恶意代码与计算机病毒的防治

恶意代码与计算机病毒的防治第1页/共41页代码是指计算机程序代码，可以被执行完成特定功能。黑客编写的具有破坏作用的计算机程序，这就是恶意代码。14.1恶意代码

14.1.1恶意代码的概念第2页/共41页恶意代码可以按照两种分类标准，从两个角度进行直交分类。一种分类标准是，恶意代码是否需要宿主，即特定的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性，不能脱离宿主而独立运行；不需宿主的恶意代码具有独立性，可不依赖宿主而独立运行。另一种分类标准是，恶意代码是否能够自我复制。不能自我复制的恶意代码是不感染的；能够自我复制的恶意代码是可感染的。14.1.2恶意代码的分类第3页/共41页表14-1恶意代码的分类方法分类标准需要宿主无需宿主不能自我复制不感染的依附性恶意代码不感染的独立性恶意代码能够自我复制可感染的依附性恶意代码可感染的独立性恶意代码第4页/共41页表14-2恶意代码的分类实例类别实例不感染的依附性恶意代码特洛伊木马（Trojanhorse）逻辑炸弹（Logicbomb）后门（Backdoor）或陷门（Trapdoor）不感染的独立性恶意代码点滴器（Dropper）繁殖器（Generator）恶作剧（Hoax）可感染的依附性恶意代码病毒（Virus）可感染的独立性恶意代码蠕虫（Worm）细菌（Germ）第5页/共41页1.不感染的依附性恶意代码特洛伊木马特洛伊木马是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能，这些额外的功能往往是有害的。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到电子新闻组或通过电子邮件直接传播，很容易被不知情的用户接收和继续传播。(2)逻辑炸弹逻辑炸弹（Logicbomb）是一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件发生触发其破坏行为。一旦逻辑炸弹被触发，就会造成数据或文件的改变或删除、计算机死机等破坏性事件。第6页/共41页(3)后门或陷门后门（backdoor）或陷门（trapdoor）是进入系统或程序的一个秘密入口，它能够通过识别某种特定的输入序列或特定账户，使访问者绕过访问的安全检查，直接获得访问权利，并且通常高于普通用户的特权。多年来，程序员为了调试和测试程序一直合法地使用后门，但当程序员或他所在的公司另有企图时，后门就变成了一种威胁。第7页/共41页2.不感染的独立性恶意代码(1)点滴器点滴器（dropper）是为传送和安装其他恶意代码而设计的程序，它本身不具有直接的感染性和破坏性。点滴器专门对抗反病毒检测，使用了加密手段，以阻止反病毒程序发现它们。当特定事件出现时，它便启动，将自身包含的恶意代码释放出来。第8页/共41页(2)繁殖器繁殖器（generator）是为制造恶意代码而设计的程序，通过这个程序，把某些已经设计好的恶意代码模块按照使用者的选择组合起来而已，没有任何创造新恶意代码的能力。因此，检测由繁殖器产生的任何病毒都比较容易，只要通过搜索一个字符串，每种组合都可以被发现。(3)恶作剧恶作剧（hoax）是为欺骗使用者而设计的程序，它侮辱使用者或让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破坏”。第9页/共41页3.可感染的依附性恶意代码计算机病毒（viru）是一段附着在其他程序上的可以进行自我繁殖的代码。由此可见，计算机病毒是既有依附性，又有感染性。第10页/共41页4.可感染的独立性恶意代码(1)蠕虫计算机蠕虫（worm）是一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主，感染的是系统环境（如操作系统或邮件系统）。蠕虫利用一些网络工具复制和传播自身，其中包括：电子邮件蠕虫会把自身的副本邮寄到其他系统中；远程执行蠕虫能够执行在其他系统中的副本；远程登录蠕虫能够像用户一样登录到远程系统中，然后使用系统命令将其自身从一个系统复制到另一个系统中。第11页/共41页根据启动方式可分为几种。自动启动蠕虫（Self-LaunchingWorm）不需要与受害者交互而自动执行，如MorrisWorm；用户启动蠕虫（User-LaunchedWorm）必须由使用者来执行，因此需要一定的伪装，如CHRISTMAEXEC；混合启动蠕虫（Hybrid-LaunchWorm）包含上述两种启动方式。第12页/共41页(2)细菌计算机细菌（germ）是一种在计算机系统中不断复制自己的程序。以指数形式膨胀，最终会占用全部的处理器时间和内存或磁盘空间，从而导致计算资源耗尽无法为用户提供服务。细菌通常发生在多用户系统和网络环境中，目的就是占用所有的资源。第13页/共41页计算机病毒是一种可感染的依附性恶意代码。计算机病毒具有纯粹意义上的病毒特征外，还带有其他类型恶意代码的特征。蠕虫病毒就是最典型和最常见的恶意代码，它是蠕虫和病毒的混合体。14.2计算机病毒第14页/共41页《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”14.2.1计算机病毒的概念第15页/共41页计算机病毒（简称病毒）具有以下特征：（1）传染性病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。所谓“感染”，就是病毒将自身嵌入到合法程序的指令序列中，致使执行合法程序的操作会招致病毒程序的共同执行或以病毒程序的执行取而代之。（2）隐蔽性病毒一般是具有很高编程技巧的、短小精悍的一段代码，躲在合法程序当中。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。第16页/共41页（3）潜伏性病毒进入系统之后一般不会马上发作，默默地进行传染扩散而不被人发现。病毒的内部有一种触发机制，一旦触发条件得到满足，病毒便开始表现，有的只是在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作。触发条件可能是预定时间或日期、特定数据出现、特定事件发生等。（4）多态性病毒试图在每一次感染时改变它的形态，使对它的检测变得更困难。第17页/共41页（5）破坏性病毒一旦被触发而发作就会造成系统或数据的损伤甚至毁灭。病毒的破坏程度主要取决于病毒设计者的目的，如果病毒设计者的目的在于彻底破坏系统及其数据，那么这种病毒对于计算机系统进行攻击造成的后果是难以想像的，它可以毁掉系统的部分或全部数据并使之无法恢复。第18页/共41页计算机病毒主要由潜伏机制、传染机制和表现机制构成。在程序结构上由实现这3种机制的模块组成（见图14.1）。若某程序被定义为计算机病毒，只有传染机制是强制性的，潜伏机制和表现机制是非强制性的。14.2.2计算机病毒的结构第19页/共41页图14.1计算机病毒程序结构第20页/共41页1.潜伏机制潜伏机制的功能包括初始化、隐藏和捕捉。潜伏机制模块随着感染的宿主程序的执行进入内存，首先，初始化其运行环境，使病毒相对独立于宿主程序，为传染机制做好准备。然后，利用各种可能的隐藏方式，躲避各种检测，欺骗系统，将自己隐蔽起来。最后，不停地捕捉感染目标交给传染机制，不停地捕捉触发条件交给表现机制。第21页/共41页2.传染机制传染机制的功能包括判断和感染。传染机制先是判断候选感染目标是否已被感染，感染与否通过感染标记来判断，感染标记是计算机系统可以识别的特定字符或字符串。一旦发现作为候选感染目标的宿主程序中没有感染标记，就对其进行感染，也就是将病毒代码和感染标记放入宿主程序之中。第22页/共41页3.表现机制表现机制的功能包括判断和表现。表现机制首先对触发条件进行判断，然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样，然而不管是炫耀、玩笑、恶作剧，还是故意破坏，或轻或重都具有破坏性。表现机制反映了病毒设计者的意图，是病毒间差异最大的部分。潜伏机制和传染机制是为表现机制服务的。第23页/共41页防治病毒，“防”是主动的，“治”是被动的。首先要积极地“防”，尽量避免病毒入侵。对于入侵的病毒当然要努力地“治”，以尽量减少和挽回病毒造成的损失，。因此，病毒防治应采取“以防为主、与治结合、互为补充”的策略，不可偏废任何一方面。14.3防治措施第24页/共41页如上所述，病毒防治技术分为“防”和“治”两部分。“防”毒技术包括预防技术和免疫技术；“治”毒技术包括检测技术和消除技术。14.3.1病毒防治的技术第25页/共41页1.病毒检测技术病毒检测就是采用各种检测方法将病毒识别出来。目前，对已知病毒的识别主要采用特征判定技术，即静态判定技术，对未知病毒的识别除了特征判定技术外，还有行为判定技术，即动态判定技术。第26页/共41页4.病毒消除技术病毒消除的目的是清除受害系统中的病毒，恢复系统的原始无毒状态。具体来讲，就是针对系统中的病毒寄生场所或感染对象进行一一杀毒。第27页/共41页有效的病毒防治部署是采用基于网络的多层次的病毒防御体系。该体系在整个网络系统的各组成环节处，包括客户端、服务器、Internet网关和防火墙，设置防线，形成多道防线。即使病毒突破了一道防线，还有第二、第三道防线拦截，因此，能够有效地遏制病毒在网络上的扩散。14.3.2病毒防治的部署第28页/共41页病毒防治不仅是技术问题，更是社会问题、管理问题和教育问题。要做到以下几点：建立和健全相应的国家法律和法规；建立和健全相应的管理制度和规章；加强和普及相应的知识宣传和培训。14.3.3病毒防治的管理第29页/共41页1.病毒防治软件的类型病毒防治软件按其查毒杀毒机制可分为以下3种类型：(1)病毒扫描型病毒扫描型软件采用特征扫描法。这类软件具有检测速度快、误报率低和准确度高的优点，正因为能准确识别已知病毒，所以对被已知病毒感染的程序和数据一般都能恢复。要保证病毒防治的有效性，病毒特征码库和扫描引擎必须经常升级。14.3.4病毒防治软件第30页/共41页(2)完整性检查型完整性检查型软件采用比较法和校验和法，监视观察对象（包括引导扇区和计算机文件等）的属性（包括大小、时间、日期和校验和等）和内容是否发生改变，如果检测出变化，则观察对象极有可能已遭病毒感染。第31页/共41页(3)行为封锁型行为封锁型软件采用驻留内存在后台工作的方式，监视可能因病毒引起的异常行为，如果发现异常行为，便及时警告用户，由用户决定该行为是否继续。这类软件试图阻止任何病毒的异常行为，因此可以防止新的未知病毒的传播和破坏。当然，有的“可疑行为”是正常的，所以出现“误诊”总是难免的。第32页/共41页2.病毒防治软件的选购选购病毒防治软件时，需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。(1)检测速度(2)识别率(3)清除效果第33页/共41页恶意代码是指黑客编写的扰乱社会和他人甚至起着破坏作用的计算机程序，计算机病毒是恶意代码中最常见的一种。为了保障计算机系统和网络的正常运行，有必要懂得恶意代码与计算机病毒的基本概念、工作原理和防止措施。14.4本章小结第34页/共41页恶意代码按照是否需要宿主和是否能够自我复制分为4大类：（1）不感染的依附性恶意代码，包括特洛伊木马、逻辑炸弹、后门或陷门等。（2）不感染的独立性恶意代码，包括点滴器、繁殖器、恶作剧等。（3）可感染的依附性恶意代码，主要是病毒。（4）可感染的独立性恶意代码，包括蠕虫、细菌等。计算机病毒的基本特征有传染性、隐蔽性、潜伏性、多态性和破坏性。计算机病毒主要由潜伏机制、传染机制和表现机制构成。第35页/共41页恶意代码或计算机病毒的防治应采取“以防为主，与治结合，互为补充”的策略，不可偏废任何一方面。病毒防治技术包括预防技术、免疫技术、检测技术和消除技术。有效的病毒防治部署采用基于网络的多层次的病毒防御体系。病毒防治不仅是技术问题，更是社会问题、管理问题和教育问题，应建立和健全相应的国家法律和法规，建立和健全相应的管理制度和规章，加强和普及相应的知识宣传和培训。病毒防治软件按其查毒杀毒机制分为病毒扫描型、完整性检查型和行为封锁型。选购病毒防治软件时，需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。第36页/共41页14-1画出下面恶意代码类别与实例的对应关系。类别A.不感染、依附性B.不感染、独立性C.可感染、依附性D.可感染、独立性实例习题第37页/共41页a.后门（backdoor）b.点滴器（dropper）c.繁殖器（generator）d.细菌（germ）e.恶作剧（hoax）f.逻辑炸弹（Log