第七章-恶意代码与防治计算机网络安全教程

第7章恶意代码分析与防治6内容提要◎恶意代码的发展史和恶意代码长期存在的原因◎恶意代码实现机理、定义以及攻击方法◎恶意代码生存技术、隐藏技术，介绍网络蠕虫的定义以及结构◎恶意代码防范方法：基于主机的检测方法和基于网络的检测方法7.1恶意代码概述代码是指计算机程序代码，可以被执行完成特定功能。任何食物事物都有正反两面，人类发明的所有工具既可造福也可作孽，这完全取决于使用工具的人。计算机程序也不例外，软件工程师们编写了大量的有用的软件（操作系统，应用系统和数据库系统等）的同时，黑客们在编写编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码（MaliciousCodes）。7.1.1研究恶意代码的必要性在Internet安全事件中，恶意代码造成的经济损失占有最大的比例。恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（TrojanHorse）、后门程序（Backdoor）、逻辑炸弹（LogicBomb）等等。与此同时，恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。恶意代码问题，不仅使企业和用户蒙受了巨大的经济损失，而且使国家的安全面临着严重威胁。目前国际上一些发达国家(如美国，德国，日本等国)均已在该领域投入大量资金和人力进行了长期的研究，并取得了一定的技术成果。据报道，1991年的海湾战争，美国在伊拉克从第三方国家购买的打印机里植入了可远程控制的恶意代码，在战争打响前，使伊拉克整个计算机网络管理的雷达预警系统全部瘫痪，这是美国第一次公开在实战中使用恶意代码攻击技术取得的重大军事利益。7.1.1研究恶意代码的必要性恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上，还是军事上，都成为信息安全面临的首要问题。恶意代码的机理研究成为解决恶意代码问题的必需途径，只有掌握当前恶意代码的实现机理，加强对未来恶意代码趋势的研究，才能在恶意代码问题上取得先决之机。一个典型的例子是在电影《独立日》中，美国空军对外星飞船进行核轰炸没有效果，最后给敌人飞船系统注入恶意代码，使敌人飞船的保护层失效，从而拯救了地球，从中可以看出恶意代码研究的重要性。7.1.2恶意代码的发展史恶意代码经过20多年的发展，破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。1988年11月泛滥的Morris蠕虫，顷刻之间使得6000多台计算机（占当时Internet上计算机总数的10%多）瘫痪，造成严重的后果，并因此引起世界范围内关注。1998年CIH病毒造成数十万台计算机受到破坏。1999年Happy99、Melissa病毒大爆发，Melissa病毒通过E-mail附件快速传播而使E-mail服务器和网络负载过重，它还将敏感的文档在用户不知情的情况下按地址簿中的地址发出。2000年5月爆发的“爱虫”病毒及其以后出现的50多个变种病毒，是近年来让计算机信息界付出极大代价的病毒，仅一年时间共感染了4000多万台计算机，造成大约87亿美元的经济损失。7.1.2恶意代码的发展史2001年，国信安办与公安部共同主办了我国首次计算机病毒疫情网上调查工作。结果感染过计算机病毒的用户高达73％，其中，感染三次以上的用户又占59％多，网络安全存在大量隐患。2001年8月，“红色代码”蠕虫利用微软Web服务器IIS4.0或5.0中Index服务的安全漏洞，攻破目标机器，并通过自动扫描方式传播蠕虫，在互联网上大规模泛滥。2003年，SLammer蠕虫在10分钟内导致互联网90％脆弱主机受到感染。同年8月，“冲击波”蠕虫爆发，8天内导致全球电脑用户损失高达20亿美元之多。2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播，给国家和社会造成了巨大的经济损失。恶意代码的发展目前，恶意代码问题成为信息安全需要解决的，迫在眉睫的、刻不容缓的安全问题。图7-1显示了过去20多年主要恶意代码事件。恶意代码从80年代发展至今体现出来的3个主要特征①恶意代码日趋复杂和完善：从非常简单的，感染游戏的AppleII病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫。恶意代码在快速传播机制和生存性技术研究取得了很大的成功。②恶意代码编制方法及发布速度更快：恶意代码刚出现时发展较慢，但是随着网络飞速发展，Internet成为恶意代码发布并快速蔓延的平台。特别是过去5年，不断涌现的恶意代码，证实了这一点。③从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码：恶意代码的早期，大多数攻击行为是由病毒和受感染的可执行文件引起的。然而，在过去5年，利用系统和网络的脆弱性进行传播和感染开创了恶意代码的新纪元。7.1.3恶意代码长期存在的原因计算机技术飞速发展的同时并未使系统的安全性得到增强。技术进步带来的安全增强能力最多只能弥补由应用环境的复杂性带来的安全威胁的增长程度。不但如此，计算机新技术的出现还很有可能使计算机系统的安全变得比以往更加脆弱。AT&T实验室的S.Bellovin曾经对美国CERT（ComputerEmergencyResponseTeam）提供的安全报告进行过分析，分析结果表明，大约50%的计算机网络安全问题是由软件工程中产生的安全缺陷引起的，其中，很多问题的根源都来自于操作系统的安全脆弱性。互联网的飞速发展为恶意代码的广泛传播提供了有利的环境。互联网具有开放性的特点，缺乏中心控制和全局视图能力，无法保证网络主机都处于统一的保护之中。计算机和网络系统存在设计上的缺陷，这些缺陷会导致安全隐患。7.2码码恶恶意意代代码码实实现现机机理理早期期恶恶意意代代码码的的主主要要形形式式是是计计算算机机病病毒毒。。80年代代，，Cohen设计计出出一一种种在在运运行行过过程程中中可可以以复复制制自自身身的的破破坏坏性性程程序序，，Adleman将它它命命名名为为计计算算机机病病毒毒，，它它是是早早期期恶恶意意代代码码的的主主要要内内容容。。随随后后，，Adleman把病病毒毒定定义义为为一一个个具具有有相相同同性性质质的的程程序序集集合合，，只只要要程程序序具具有有破破坏坏、、传传染染或或模模仿仿的的特特点点，，就就可可认认为为是是计计算算机机病病毒毒。。这这种种定定义义有有将将病病毒毒内内涵涵扩扩大大化化的的倾倾向向，，将将任任何何具具有有破破坏坏作作用用的的程程序序都都认认为为是是病病毒毒，，掩掩盖盖了了病病毒毒潜潜伏伏、、传传染染等等其其它它重重要要特特征征。。7.2.1恶恶意意代代码码的的定定义义90年代代末末，，恶恶意意代代码码的的定定义义随随着着计计算算机机网网络络技技术术的的发发展展逐逐渐渐丰丰富富，，Grimes将恶恶意意代代码码定定义义为为，，经经过过存存储储介介质质和和网网络络进进行行传传播播，，从从一一台台计计算算机机系系统统到到另另外外一一台台计计算算机机系系统统，，未未经经授授权权认认证证破破坏坏计计算算机机系系统统完完整整性性的的程程序序或或代代码码。。它它包包括括计计算算机机病病毒毒(ComputerVirus)、蠕蠕虫虫(Worms)、特特洛洛伊伊木木马马(TrojanHorse)、逻逻辑辑炸炸弹弹(LogicBombs)、病病菌菌(Bacteria)、用用户户级级RootKit、核核心心级级RootKit、脚脚本本恶恶意意代代码码(MaliciousScripts)和恶恶意意ActiveX控件件等等。。由由此此定定义义，，恶恶意意代代码码两两个个显显著著的的特特点点是是：：非非授授权权性性和和破破坏坏性性。。恶意意代代码码的的相相关关定定义义恶意代码类型定义特点计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。潜伏、传染和破坏计算机蠕虫指通过计算机网络自我复制，消耗系统资源和网络资源的程序扫描、攻击和扩散特洛伊木马指一种与远程计算机建立连接，使远程计算机能够通过网络控制本地计算机的程序。欺骗、隐蔽和信息窃取逻辑炸弹指一段嵌入计算机系统程序的，通过特殊的数据或时间作为条件触发，试图完成一定破坏功能的程序。潜伏和破坏病菌指不依赖于系统软件，能够自我复制和传播，以消耗系统资源为目的的程序。传染和拒绝服务用户级RootKit指通过替代或者修改被系统管理员或普通用户执行的程序进入系统，从而实现隐藏和创建后门的程序。隐蔽，潜伏核心级RootKit指嵌入操作系统内核进行隐藏和创建后门的程序隐蔽，潜伏7.2.2恶恶意意代代码码攻攻击击机机制制恶意意代代码码的的行行为为表表现现各各异异，，破破坏坏程程度度千千差差万万别别，，但但基基本本作作用用机机制制大大体体相相同同，，其其整整个个作作用用过过程程分分为为6个部部分分：：①侵侵入入系系统统。。侵侵入入系系统统是是恶恶意意代代码码实实现现其其恶恶意意目目的的的的必必要要条条件件。。恶恶意意代代码码入入侵侵的的途途径径很很多多，，如如：：从从互互联联网网下下载载的的程程序序本本身身就就可可能能含含有有恶恶意意代代码码；；接接收收已已经经感感染染恶恶意意代代码码的的电电子子邮邮件件；；从从光光盘盘或或软软盘盘往往系系统统上上安安装装软软件件；；黑黑客客或或者者攻攻击击者者故故意意将将恶恶意意代代码码植植入入系系统统等等。。②维维持持或或提提升升现现有有特特权权。。恶恶意意代代码码的的传传播播与与破破坏坏必必须须盗盗用用用用户户或或者者进进程程的的合合法法权权限限才才能能完完成成。。③隐蔽策略。。为了不让系系统发现恶意意代码已经侵侵入系统，恶恶意代码可能能会改名、删删除源文件或或者修改系统统的安全策略略来隐藏自己己。④潜伏。恶意意代码侵入系系统后，等待待一定的条件件，并具有足足够的权限时时，就发作并并进行破坏活活动。⑤破坏。恶意意代码的本质质具有破坏性性，其目的是是造成信息丢丢失、泄密，，破坏系统完完整性等。⑥重复①至⑤⑤对新的目标标实施攻击过过程。恶意代码的攻攻击模型7.3恶意意代码实现关关键技术一段好的恶意意代码，首先先必须具有良良好隐蔽性，，生存性，不不能轻松被软软件或者用户户察觉。然后后，必须具有有良好的攻击击性。7.3.1恶恶意代码生生存技术生存技术主要要包括4方面：反跟踪技术加密技术模糊变换技术术自动生产技术术。反跟踪技术可可以减少被发发现的可能性性，加密技术术是恶意代码码自身保护的的重要机制。。1.反跟踪踪技术（1）禁止跟踪中中断。针对调调试分析工具具运行系统的的单步中断和和断点中断服服务程序，恶恶意代码通过过修改中断服服务程序的入入口地址实现现其反跟踪目目的。“1575”计算机病毒采采用该方法将将堆栈指针指指向处于中断断向量表中的的INT0至INT3区域，阻止调调试工具对其其代码进行跟跟踪。（2）封锁键盘输输入和屏幕显显示，破坏各各种跟踪调试试工具运行的的必需环境；；（3）检测跟踪法法。检测跟踪踪调试时和正正常执行时的的运行环境、、中断入口和和时间的差异异，根据这些些差异采取一一定的措施，，实现其反跟跟踪目的。例例如，通过操操作系统的API函数试图打开开调试器的驱驱动程序句柄柄，检测调试试器是否激活活确定代码是是否继续运行行。（4）其它反跟踪踪技术。如指指令流队列法法和逆指令流流法等。反静态分析技技术主要包括括两方面内容容（1）对程序代码码分块加密执执行。为了防防止程序代码码通过反汇编编进行静态分分析，程序代代码以分块的的密文形式装装入内存，在在执行时由解解密程序进行行译码，某一一段代码执行行完毕后立即即清除，保证证任何时刻分分析者不可能能从内存中得得到完整的执执行代码；（2）伪指令法(JunkCode)。伪指令法系系指在指令流流中插入“废废指令”，使使静态反汇编编无法得到全全部正常的指指令，不能有有效地进行静静态分析。例例如，“Apparition””是一种基于编编译器变形的的Win32平台的病毒，，编译器每次次编译出新的的病毒体可执执行代码时都都要插入大量量的伪指令，，既达到了变变形的效果，，也实现了反反跟踪的目的的。此外，伪伪指令技术还还广泛应用于于宏病毒与脚脚本恶意代码码之中。2.加密技技术加密技术是恶恶意代码自我我保护的一种种手段，加密密技术和反跟跟踪技术的配配合使用，使使得分析者无无法正常调试试和阅读恶意意代码，不知知道恶意代码码的工作原理理，也无法抽抽取特征串。。从加密的内内容上划分，，加密手段分分为信息加密密、数据加密密和程序代码码加密三种。。大多数恶意代代码对程序体体自身加密，，另有少数恶恶意代码对被被感染的文件件加密。例如如，“Cascade”是第一例采用用加密技术的的DOS环境下的恶意意代码，它有有稳定的解密密器，可以解解密内存中加加密的程序体体。“Mad”和“Zombie”是“Cascade”加密技术的延延伸，使恶意意代码加密技技术走向32位的操作系统统平台。此外外，“中国炸炸弹”(Chinesebomb)和“幽灵病毒毒”也是这一一类恶意代码码。3.模糊变变换技术（1）指令替替换技术。（2）指令压压缩技术。（3）指令扩扩展技术。（4）伪指令令技术。（5）重编译译技术。4.自动生生产技术恶意代码自动动生产技术是是针对人工分分析技术的。。“计算机病病毒生成器””，使对计算算机病毒一无无所知的用户户，也能组合合出算法不同同、功能各异异的计算机病病毒。“多态态性发生器””可将普通病病毒编译成复复杂多变的多多态性病毒。。多态变换引擎擎可以使程序序代码本身发发生变化，并并保持原有功功能。保加利利亚的“DarkAvenger”是较为著名的的一个例子，，这个变换引引擎每产生一一个恶意代码码，其程序体体都会发生变变化，反恶意意代码软件如如果采用基于于特征的扫描描技术，根本本无法检测和和清除这种恶恶意代码。7.3.2恶恶意代码攻攻击技术常见的攻击技技术包括：进进程注入技术术、三线程技技术、端口复复用技术、超超级管理技术术、端口反向向连接技术和和缓冲区溢出出攻击技术。。1.进程注注入技术当前操作系统统中都有系统统服务和网络络服务，它们们都在系统启启动时自动加加载。进程注注入技术就是是将这些与服服务相关的可可执行代码作作为载体，恶恶意代码程序序将自身嵌入入到这些可执执行代码之中中，实现自身身隐藏和启动动的目的。这种形式的恶恶意代码只须须安装一次，，以后就会被被自动加载到到可执行文件件的进程中，，并且会被多多个服务加载载。只有系统统关闭时，服服务才会结束束，所以恶意意代码程序在在系统运行时时始终保持激激活状态。比比如恶意代码码“WinEggDropShell””可以注入Windows下的大部分服服务程序。2.三线程程技术在Windows操作系统中引引入了线程的的概念，一个个进程可以同同时拥有多个个并发线程。。三线程技术术就是指一个个恶意代码进进程同时开启启了三个线程程，其中一个个为主线程，，负责远程控控制的工作。。另外两个辅辅助线程是监监视线程和守守护线程，监监视线程负责责检查恶意代代码程序是否否被删除或被被停止自启动动。守护线程注入入其它可执行行文件内，与与恶意代码进进程同步，一一旦进程被停停止，它就会会重新启动该该进程，并向向主线程提供供必要的数据据，这样就能能保证恶意代代码运行的可可持续性。例例如，“中国国黑客”等就就是采用这种种技术的恶意意代码。3.端口复复用技术端口复用技术术，系指重复复利用系统网网络打开的端端口（如25、80、135和139等常用端端口）传送数数据，这样既既可以欺骗防防火墙，又可可以少开新端端口。端口复复用是在保证证端口默认服服务正常工作作的条件下复复用，具有很很强的欺骗性性。例如，特特洛伊木马““Executor”利利用80端端口传递控制制信息和数据据，实现其远远程控制的目目的。4.超级管管理技术一些恶意代码码还具有攻击击反恶意代码码软件的能力力。为了对抗抗反恶意代码码软件，恶意意代码采用超超级管理技术术对反恶意代代码软件系统统进行拒绝服服务攻击，使使反恶意代码码软件无法正正常运行。例例如，“广外外女生”是一一个国产的特特洛伊木马，，它采用超级级管理技术对对“金山毒霸霸”和“天网网防火墙”进进行拒绝服务务攻击。5.端口反反向连接技术术防火墙对于外外部网络进入入内部网络的的数据流有严严格的访问控控制策略，但但对于从内网网到外网的数数据却疏于防防范。端口反反向连接技术术，系指令恶恶意代码攻击击的服务端（（被控制端））主动连接客客户端（控制制端）。国外的“Boinet”是最先实现这这项技术的木木马程序，它它可以通过ICO、IRC、HTTP和反向主动连连接这4种方式联系客客户端。国内内最早实现端端口反向连接接技术的恶意意代码是“网网络神偷”。。“灰鸽子””则是这项技技术的集大成成者，它内置置FTP、域名、服务务端主动连接接这3种服务端在线线通知功能。。6.缓冲区区溢出攻击技技术缓冲区溢出漏漏洞攻击占远远程网络攻击击的80％，这种攻击击可以使一个个匿名的Internet用户有机会获获得一台主机机的部分或全全部的控制权权，代表了一一类严重的安安全威胁。恶恶意代码利用用系统和网络络服务的安全全漏洞植入并并且执行攻击击代码，攻击击代码以一定定的权限运行行有缓冲区溢溢出漏洞的程程序，从而获获得被攻击主主机的控制权权。缓冲区溢出攻攻击成为恶意意代码从被动动式传播转为为主动式传播播的主要途径径。例如，““红色代码””利用IISServer上IndexingService的缓冲区溢出出漏洞完成攻攻击、传播和和破坏等恶意意目的。“尼尼姆达蠕虫””利用IIS4.0/5.0DirectoryTraversal的弱点，以及及红色代码II所留下的后门门，完成其传传播过程。7.3.3恶恶意代码的的隐蔽技术隐藏通常包括括本地隐藏和和通信隐藏，，其中本地隐隐藏主要有文文件隐藏、进进程隐藏、网网络连接隐藏藏、内核模块块隐藏、编译译器隐藏等。。网络隐藏主主要包括通信信内容隐藏和和传输通道隐隐藏。1.本地隐隐藏本地隐蔽是指指为了防止本本地系统管理理人员觉察而而采取的隐蔽蔽手段。本地地系统管理人人员通常使用用“查看进程程列表”，““查看目录””，“查看内内核模块”，，“查看系统统网络连接状状态”等管理理命令来检测测系统是否被被植入了恶意意代码。隐蔽手段隐蔽手段主要要有三类：一一类方法是将将恶意代码隐隐蔽（附着、、捆绑或替换换）在合法程程序中，可以以避过简单管管理命令的检检查；另一类类方法是如果果恶意代码能能够修改或替替换相应的管管理命令，也也就是把相应应管理命令恶恶意代码化，，使相应的输输出信息经过过处理以后再再显示给用户户，就可以很很容易地达到到蒙骗管理人人员，隐蔽恶恶意代码自身身的目的；还还有一类方法法是分析管理理命令的检查查执行机制，，利用管理命命令本身的弱弱点巧妙地避避过管理命令令，可以达到到既不修改管管理命令，又又达到隐蔽的的目的。本地隐藏包括括5个方面（1）文件隐隐蔽。（2）进程隐隐蔽。（3）网络连连接隐蔽。（4）编译器器隐蔽。（5）RootKit隐隐蔽。2.网络隐隐蔽现在计算机用用户的安全意意识较以前有有了很大提高高。在网络中中，普遍采用用了防火墙、、入侵检测和和漏洞扫描等等安全措施。。那种使用传传统通信模式式的恶意代码码客户端与服服务端之间的的会话已不能能逃避上述安安全措施的检检测，恶意代代码需要使用用更加隐蔽的的通信方式。。使用加密算法法对所传输的的内容进行加加密能够隐蔽蔽通信内容。。隐蔽通信内内容虽然可以以保护通信内内容，但无法法隐蔽通信状状态，因此传传输信道的隐隐蔽也具有重重要的意义。。对传输信道道的隐蔽主要要采用隐蔽通通道技术。美美国国防部可可信操作系统统评测标准对对隐蔽通道进进行了如下定定义：隐蔽通道是允允许进程违反反系统安全策策略传输信息息的通道。隐隐蔽通道分为为两种类型：：存储隐蔽通通道和时间隐隐蔽通道。存存储隐蔽通道道是一个进程程能够直接或或间接访问某某存储空间，，而该存储空空间又能够被被另一个进程程所访问，这这两个进程之之间所形成的的通道称之为为存储隐蔽通通道。时间隐隐蔽通道是一一个进程对系系统性能产生生的影响可以以被另外一个个进程观察到到并且可以利利用一个时间间基准进行测测量，这样形形成的信息传传递通道称为为时间隐蔽通通道。7.4网络络蠕虫随着网络系统统应用及复杂杂性的增加，，网络蠕虫成成为网络系统统安全的重要要威胁。在网网络环境下，，多样化的传传播途径和复复杂的应用环环境使网络蠕蠕虫的发生频频率增高、潜潜伏性变强、、覆盖面更广广，网络蠕虫虫成为恶意代代码研究中重重中之重。7.4.1网网络蠕虫的的定义网络蠕虫是一一种智能化、、自动化的计计算机程序，，综合了网络络攻击、密码码学和计算机机病毒等技术术，是一种无无需计算机使使用者干预即即可运行的攻攻击程序或代代码，它会扫扫描和攻击网网络上存在系系统漏洞的节节点主机，通通过局域网或或者国际互联联网从一个节节点传播到另另外一个节点点。蠕虫具有主动动攻击、行踪踪隐蔽、利用用漏洞、造成成网络拥塞、、降低系统性性能、产生安安全隐患、反反复性和破坏坏性等特征，，网络蠕虫是是无须计算机机使用者干预预即可运行的的独立程序，，它通过不停停地获得网络络中存在漏洞洞的计算机上上的部分或全全部控制权来来进行传播。。7.4.2蠕蠕虫的结构构网络蠕虫的功功能模块可以以分为主体功功能模块和辅辅助功能模块块。实现了主主体功能模块块的蠕虫能够够完成复制传传播流程，而而包含辅助功功能模块的蠕蠕虫程序则具具有更强的生生存能力和破破坏能力1.主体功功能模块主体功能模块块由四个模块块构成：①信信息搜集模块块。该模块决决定采用何种种搜索算法对对本地或者目目标网络进行行信息搜集，，内容包括本本机系统信息息、用户信息息、邮件列表表、对本机的的信任或授权权的主机、本本机所处网络络的拓扑结构构，边界路由由信息等等，，这些信息可可以单独使用用或被其他个个体共享；②②扫描探测模模块。完成对对特定主机的的脆弱性检测测，决定采用用何种的攻击击渗透方式；；③攻击渗透透模块。该模模块利用②获获得的安全漏漏洞，建立传传播途径，该该模块在攻击击方法上是开开放的、可扩扩充的；④自自我推进模块块。该模块可可以采用各种种形式生成各各种形态的蠕蠕虫副本，在在不同主机间间完成蠕虫副副本传递。例例如“Nimda””会生生成成多多种种文文件件格格式式和和名名称称的的蠕蠕虫虫副副本本；；““W32.Nachi.Worm””利用用系系统统程程序序（（例例如如TFTP）来来完完成成推推进进模模块块的的功功能能等等等等。。2.辅辅助助功功能能模模块块辅助助功功能能模模块块是是对对除除主主体体功功能能模模块块外外的的其其他他模模块块的的归归纳纳或或预预测测，，主主要要由由五五个个功功能能模模块块构构成成：：①①实实体体隐隐藏藏模模块块。。包包括括对对蠕蠕虫虫各各个个实实体体组组成成部部分分的的隐隐藏藏、、变变形形、、加加密密以以及及进进程程的的隐隐藏藏，，主主要要提提高高蠕蠕虫虫的的生生存存能能力力；；②②宿宿主主破破坏坏模模块块。。该该模模块块用用于于摧摧毁毁或或破破坏坏被被感感染染主主机机，，破破坏坏网网络络正正常常运运行行，，在在被被感感染染主主机机上上留留下下后后门门等等；；③③信信息息通通信信模模块块。。该该模模块块能能使使蠕蠕虫虫间间、、蠕蠕虫虫同同黑黑客客之之间间能能进进行行交交流流，，这这是是未未来来蠕蠕虫虫发发展展的的重重点点；；利利用用通通信信模模块块，，蠕蠕虫虫间间可可以以共共享享某某些些信信息息，，使使蠕蠕虫虫的的编编写写者者更更好好地地控控制制蠕蠕虫虫行行为为；；④④远远程程控控制制模模块块。。控控制制模模块块的的功功能能是是调调整整蠕蠕虫虫行行为为，，控控制制被被感感染染主主机机，，执执行行蠕蠕虫虫编编写写者者下下达达的的指指令令；；⑤⑤自自动动升升级级模模块块。。该该模模块块可可以以使使蠕蠕虫虫编编写写者者随随时时更更新新其其它它模模块块的的功功能能，，从从而而实实现现不不同同的的攻攻击击目目的的。。7.5恶恶意意代代码码防防范范方方法法目前前，，恶恶意意代代码码防防范范方方法法主主要要分分为为两两方方面面：：基基于于主主机机的的恶恶意意代代码码防防范范方方法法和和基基于于网网络络的的恶恶意意代代码码防防范范方方法法。。7.5.1基于于主主机机的的恶恶意意代代码码防防范范方方法法主要要包包括括：：基基于于特特征征的的扫扫描描技技术术、、校校验验和和、、沙沙箱箱技技术术和和安安全全操操作作系系统统对对恶恶意意代代码码的的防防范范，，等等等等。。1.基基于于特特征征的的扫扫描描技技术术基于于主主机机的的恶恶意意代代码码防防范范方方法法是是目目前前检检测测恶恶意意代代码码最最常常用用的的技技术术，，主主要要源源于于模模式式匹匹配配的的思思想想。。扫扫描描程程序序工工作作之之前前，，必必须须先先建建立立恶恶意意代代码码的的特特征征文文件件，，根根据据特特征征文文件件中中的的特特征征串串，，在在扫扫描描文文件件中中进进行行匹匹配配查查找找。。用用户户通通过过更更新新特特征征文文件件更更新新扫扫描描软软件件，，查查找找最最新新的的恶恶意意代代码码版版本本。。这这种种技技术术广广泛泛地地应应用用于于目目前前的的反反病病毒毒引引擎擎中中恶意代码码防范工工作流程程基于特征征的扫描描技术主主要存在在两个方方面的问问题①它是一一种特征征匹配算算法，对对于加密密、变形形和未知知的恶意意代码不不能很好好地处理理；②需要用用户不断断升级更更新检测测引擎和和特征数数据库，，不能预预警恶意意代码入入侵，只只能做事事后处理理。2.校校验和校验和是是一种保保护信息息资源完完整性的的控制技技术，例例如Hash值和循环环冗余码码等。只只要文件件内部有有一个比比特发生生了变化化，校验验和值就就会改变变。未被被恶意代代码感染染的系统统首先会会生成检检测数据据，然后后周期性性地使用用校验和和法检测测文件的的改变情情况。运运用校验验和法检检查恶意意代码有有3种方法：：（1）在恶意意代码检检测软件件中设置置校验和和法。对对检测的的对象文文件计算算其正常常状态的的校验和和并将其其写入被被查文件件中或检检测工具具中，而而后进行行比较。。（2）在应用用程序中中嵌入校校验和法法。将文文件正常常状态的的校验和和写入文文件本身身中，每每当应用用程序启启动时，，比较现现行校验验和与原原始校验验和，实实现应用用程序的的自我检检测功能能。（3）将校验验和程序序常驻内内存。每每当应用用程序开开始运行行时，自自动比较较检查应应用程序序内部或或别的文文件中预预留保存存的校验验和。校验和两两个缺点点校验和可可以检测测未知恶恶意代码码对文件件的修改改，但也也有两个个缺点：：首先，，校验和和法实际际上不能能检测文文件是否否被恶意意代码感感染，它它只是查查找变化化。即使使发现恶恶意代码码造成了了文件的的改变，，校验和和法也无无法将恶恶意代码码消除，，也不能能判断究究竟被那那种恶意意代码感感染。其其次，恶恶意代码码可以采采用多种种手段欺欺骗校验验和法，，使之认认为文件件没有改改变。3.沙沙箱技术术沙箱技术术指根据据系统中中每一个个可执行行程序的的访问资资源，以以及系统统赋予的的权限建建立应用用程序的的“沙箱箱”，限限制恶意意代码的的运行。。每个应应用程序序都运行行在自己己的且受受保护的的“沙箱箱”之中中，不能能影响其其它程序序的运行行。同样样，这些些程序的的运行也也不能影影响操作作系统的的正常运运行，操操作系统统与驱动动程序也也存活在在自己的的“沙箱箱”之中中。美国国加州大大学Berkeley实验室开开发了基基于Solaris操作系统统的沙箱箱系统，，应用程程序经过过系统底底层调用用解释执执行，系系统自动动判断应应用程序序调用的的底层函函数是否否符合系系统的安安全要求求，并决决定是否否执行。。4.安全操作作系统对对恶意代代码的防防范恶意代码码成功入入侵的重重要一环环是，获获得系统统的控制制权，使使操作系系统为它它分配系系统资源源。无论论哪种恶恶意代码码，无论论要达到到何种恶恶意目的的，都必必须具有有相应的的权限。。没有足足够的权权限，恶恶意代码码不可能能实现其其预定的的恶意目目标，或或者仅能能够实现现其部分分恶意目目标。7.5.2基于网络络的恶意意代码防防范方法法由于恶意意代码具具有相当当的复杂杂性和行行为不确确定性，，恶意代代码的防防范需要要多种技技术综合合应用，，包括恶恶意代码码监测与与预警、、恶意代代码传播播抑制、、恶意代代码漏洞洞自动修修复、恶恶意代码码阻断等等。基于于网络的的恶意代代码防范范方法包包括：恶恶意代码码检测防防御和恶恶意代码码预警。。其中常见见的恶意意代码检检测防御御包括：：基于GrIDS的恶意代代码检测测、基于于PLD硬件的检检测防御御、基于于HoneyPot的检测防防御和基基于CCDC的检测防防御。1.基基于GrIDS的恶意意代码检检测著名的GrIDS主要针对对大规模模网络攻攻击和自自动化入入侵设计计的，它它收集计计算机和和网络活活动的数数据以及及它们之之间的连连接，在在预先定定义的模模式库的的驱动下下，将这这些数据据构建成成网络活活动行为为来表征征网络活活动结构构上的因因果关系系。它通通过建立立和分析析节点间间的行为为图（ActivityGraph），通过过与预定定义的行行为模式式图进行行匹配，，检测恶恶意代码码是否存存在，是是当前检检测分布布式恶意意代码入入侵有效效的工具具。2.基基于PLD硬件件的检测测防御华盛顿大大学应用用研究室室的JohnW.Lockwood、JamesMoscola1和MatthewKulig等提出了了一种采采用可编编程逻辑辑设备（（ProgrammableLogicDevices，PLDs)对抗恶意意代码的的防范系系统。该该系统由由三个相相互内联联部件DED（DataEnablingDevice）、CMS（ContentMatchingServer）和RTP（RegionalTransactionProcessor）组成。。DED负责捕获获流经网网络出入入口的所所有数据据包，根根据CMS提供的特特征串或或规则表表达式对对数据包包进行扫扫描匹配配并把结结果传递递给RTP；CMS负责从后后台的MYSQL数据库中中读取已已经存在在的恶意意代码特特征，编编译综合合成DED设备可可以利利用特特征串串或规规则表表达式式；RTP根据匹匹配结结果决决定DED采取何何种操操作。。恶意意代码码大规规模入入侵时时，系系统管管理员员首先先把该该恶意意代码码的特特征添添加到到CMS的特征征数据据库中中，DED扫描到到相应应特征征才会会请求求RTP做出放放行还还是阻阻断等等响应应。3.基基于于HoneyPot的检检测防防御早期HoneyPot主要用用于防防范网网络黑黑客攻攻击。。ReVirt是能够够检测测网络络攻击击或网网络异异常行行为的的HoneyPot系统。。Spitzner首次运运用HoneyPot防御恶恶意代代码攻攻击。。HoneyPot之间可可以相相互共共享捕捕获的的数据据信息息，采采用NIDS的规则则生成成器产产生恶恶意代代码的的匹配配规则则，当当恶意意代码码根据据一定定的扫扫描策策略扫扫描存存在漏漏洞主主机的的地址址空间间时，，HoneyPots可以捕捕获恶恶意代代码扫扫描攻攻击的的数据据，然然后采采用特特征匹匹配来来判断断是否否有恶恶意代代码攻攻击。。4.基基于于CCDC的检检测防防御由于主主动式式传播播恶意意代码码具有有生物物病毒毒特征征，美美国安安全专专家提提议建建立CCDC（TheCyberCentersforDiseaseControl）来对对抗恶恶意代代码攻攻击。。防范范恶意意代码码的CCDC体系实实现以以下功功能：：①鉴鉴别恶恶意代代码的的爆发发期；；②恶恶意代代码样样本特特征分分析；；③恶恶意代代码传传染对对抗；；④恶恶意代代码新新的传传染途途径预预测；；⑤前前摄性性恶意意代码码对抗抗工具具研究究；⑥⑥对抗抗未来来恶意意代码码的威威胁。。CCDC能够实实现对对大规规模恶恶意代代码入入侵的的预警警、防防御和和阻断断。但但CCDC也存在在一些些问题题：①①CCDC是一个个规模模庞大大的防防范体体系，，要考考虑体体系运运转的的代价价；②②由于于CCDC体系的的开放放性，，CCDC自身的的安全