惡意代碼與計算機(jī)病毒的防治

第14章惡意代碼與計算機(jī)14.1惡意代碼14.2計算機(jī)病毒14.3防治措施14.4本章小結(jié)習(xí)題代碼是指計算機(jī)程序代碼，可以被執(zhí)行完成特定功能。黑客編寫的具有破壞作用的計算機(jī)程序，這就是惡意代碼。14.1惡意代碼

14.1.1惡意代碼的概念惡意代碼可以按照兩種分類標(biāo)準(zhǔn)，從兩個角度進(jìn)行直交分類。一種分類標(biāo)準(zhǔn)是，惡意代碼是否需要宿主，即特定的應(yīng)用程序、工具程序或系統(tǒng)程序。需要宿主的惡意代碼具有依附性，不能脫離宿主而獨(dú)立運(yùn)行；不需宿主的惡意代碼具有獨(dú)立性，可不依賴宿主而獨(dú)立運(yùn)行。另一種分類標(biāo)準(zhǔn)是，惡意代碼是否能夠自我復(fù)制。不能自我復(fù)制的惡意代碼是不感染的；能夠自我復(fù)制的惡意代碼是可感染的。14.1.2惡意代碼的分類表14-1惡意代碼的分類方法分類標(biāo)準(zhǔn)需要宿主無需宿主不能自我復(fù)制不感染的依附性惡意代碼不感染的獨(dú)立性惡意代碼能夠自我復(fù)制可感染的依附性惡意代碼可感染的獨(dú)立性惡意代碼表14-2惡意代碼的分類實例類別實例不感染的依附性惡意代碼特洛伊木馬（Trojanhorse）邏輯炸彈（Logicbomb）后門（Backdoor）或陷門（Trapdoor）不感染的獨(dú)立性惡意代碼點(diǎn)滴器（Dropper）繁殖器（Generator）惡作劇（Hoax）可感染的依附性惡意代碼病毒（Virus）可感染的獨(dú)立性惡意代碼蠕蟲（Worm）細(xì)菌（Germ）1.不感染的依附性惡意代碼特洛伊木馬特洛伊木馬是一段能實現(xiàn)有用的或必需的功能的程序，但是同時還完成一些不為人知的功能，這些額外的功能往往是有害的。特洛伊木馬經(jīng)常偽裝成游戲軟件、搞笑程序、屏保、非法軟件、色情資料等，上載到電子新聞組或通過電子郵件直接傳播，很容易被不知情的用戶接收和繼續(xù)傳播。(2)邏輯炸彈邏輯炸彈（Logicbomb）是一段具有破壞性的代碼，事先預(yù)置于較大的程序中，等待某扳機(jī)事件發(fā)生觸發(fā)其破壞行為。一旦邏輯炸彈被觸發(fā)，就會造成數(shù)據(jù)或文件的改變或刪除、計算機(jī)死機(jī)等破壞性事件。(3)后門或陷門后門（backdoor）或陷門（trapdoor）是進(jìn)入系統(tǒng)或程序的一個秘密入口，它能夠通過識別某種特定的輸入序列或特定賬戶，使訪問者繞過訪問的安全檢查，直接獲得訪問權(quán)利，并且通常高于普通用戶的特權(quán)。多年來，程序員為了調(diào)試和測試程序一直合法地使用后門，但當(dāng)程序員或他所在的公司另有企圖時，后門就變成了一種威脅。2.不感染的獨(dú)立性惡意代碼(1)點(diǎn)滴器點(diǎn)滴器（dropper）是為傳送和安裝其他惡意代碼而設(shè)計的程序，它本身不具有直接的感染性和破壞性。點(diǎn)滴器專門對抗反病毒檢測，使用了加密手段，以阻止反病毒程序發(fā)現(xiàn)它們。當(dāng)特定事件出現(xiàn)時，它便啟動，將自身包含的惡意代碼釋放出來。(2)繁殖器繁殖器（generator）是為制造惡意代碼而設(shè)計的程序，通過這個程序，把某些已經(jīng)設(shè)計好的惡意代碼模塊按照使用者的選擇組合起來而已，沒有任何創(chuàng)造新惡意代碼的能力。因此，檢測由繁殖器產(chǎn)生的任何病毒都比較容易，只要通過搜索一個字符串，每種組合都可以被發(fā)現(xiàn)。(3)惡作劇惡作?。╤oax）是為欺騙使用者而設(shè)計的程序，它侮辱使用者或讓其做出不明智的舉動。惡作劇通過“心理破壞”達(dá)到“現(xiàn)實破壞”。3.可感染的依附性惡意代碼計算機(jī)病毒（viru）是一段附著在其他程序上的可以進(jìn)行自我繁殖的代碼。由此可見，計算機(jī)病毒是既有依附性，又有感染性。4.可感染的獨(dú)立性惡意代碼(1)蠕蟲計算機(jī)蠕蟲（worm）是一種通過計算機(jī)網(wǎng)絡(luò)能夠自我復(fù)制和擴(kuò)散的程序。蠕蟲與病毒的區(qū)別在于“附著”。蠕蟲不需要宿主，感染的是系統(tǒng)環(huán)境（如操作系統(tǒng)或郵件系統(tǒng)）。蠕蟲利用一些網(wǎng)絡(luò)工具復(fù)制和傳播自身，其中包括：電子郵件蠕蟲會把自身的副本郵寄到其他系統(tǒng)中；遠(yuǎn)程執(zhí)行蠕蟲能夠執(zhí)行在其他系統(tǒng)中的副本；遠(yuǎn)程登錄蠕蟲能夠像用戶一樣登錄到遠(yuǎn)程系統(tǒng)中，然后使用系統(tǒng)命令將其自身從一個系統(tǒng)復(fù)制到另一個系統(tǒng)中。根據(jù)啟動方式可分為幾種。自動啟動蠕蟲（Self-LaunchingWorm）不需要與受害者交互而自動執(zhí)行，如MorrisWorm；用戶啟動蠕蟲（User-LaunchedWorm）必須由使用者來執(zhí)行，因此需要一定的偽裝，如CHRISTMAEXEC；混合啟動蠕蟲（Hybrid-LaunchWorm）包含上述兩種啟動方式。(2)細(xì)菌計算機(jī)細(xì)菌（germ）是一種在計算機(jī)系統(tǒng)中不斷復(fù)制自己的程序。以指數(shù)形式膨脹，最終會占用全部的處理器時間和內(nèi)存或磁盤空間，從而導(dǎo)致計算資源耗盡無法為用戶提供服務(wù)。細(xì)菌通常發(fā)生在多用戶系統(tǒng)和網(wǎng)絡(luò)環(huán)境中，目的就是占用所有的資源。計算機(jī)病毒是一種可感染的依附性惡意代碼。計算機(jī)病毒具有純粹意義上的病毒特征外，還帶有其他類型惡意代碼的特征。蠕蟲病毒就是最典型和最常見的惡意代碼，它是蠕蟲和病毒的混合體。14.2計算機(jī)病毒《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為：“計算機(jī)病毒是指編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼?！?4.2.1計算機(jī)病毒的概念計算機(jī)病毒（簡稱病毒）具有以下特征：（1）傳染性病毒通過各種渠道從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)。所謂“感染”，就是病毒將自身嵌入到合法程序的指令序列中，致使執(zhí)行合法程序的操作會招致病毒程序的共同執(zhí)行或以病毒程序的執(zhí)行取而代之。（2）隱蔽性病毒一般是具有很高編程技巧的、短小精悍的一段代碼，躲在合法程序當(dāng)中。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。（3）潛伏性病毒進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作，默默地進(jìn)行傳染擴(kuò)散而不被人發(fā)現(xiàn)。病毒的內(nèi)部有一種觸發(fā)機(jī)制，一旦觸發(fā)條件得到滿足，病毒便開始表現(xiàn)，有的只是在屏幕上顯示信息、圖形或特殊標(biāo)識，有的則執(zhí)行破壞系統(tǒng)的操作。觸發(fā)條件可能是預(yù)定時間或日期、特定數(shù)據(jù)出現(xiàn)、特定事件發(fā)生等。（4）多態(tài)性病毒試圖在每一次感染時改變它的形態(tài)，使對它的檢測變得更困難。（5）破壞性病毒一旦被觸發(fā)而發(fā)作就會造成系統(tǒng)或數(shù)據(jù)的損傷甚至毀滅。病毒的破壞程度主要取決于病毒設(shè)計者的目的，如果病毒設(shè)計者的目的在于徹底破壞系統(tǒng)及其數(shù)據(jù)，那么這種病毒對于計算機(jī)系統(tǒng)進(jìn)行攻擊造成的后果是難以想像的，它可以毀掉系統(tǒng)的部分或全部數(shù)據(jù)并使之無法恢復(fù)。計算機(jī)病毒主要由潛伏機(jī)制、傳染機(jī)制和表現(xiàn)機(jī)制構(gòu)成。在程序結(jié)構(gòu)上由實現(xiàn)這3種機(jī)制的模塊組成（見圖14.1）。若某程序被定義為計算機(jī)病毒，只有傳染機(jī)制是強(qiáng)制性的，潛伏機(jī)制和表現(xiàn)機(jī)制是非強(qiáng)制性的。14.2.2計算機(jī)病毒的結(jié)構(gòu)圖14.1計算機(jī)病毒程序結(jié)構(gòu)1.潛伏機(jī)制潛伏機(jī)制的功能包括初始化、隱藏和捕捉。潛伏機(jī)制模塊隨著感染的宿主程序的執(zhí)行進(jìn)入內(nèi)存，首先，初始化其運(yùn)行環(huán)境，使病毒相對獨(dú)立于宿主程序，為傳染機(jī)制做好準(zhǔn)備。然后，利用各種可能的隱藏方式，躲避各種檢測，欺騙系統(tǒng)，將自己隱蔽起來。最后，不停地捕捉感染目標(biāo)交給傳染機(jī)制，不停地捕捉觸發(fā)條件交給表現(xiàn)機(jī)制。2.傳染機(jī)制傳染機(jī)制的功能包括判斷和感染。傳染機(jī)制先是判斷候選感染目標(biāo)是否已被感染，感染與否通過感染標(biāo)記來判斷，感染標(biāo)記是計算機(jī)系統(tǒng)可以識別的特定字符或字符串。一旦發(fā)現(xiàn)作為候選感染目標(biāo)的宿主程序中沒有感染標(biāo)記，就對其進(jìn)行感染，也就是將病毒代碼和感染標(biāo)記放入宿主程序之中。3.表現(xiàn)機(jī)制表現(xiàn)機(jī)制的功能包括判斷和表現(xiàn)。表現(xiàn)機(jī)制首先對觸發(fā)條件進(jìn)行判斷，然后根據(jù)不同的條件決定什么時候表現(xiàn)、如何表現(xiàn)。表現(xiàn)內(nèi)容多種多樣，然而不管是炫耀、玩笑、惡作劇，還是故意破壞，或輕或重都具有破壞性。表現(xiàn)機(jī)制反映了病毒設(shè)計者的意圖，是病毒間差異最大的部分。潛伏機(jī)制和傳染機(jī)制是為表現(xiàn)機(jī)制服務(wù)的。防治病毒，“防”是主動的，“治”是被動的。首先要積極地“防”，盡量避免病毒入侵。對于入侵的病毒當(dāng)然要努力地“治”，以盡量減少和挽回病毒造成的損失，。因此，病毒防治應(yīng)采取“以防為主、與治結(jié)合、互為補(bǔ)充”的策略，不可偏廢任何一方面。14.3防治措施如上所述，病毒防治技術(shù)分為“防”和“治”兩部分?！胺馈倍炯夹g(shù)包括預(yù)防技術(shù)和免疫技術(shù)；“治”毒技術(shù)包括檢測技術(shù)和消除技術(shù)。14.3.1病毒防治的技術(shù)1.病毒檢測技術(shù)病毒檢測就是采用各種檢測方法將病毒識別出來。目前，對已知病毒的識別主要采用特征判定技術(shù)，即靜態(tài)判定技術(shù)，對未知病毒的識別除了特征判定技術(shù)外，還有行為判定技術(shù)，即動態(tài)判定技術(shù)。4.病毒消除技術(shù)病毒消除的目的是清除受害系統(tǒng)中的病毒，恢復(fù)系統(tǒng)的原始無毒狀態(tài)。具體來講，就是針對系統(tǒng)中的病毒寄生場所或感染對象進(jìn)行一一殺毒。有效的病毒防治部署是采用基于網(wǎng)絡(luò)的多層次的病毒防御體系。該體系在整個網(wǎng)絡(luò)系統(tǒng)的各組成環(huán)節(jié)處，包括客戶端、服務(wù)器、Internet網(wǎng)關(guān)和防火墻，設(shè)置防線，形成多道防線。即使病毒突破了一道防線，還有第二、第三道防線攔截，因此，能夠有效地遏制病毒在網(wǎng)絡(luò)上的擴(kuò)散。14.3.2病毒防治的部署病毒防治不僅是技術(shù)問題，更是社會問題、管理問題和教育問題。要做到以下幾點(diǎn)：建立和健全相應(yīng)的國家法律和法規(guī)；建立和健全相應(yīng)的管理制度和規(guī)章；加強(qiáng)和普及相應(yīng)的知識宣傳和培訓(xùn)。14.3.3病毒防治的管理1.病毒防治軟件的類型病毒防治軟件按其查毒殺毒機(jī)制可分為以下3種類型：(1)病毒掃描型病毒掃描型軟件采用特征掃描法。這類軟件具有檢測速度快、誤報率低和準(zhǔn)確度高的優(yōu)點(diǎn)，正因為能準(zhǔn)確識別已知病毒，所以對被已知病毒感染的程序和數(shù)據(jù)一般都能恢復(fù)。要保證病毒防治的有效性，病毒特征碼庫和掃描引擎必須經(jīng)常升級。14.3.4病毒防治軟件(2)完整性檢查型完整性檢查型軟件采用比較法和校驗和法，監(jiān)視觀察對象（包括引導(dǎo)扇區(qū)和計算機(jī)文件等）的屬性（包括大小、時間、日期和校驗和等）和內(nèi)容是否發(fā)生改變，如果檢測出變化，則觀察對象極有可能已遭病毒感染。(3)行為封鎖型行為封鎖型軟件采用駐留內(nèi)存在后臺工作的方式，監(jiān)視可能因病毒引起的異常行為，如果發(fā)現(xiàn)異常行為，便及時警告用戶，由用戶決定該行為是否繼續(xù)。這類軟件試圖阻止任何病毒的異常行為，因此可以防止新的未知病毒的傳播和破壞。當(dāng)然，有的“可疑行為”是正常的，所以出現(xiàn)“誤診”總是難免的。2.病毒防治軟件的選購選購病毒防治軟件時，需要注意的指標(biāo)包括檢測速度、識別率、清除效果、可管理性、操作界面友好性、升級難易度、技術(shù)支持水平等諸多方面。(1)檢測速度(2)識別率(3)清除效果惡意代碼是指黑客編寫的擾亂社會和他人甚至起著破壞作用的計算機(jī)程序，計算機(jī)病毒是惡意代碼中最常見的一種。為了保障計算機(jī)系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，有必要懂得惡意代碼與計算機(jī)病毒的基本概念、工作原理和防止措施。14.4本章小結(jié)惡意代碼按照是否需要宿主和是否能夠自我復(fù)制分為4大類：（1）不感染的依附性惡意代碼，包括特洛伊木馬、邏輯炸彈、后門或陷門等。（2）不感染的獨(dú)立性惡意代碼，包括點(diǎn)滴器、繁殖器、惡作劇等。（3）可感染的依附性惡意代碼，主要是病毒。（4）可感染的獨(dú)立性惡意代碼，包括蠕蟲、細(xì)菌等。計算機(jī)病毒的基本特征有傳染性、隱蔽性、潛伏性、多態(tài)性和破壞性。計算機(jī)病毒主要由潛伏機(jī)制、傳染機(jī)制和表現(xiàn)機(jī)制構(gòu)成。惡意代碼或計算機(jī)病毒的防治應(yīng)采取“以防為主，與治結(jié)合，互為補(bǔ)充”的策略，不可偏廢任何一方面。病毒防治技術(shù)包括預(yù)防技術(shù)、免疫技術(shù)、檢測技術(shù)和消除技術(shù)。有效的病毒防治部署采用基于網(wǎng)絡(luò)的多層次的病毒防御體系。病毒防治不僅是技術(shù)問題，更是社會問題、管理問題和教育問題，應(yīng)建立和健全相應(yīng)的國家法律和法規(guī)，建立和健全相應(yīng)的管理制度和規(guī)章，加強(qiáng)和普及相應(yīng)的知識宣傳和培訓(xùn)。病毒防治軟件按其查毒殺毒機(jī)制分為病毒掃描型、完整性檢查型和行為封鎖型。選購病毒防治軟件時，需要注意的指標(biāo)包括檢測速度、識別率、清除效果、可管理性、操作界面友好性、升級難易度、技術(shù)支持水平等諸多方面。14-1畫出下面惡意代碼類別與實例的對應(yīng)關(guān)系。類別A.不感染、依附性B.不感染、獨(dú)立性C.可感染、依附性D.可感染、獨(dú)立性實例習(xí)題a.后門（backdoor）b.點(diǎn)滴器（dropper）c.繁殖器（generator）d.細(xì)菌（germ）e.惡作?。╤oax）f.邏輯炸彈（LogicBomb）g.陷門（trapdoor）h.特洛伊木馬（TrojanHorse）i.病毒（virus）j.蠕蟲（worm）14-2計算機(jī)病毒有哪些基本特征？14-3計算機(jī)病毒主要由（）機(jī)制、（）機(jī)制和（）機(jī)制構(gòu)成。14-4計算機(jī)病毒按連接方式分為（）、（）、（）和（），按破壞性質(zhì)分為（）和（），按感染方式分為（）、（）和（）。A.良性病毒B.源碼型病毒C.惡性病毒D.嵌入型病毒E.引導(dǎo)型病毒F.外殼型病毒G.文