病毒掃描常用檢測方法軟件模擬法〔虛擬機(jī)技術(shù)〕常用于檢測多態(tài)型病毒模擬CPU運(yùn)行，在虛擬機(jī)下假執(zhí)行病毒的變體引擎解碼程序，平安的將多態(tài)病毒解碼，再加以掃描，從而識別病毒。行為監(jiān)測法〔啟發(fā)式掃描技術(shù)〕利用病毒特有的行為特征來監(jiān)測病毒病毒行為特征如：截取中斷、修改內(nèi)存、對可執(zhí)行文件寫入、寫引導(dǎo)扇區(qū)或格式化磁盤等注意：即使是最優(yōu)秀的防毒軟件也不可能檢測出所有的病毒常用檢測方法1〕反病毒措施傳統(tǒng)病毒不以文件獨(dú)立存在，且傳染性是其本質(zhì)，主要破壞本地文件系統(tǒng)，因此主要采用安裝反病毒軟件防治，并翻開文件系統(tǒng)實(shí)時保護(hù)功能2〕反蠕蟲措施對蠕蟲來說，蠕蟲的傳播技術(shù)是其本質(zhì)，因此對蠕蟲的預(yù)防主要是及時更新系統(tǒng)和給系統(tǒng)打補(bǔ)丁。對以文件形式獨(dú)立存在的蠕蟲，可刪除文件來去除

對與傳統(tǒng)病毒結(jié)合的蠕蟲病毒，要結(jié)合反病毒軟件或者蠕蟲專殺工具針對不同惡意代碼的防治方法3〕反木馬技術(shù)木馬的偽裝和遠(yuǎn)程控制或通信是其本質(zhì)，其防治主要采用以下方法：安裝反病毒軟件安裝木馬專殺工具建立個人防火墻不要下載和執(zhí)行來歷不明的軟件和程序及時升級系統(tǒng)和給系統(tǒng)打補(bǔ)丁針對不同惡意代碼的防治方法1、反病毒軟件的選擇指標(biāo)1〕識別率：包括誤報率和漏報率2〕檢測速度：快速檢測2〕對新病毒的反響能力：能查殺最新病毒3〕文件系統(tǒng)實(shí)時監(jiān)控能力：能保護(hù)文件系統(tǒng)4〕防毒引擎和病毒特征代碼自動更新能力2、知名的反病毒軟件：國際：卡巴斯基、諾頓、趨勢、McAfee等國內(nèi)：瑞星、金山、江民、冠群金辰、360等反病毒軟件1、建立多層次的病毒防護(hù)體系在每個臺式機(jī)上安裝臺式機(jī)的反病毒軟件在效勞器