恶意代码检测与防范

恶意代码检测与防范主要内容常见的恶意代码恶意代码机理恶意代码检测恶意代码去除与预防恶意代码

主要是指以危害信息的平安等不良意图为目的的程序，它们一般潜伏在受害计算机系统中实施破坏或窃取信息。主要有计算机病毒、蠕虫、木马恶意代码主要危害攻击系统，造成系统瘫痪或操作异常危害数据文件的平安存储和使用泄露文件、配置或隐秘信息肆意占用资源，影响系统或网络性能常见的恶意代码都是人为编制的程序对系统具有破坏性或威胁性往往具有传染性、潜伏性、非授权执行性根据种类不同还具有寄生性、欺骗性、针对性等恶意代码的根本特征网络成为计算机病毒传播的主要载体网络蠕虫成为最主要和破坏力最大的病毒类型与黑客技术相结合，出现带有明显病毒特征的木马或木马特征的病毒出现病毒、信息家电病毒病毒制造传播目的由以表现破坏为主转向以获利为主，木马病毒成为当前主流病毒恶意代码的开展趋势计算机病毒是一类具有寄生性、传染性、破坏性的程序代码，寄生性和传染性是病毒区别于其他恶意代码的本质特征计算机病毒代码不能独立存在，必须插入到其他序或文件中，并随着其他文件的运行而被激活，然后驻留在内存以便进一步感染或者破坏可分为引导型、文件型、混合型病毒如CIH病毒，宏病毒等计算机病毒病毒的两种存在状态静态：仅存在于文件中激活：驻留内存，可以感染其他文件或磁盘仅感染本机的文件随感染文件的传播而传播传播方式软盘、移动硬盘、U盘、光盘等，特别是盗版光盘文件共享、电子邮件、网页浏览、文件下载计算机病毒传染传播不依附其他程序，而是一段独立的程序通过网络把自身的拷贝传播给其它计算机可以修改删除其他程序，也可能通过反复自我复制占尽网络或系统资源，造成拒绝效劳具备病毒复制和入侵攻击双重特点利用漏洞自主传播如：红色代码、冲击波等蠕虫蠕虫程序的传播过程〔1〕扫描：蠕虫的扫描功能模块负责探测存在漏洞的主机，以便得到一个可传染的对象。〔2〕攻击：攻击模块自动攻击找到的可传染对象，取得该主机的权限，获得一个shell。〔3〕复制：复制模块通过两主机的交互将蠕虫程序复制到目标主机并启动。可见，传播模块实现的是自动入侵的功能。蠕虫的传播技术是蠕虫技术的首要技术。蠕虫木马是一种程序，它能提供一些有用的或者令人感兴趣的功能，但是还具有用户不知道的其它功能。木马不具有传染性，不能自我复制，通常不被当成病毒典型木马如冰河、灰鸽子、Bo2K等木马特洛伊木马的分类远程访问型密码发送型键盘记录型破坏型FTP型DoS攻击型代理型木马1、木马效劳程序：也称效劳器端，是指被控制电脑内被种植且被运行的木马程序，接受控制指令，执行监控功能2、木马配置程序：设置木马的参数，如端口号、木马文件名称、启动方式等3、木马控制程序：也称控制端，是指进行操控和监视的电脑内运行的程序，用以连接到效劳程序，发出控制指令，并接收效劳程序传送来的数据。有时配置程序和控制程序集成在一起，统称控制端程序。木马程序构成配置木马：设置木马参数，实现伪装和信息反响传播木马：如通过帮定程序将木马帮定到某个合法或有用软件，通过诱骗等方式传播到用户系统运行木马：用户运行捆绑木马的软件而安装木马，将木马文件复制到系统，并设置触发条件，以后可自动运行信息反响：木马收集系统信息发送给控制端攻击者建立连接：控制程序扫描运行了木马的主机〔开放特定端口〕，添加到主机列表，并在特定端口建立连接实施监控：实现远程控制，如同本地操作木马的根本原理〔1〕以邮件附件的形式传播：〔2〕将木马程序捆绑在软件安装程序上，通过网络下载传播。〔3〕通过聊天工具如QQ等传送文件传播〔4〕通过蠕虫程序植入。〔5〕通过交互脚本或网页植入〔6〕通过系统漏洞直接种植〔7〕通过各种介质交换文件传播木马的传播方式和应用程序捆绑修改Windows系统注册表

例如：下面注册表中的某些键值HLM\Software\Microsoft\Windows\CurrentVersion\RunHLM\Software\Microsoft\Windows\CurrentVersion\RunServiceHLM\software\microsoft\windows\currentversion\runonceHCU\software\microsoft\windows\currentversion\run修改文件关联

如冰河木马修改文本文件关联

HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值Notepad.exe1%改为Sysexplr.exe1%木马的自加载运行技术恶意代码防范，是指通过建立合理的病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，从计算机中去除病毒代码，恢复受影响的计算机系统和数据。防范体系管理体系技术体系防治策略主动预防为主、被动处理为辅预防、检测、去除相结合恶意代码防治及时备份重要数据和系统数据关注漏洞公告，及时更新系统或安装补丁程序新购置的机器、磁盘、软件使用前进行病毒检测不要下载或使用来历不明的软件外用的磁盘尽量要写保护，外来的磁盘要检毒安装具有实时防病毒功能的防病毒软件，并及时升级更新，定期检测系统翻开防病毒软件的实时监控功能建立严密的病毒监测体系，及早发现病毒，及时去除病毒一般预防措施外观检测法病毒侵入系统后会是系统表现出一些异常现象根据异常现象判断病毒的存在特征代码法病毒特征码是从病毒体内抽取的代表病毒特征的唯一代码串用每一种病毒的特征码对被检测的对象进行扫描病毒扫描软件由两局部组成病毒代码库：含有各种计算机病毒的代码串扫描程序：利用该代码库进行病毒扫描常用检测方法软件模拟法〔虚拟机技术〕常用于检测多态型病毒模拟CPU运行，在虚拟机下假执行病毒的变体引擎解码程序，平安的将多态病毒解码，再加以扫描，从而识别病毒。行为监测法〔启发式扫描技术〕利用病毒特有的行为特征来监测病毒病毒行为特征如：截取中断、修改内存、对可执行文件写入、写引导扇区或格式化磁盘等注意：即使是最优秀的防毒软件也不可能检测出所有的病毒常用检测方法1〕反病毒措施传统病毒不以文件独立存在，且传染性是其本质，主要破坏本地文件系统，因此主要采用安装反病毒软件防治，并翻开文件系统实时保护功能2〕反蠕虫措施对蠕虫来说，蠕虫的传播技术是其本质，因此对蠕虫的预防主要是及时更新系统和给系统打补丁。对以文件形式独立存在的蠕虫，可删除文件来去除

对与传统病毒结合的蠕虫病毒，要结合反病毒软件或者蠕虫专杀工具针对不同恶意代码的防治方法3〕反木马技术木马的伪装和远程控制或通信是其本质，其防治主要采用以下方法：安装反病毒软件安装木马专杀工具建立个人防火墙不要下载和执行来历不明的软件和程序及时升级系统和给系统打补丁针对不同恶意代码的防治方法1、反病毒软件的选择指标1〕识别率：包括误报率和漏报率2〕检测速度：快速检测2〕对新病毒的反响能力：能查杀最新病毒3〕文件系统实时监控能力：能保护文件系统4〕防毒引擎和病毒特征代码自动更新能力2、知名的反病毒软件：国际：卡巴斯基、诺顿、趋势、McAfee等国内：瑞星、金山、江民、冠群金辰、360等反病毒软件1、建立多层次的病毒防护体系在每个台式机上安装台式机的反病毒软件在效劳器