惡意代碼檢測(cè)與防范

惡意代碼檢測(cè)與防范主要內(nèi)容常見(jiàn)的惡意代碼惡意代碼機(jī)理惡意代碼檢測(cè)惡意代碼去除與預(yù)防惡意代碼

主要是指以危害信息的平安等不良意圖為目的的程序，它們一般潛伏在受害計(jì)算機(jī)系統(tǒng)中實(shí)施破壞或竊取信息。主要有計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬惡意代碼主要危害攻擊系統(tǒng)，造成系統(tǒng)癱瘓或操作異常危害數(shù)據(jù)文件的平安存儲(chǔ)和使用泄露文件、配置或隱秘信息肆意占用資源，影響系統(tǒng)或網(wǎng)絡(luò)性能常見(jiàn)的惡意代碼都是人為編制的程序?qū)ο到y(tǒng)具有破壞性或威脅性往往具有傳染性、潛伏性、非授權(quán)執(zhí)行性根據(jù)種類(lèi)不同還具有寄生性、欺騙性、針對(duì)性等惡意代碼的根本特征網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳播的主要載體網(wǎng)絡(luò)蠕蟲(chóng)成為最主要和破壞力最大的病毒類(lèi)型與黑客技術(shù)相結(jié)合，出現(xiàn)帶有明顯病毒特征的木馬或木馬特征的病毒出現(xiàn)病毒、信息家電病毒病毒制造傳播目的由以表現(xiàn)破壞為主轉(zhuǎn)向以獲利為主，木馬病毒成為當(dāng)前主流病毒惡意代碼的開(kāi)展趨勢(shì)計(jì)算機(jī)病毒是一類(lèi)具有寄生性、傳染性、破壞性的程序代碼，寄生性和傳染性是病毒區(qū)別于其他惡意代碼的本質(zhì)特征計(jì)算機(jī)病毒代碼不能獨(dú)立存在，必須插入到其他序或文件中，并隨著其他文件的運(yùn)行而被激活，然后駐留在內(nèi)存以便進(jìn)一步感染或者破壞可分為引導(dǎo)型、文件型、混合型病毒如CIH病毒，宏病毒等計(jì)算機(jī)病毒病毒的兩種存在狀態(tài)靜態(tài)：僅存在于文件中激活：駐留內(nèi)存，可以感染其他文件或磁盤(pán)僅感染本機(jī)的文件隨感染文件的傳播而傳播傳播方式軟盤(pán)、移動(dòng)硬盤(pán)、U盤(pán)、光盤(pán)等，特別是盜版光盤(pán)文件共享、電子郵件、網(wǎng)頁(yè)瀏覽、文件下載計(jì)算機(jī)病毒傳染傳播不依附其他程序，而是一段獨(dú)立的程序通過(guò)網(wǎng)絡(luò)把自身的拷貝傳播給其它計(jì)算機(jī)可以修改刪除其他程序，也可能通過(guò)反復(fù)自我復(fù)制占盡網(wǎng)絡(luò)或系統(tǒng)資源，造成拒絕效勞具備病毒復(fù)制和入侵攻擊雙重特點(diǎn)利用漏洞自主傳播如：紅色代碼、沖擊波等蠕蟲(chóng)蠕蟲(chóng)程序的傳播過(guò)程〔1〕掃描：蠕蟲(chóng)的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)，以便得到一個(gè)可傳染的對(duì)象?！?〕攻擊：攻擊模塊自動(dòng)攻擊找到的可傳染對(duì)象，取得該主機(jī)的權(quán)限，獲得一個(gè)shell。〔3〕復(fù)制：復(fù)制模塊通過(guò)兩主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到目標(biāo)主機(jī)并啟動(dòng)?？梢?jiàn)，傳播模塊實(shí)現(xiàn)的是自動(dòng)入侵的功能。蠕蟲(chóng)的傳播技術(shù)是蠕蟲(chóng)技術(shù)的首要技術(shù)。蠕蟲(chóng)木馬是一種程序，它能提供一些有用的或者令人感興趣的功能，但是還具有用戶(hù)不知道的其它功能。木馬不具有傳染性，不能自我復(fù)制，通常不被當(dāng)成病毒典型木馬如冰河、灰鴿子、Bo2K等木馬特洛伊木馬的分類(lèi)遠(yuǎn)程訪問(wèn)型密碼發(fā)送型鍵盤(pán)記錄型破壞型FTP型DoS攻擊型代理型木馬1、木馬效勞程序：也稱(chēng)效勞器端，是指被控制電腦內(nèi)被種植且被運(yùn)行的木馬程序，接受控制指令，執(zhí)行監(jiān)控功能2、木馬配置程序：設(shè)置木馬的參數(shù)，如端口號(hào)、木馬文件名稱(chēng)、啟動(dòng)方式等3、木馬控制程序：也稱(chēng)控制端，是指進(jìn)行操控和監(jiān)視的電腦內(nèi)運(yùn)行的程序，用以連接到效勞程序，發(fā)出控制指令，并接收效勞程序傳送來(lái)的數(shù)據(jù)。有時(shí)配置程序和控制程序集成在一起，統(tǒng)稱(chēng)控制端程序。木馬程序構(gòu)成配置木馬：設(shè)置木馬參數(shù)，實(shí)現(xiàn)偽裝和信息反響傳播木馬：如通過(guò)幫定程序?qū)⒛抉R幫定到某個(gè)合法或有用軟件，通過(guò)誘騙等方式傳播到用戶(hù)系統(tǒng)運(yùn)行木馬：用戶(hù)運(yùn)行捆綁木馬的軟件而安裝木馬，將木馬文件復(fù)制到系統(tǒng)，并設(shè)置觸發(fā)條件，以后可自動(dòng)運(yùn)行信息反響：木馬收集系統(tǒng)信息發(fā)送給控制端攻擊者建立連接：控制程序掃描運(yùn)行了木馬的主機(jī)〔開(kāi)放特定端口〕，添加到主機(jī)列表，并在特定端口建立連接實(shí)施監(jiān)控：實(shí)現(xiàn)遠(yuǎn)程控制，如同本地操作木馬的根本原理〔1〕以郵件附件的形式傳播：〔2〕將木馬程序捆綁在軟件安裝程序上，通過(guò)網(wǎng)絡(luò)下載傳播?！?〕通過(guò)聊天工具如QQ等傳送文件傳播〔4〕通過(guò)蠕蟲(chóng)程序植入?！?〕通過(guò)交互腳本或網(wǎng)頁(yè)植入〔6〕通過(guò)系統(tǒng)漏洞直接種植〔7〕通過(guò)各種介質(zhì)交換文件傳播木馬的傳播方式和應(yīng)用程序捆綁修改Windows系統(tǒng)注冊(cè)表

例如：下面注冊(cè)表中的某些鍵值HLM\Software\Microsoft\Windows\CurrentVersion\RunHLM\Software\Microsoft\Windows\CurrentVersion\RunServiceHLM\software\microsoft\windows\currentversion\runonceHCU\software\microsoft\windows\currentversion\run修改文件關(guān)聯(lián)

如冰河木馬修改文本文件關(guān)聯(lián)

HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值Notepad.exe1%改為Sysexplr.exe1%木馬的自加載運(yùn)行技術(shù)惡意代碼防范，是指通過(guò)建立合理的病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，從計(jì)算機(jī)中去除病毒代碼，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。防范體系管理體系技術(shù)體系防治策略主動(dòng)預(yù)防為主、被動(dòng)處理為輔預(yù)防、檢測(cè)、去除相結(jié)合惡意代碼防治及時(shí)備份重要數(shù)據(jù)和系統(tǒng)數(shù)據(jù)關(guān)注漏洞公告，及時(shí)更新系統(tǒng)或安裝補(bǔ)丁程序新購(gòu)置的機(jī)器、磁盤(pán)、軟件使用前進(jìn)行病毒檢測(cè)不要下載或使用來(lái)歷不明的軟件外用的磁盤(pán)盡量要寫(xiě)保護(hù)，外來(lái)的磁盤(pán)要檢毒安裝具有實(shí)時(shí)防病毒功能的防病毒軟件，并及時(shí)升級(jí)更新，定期檢測(cè)系統(tǒng)翻開(kāi)防病毒軟件的實(shí)時(shí)監(jiān)控功能建立嚴(yán)密的病毒監(jiān)測(cè)體系，及早發(fā)現(xiàn)病毒，及時(shí)去除病毒一般預(yù)防措施外觀檢測(cè)法病毒侵入系統(tǒng)后會(huì)是系統(tǒng)表現(xiàn)出一些異?，F(xiàn)象根據(jù)異?，F(xiàn)象判斷病毒的存在特征代碼法病毒特征碼是從病毒體內(nèi)抽取的代表病毒特征的唯一代碼串用每一種病毒的特征碼對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描病毒掃描軟件由兩局部組成病毒代碼庫(kù)：含有各種計(jì)算機(jī)病毒的代碼串掃描程序：利用該代碼庫(kù)進(jìn)行病毒掃描常用檢測(cè)方法軟件模擬法〔虛擬機(jī)技術(shù)〕常用于檢測(cè)多態(tài)型病毒模擬CPU運(yùn)行，在虛擬機(jī)下假執(zhí)行病毒的變體引擎解碼程序，平安的將多態(tài)病毒解碼，再加以掃描，從而識(shí)別病毒。行為監(jiān)測(cè)法〔啟發(fā)式掃描技術(shù)〕利用病毒特有的行為特征來(lái)監(jiān)測(cè)病毒病毒行為特征如：截取中斷、修改內(nèi)存、對(duì)可執(zhí)行文件寫(xiě)入、寫(xiě)引導(dǎo)扇區(qū)或格式化磁盤(pán)等注意：即使是最優(yōu)秀的防毒軟件也不可能檢測(cè)出所有的病毒常用檢測(cè)方法1〕反病毒措施傳統(tǒng)病毒不以文件獨(dú)立存在，且傳染性是其本質(zhì)，主要破壞本地文件系統(tǒng)，因此主要采用安裝反病毒軟件防治，并翻開(kāi)文件系統(tǒng)實(shí)時(shí)保護(hù)功能2〕反蠕蟲(chóng)措施對(duì)蠕蟲(chóng)來(lái)說(shuō)，蠕蟲(chóng)的傳播技術(shù)是其本質(zhì)，因此對(duì)蠕蟲(chóng)的預(yù)防主要是及時(shí)更新系統(tǒng)和給系統(tǒng)打補(bǔ)丁。對(duì)以文件形式獨(dú)立存在的蠕蟲(chóng)，可刪除文件來(lái)去除

對(duì)與傳統(tǒng)病毒結(jié)合的蠕蟲(chóng)病毒，要結(jié)合反病毒軟件或者蠕蟲(chóng)專(zhuān)殺工具針對(duì)不同惡意代碼的防治方法3〕反木馬技術(shù)木馬的偽裝和遠(yuǎn)程控制或通信是其本質(zhì)，其防治主要采用以下方法：安裝反病毒軟件安裝木馬專(zhuān)殺工具建立個(gè)人防火墻不要下載和執(zhí)行來(lái)歷不明的軟件和程序及時(shí)升級(jí)系統(tǒng)和給系統(tǒng)打補(bǔ)丁針對(duì)不同惡意代碼的防治方法1、反病毒軟件的選擇指標(biāo)1〕識(shí)別率：包括誤報(bào)率和漏報(bào)率2〕檢測(cè)速度：快速檢測(cè)2〕對(duì)新病毒的反響能力：能查殺最新病毒3〕文件系統(tǒng)實(shí)時(shí)監(jiān)控能力：能保護(hù)文件系統(tǒng)4〕防毒引擎和病毒特征代碼自動(dòng)更新能力2、知名的反病毒軟件：國(guó)際：卡巴斯基、諾頓、趨勢(shì)、McAfee等國(guó)內(nèi)：瑞星、金山、江民、冠群金辰、360等反病毒軟件1、建立多層次的病毒防護(hù)體系在每個(gè)臺(tái)式機(jī)上安裝臺(tái)式機(jī)的反病毒軟件在效勞器