計(jì)算機(jī)惡意軟件防范對(duì)策初探

倪 立

南陽(yáng)醫(yī)學(xué)高等專(zhuān)科學(xué)校，河南南陽(yáng) 473000

計(jì)算機(jī)惡意軟件防范對(duì)策初探

倪 立

南陽(yáng)醫(yī)學(xué)高等專(zhuān)科學(xué)校，河南南陽(yáng) 473000

本文分析了計(jì)算機(jī)網(wǎng)絡(luò)常見(jiàn)惡意軟件的主要類(lèi)型和特征，分析了惡意軟件的主要技術(shù)特點(diǎn)，對(duì)如何有效防范惡意軟件進(jìn)行了探討。

計(jì)算機(jī)；惡意軟件；防范；對(duì)策

1 計(jì)算機(jī)惡意軟件的特征類(lèi)型與危害

惡意軟件是一個(gè)集合名詞，是指故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的特洛伊木馬、蠕蟲(chóng)和病毒程序。惡意軟件由多種威脅組成，通過(guò)破壞軟件進(jìn)程來(lái)實(shí)施控制，需要采取多種方法和技術(shù)來(lái)進(jìn)行反病毒保護(hù)。

1.1 簡(jiǎn)單惡意軟件類(lèi)別定義

1）特洛伊木馬：又稱(chēng)特洛伊代碼，包括旨在利用或者破壞運(yùn)行程序的計(jì)算機(jī)系統(tǒng)的隱藏代碼，通常是由未經(jīng)說(shuō)明正確用途與功能的電子郵件進(jìn)行傳遞。特洛伊常見(jiàn)活動(dòng)類(lèi)型有兩類(lèi)。

一是遠(yuǎn)程訪問(wèn)：惡意軟件使用者通過(guò)“后門(mén)”（Back、Orifice、SubSeven、Cafeene），對(duì)目標(biāo)系統(tǒng)實(shí)現(xiàn)遠(yuǎn)程控制。

二是軟件程序集（Rootkit）：攻擊對(duì)象為操作系統(tǒng)，主要通過(guò)獲取遠(yuǎn)程訪問(wèn)控制權(quán)限，來(lái)攻擊對(duì)象操作系統(tǒng)。使用系統(tǒng)追蹤、創(chuàng)建后門(mén)、監(jiān)視按鍵、篡改系統(tǒng)日志、系統(tǒng)應(yīng)用程序等許多不同的技術(shù)，通常被組織到一組工具中，這些工具被細(xì)化為專(zhuān)門(mén)針對(duì)特定的操作系統(tǒng)。

2）蠕蟲(chóng)：使用自行復(fù)制傳播的惡意代碼，通過(guò)網(wǎng)絡(luò)自動(dòng)在計(jì)算機(jī)間分發(fā)傳播，也可傳遞額外負(fù)載。

3）病毒：能夠復(fù)制自身到宿主程序，通過(guò)多種方式在計(jì)算機(jī)間傳播。根據(jù)程序設(shè)計(jì)的不同，破壞目標(biāo)可能是用戶(hù)數(shù)據(jù)、系統(tǒng)軟件或計(jì)算機(jī)等。

1.2 常見(jiàn)惡意軟件的類(lèi)型

根據(jù)使用統(tǒng)計(jì)，惡意軟件雖然種類(lèi)較多，但其共性特征也比較明顯、比較類(lèi)似。蠕蟲(chóng)與病毒類(lèi)惡意軟件通常都利用網(wǎng)絡(luò)作為傳輸機(jī)制；蠕蟲(chóng)病毒通過(guò)自身復(fù)制達(dá)到惡意目的，病毒則會(huì)感染程序制定的系統(tǒng)文件。常見(jiàn)的惡意軟件類(lèi)型有：

1）間諜軟件(Spyware)。間諜軟件主要利用后門(mén)程序或系統(tǒng)漏洞，潛伏安裝或偽裝安裝至目標(biāo)終端，捕獲或竊取目標(biāo)的相關(guān)信息與隱私，對(duì)目標(biāo)終端實(shí)現(xiàn)遠(yuǎn)程操控。

2）惡意共享軟件(maliciousshareware)。惡意共享軟件主要采取“試用安裝、強(qiáng)迫安裝、捆綁安裝”等手段，達(dá)到劫持瀏覽器，竊取隱私的目的。

3）廣告軟件(Adware)。往往是強(qiáng)制安裝或捆綁安裝而難以卸載，主要在后臺(tái)運(yùn)行，不斷侵占目標(biāo)終端的系統(tǒng)資源，頻繁彈出相關(guān)廣告窗口和鏈接窗口，造成系統(tǒng)運(yùn)行緩慢甚至癱瘓。

4）劫持瀏覽器。通過(guò)瀏覽器插件、BHO、WinsockLSP等手段對(duì)用戶(hù)瀏覽器進(jìn)行劫持，強(qiáng)行引導(dǎo)鏈接致相關(guān)目的網(wǎng)站。

5）行為記錄(TrackWare)。通常通過(guò)記錄和分析目標(biāo)終端用戶(hù)的計(jì)算機(jī)使用個(gè)人行為與習(xí)慣，竊取用戶(hù)隱私，進(jìn)行網(wǎng)絡(luò)詐騙。

6）惡作劇程序。惡意篡改系統(tǒng)文件編碼格式、文件名稱(chēng)等，違反主流操作使用習(xí)慣，如不刻意散播，通常不具備自我傳播能力。

1.3 主要危害

惡意軟件具有傳播病毒化和編寫(xiě)病毒化的特點(diǎn)，造成的主要危害有以下三點(diǎn)。

1）危害網(wǎng)絡(luò)信息安全。間諜軟件和行為記錄軟件易對(duì)計(jì)算機(jī)用戶(hù)個(gè)人信息、涉密信息等進(jìn)行竊取，危害極大。

2）危害計(jì)算機(jī)系統(tǒng)。廣告插件、捆綁軟件等類(lèi)型軟件導(dǎo)致帶寬和系統(tǒng)資源被不斷占用，軟件系統(tǒng)不斷惡化，計(jì)算機(jī)運(yùn)行速度越來(lái)越慢。

3）危害用戶(hù)正常使用。極大地影響用戶(hù)使用計(jì)算機(jī)工作、學(xué)習(xí)的效率。

2 惡意軟件技術(shù)分析

1）特定環(huán)境。惡意軟件對(duì)目標(biāo)終端系統(tǒng)實(shí)現(xiàn)入侵攻擊目的，需要特定的硬軟件組件與環(huán)境。通常需要設(shè)備（將一種設(shè)備類(lèi)型作為專(zhuān)門(mén)的攻擊目標(biāo)）、操作系統(tǒng)（針對(duì)有效的操作系統(tǒng)）和應(yīng)用程序（在目標(biāo)終端上安裝所需的應(yīng)用程序）。

2）攜帶對(duì)象。病毒類(lèi)惡意軟件會(huì)試圖將攜帶對(duì)象作為攻擊目標(biāo)。目標(biāo)攜帶對(duì)象的數(shù)量和類(lèi)型有很多種：可執(zhí)行文件（exe、com、sys、.dll、.ovl、ocx、prg）、腳本（vbs、js、wsh 、prl）、宏（宏腳本語(yǔ)言文件）、啟動(dòng)扇區(qū)（硬盤(pán)和可啟動(dòng)的可移動(dòng)媒體）。

3）傳輸機(jī)制。常見(jiàn)的傳輸機(jī)制有：可移動(dòng)媒體、網(wǎng)絡(luò)共享、網(wǎng)絡(luò)掃描、對(duì)等 (P2P) 網(wǎng)絡(luò)、電子郵件、郵件程序、遠(yuǎn)程利用。

4）威脅偽裝。許多惡意軟件能偽裝自己，表現(xiàn)出不具有邪惡意圖，但存在的威脅對(duì)用戶(hù)具有隱私安全和經(jīng)濟(jì)影響。如：惡作劇程序、Phishing 欺詐、垃圾郵件、跟蹤軟件、廣告軟件等。

5）技術(shù)表現(xiàn)。歸納起來(lái)有以下幾種。

（1）強(qiáng)制安裝。未經(jīng)許可或明確提示，自行在用戶(hù)電腦上進(jìn)行軟件安裝。

（2）捆綁安裝。在其它軟件中捆綁惡意軟件讓使用者被迫安裝。

（3）收集用戶(hù)信息。未經(jīng)用戶(hù)許可或明確提示，惡意記錄收集用戶(hù)信息。

（4）瀏覽器劫持。篡改用戶(hù)瀏覽器及計(jì)算機(jī)系統(tǒng)的相關(guān)設(shè)置，使用者無(wú)法正常上網(wǎng)。

（5）廣告彈窗。安裝廣告軟件、插件等，計(jì)算機(jī)使用中常彈出廣告窗口和飛行物。

（6）難以卸載。卸載或刪除后仍有活動(dòng)程序存在。

（7）惡意卸載。誤導(dǎo)、欺騙用戶(hù)卸載系統(tǒng)中的其它軟件。

3 惡意軟件防范對(duì)策

3.1 系統(tǒng)安全設(shè)置防范

要及時(shí)更新系統(tǒng)補(bǔ)丁，減少系統(tǒng)漏洞，關(guān)閉不必要的服務(wù)和端口，禁用存在安全隱患的軟件。要進(jìn)行嚴(yán)格的賬號(hào)管理，安全登錄與使用，控制好相關(guān)電腦用戶(hù)的權(quán)限。一是采取多因素身份驗(yàn)證系統(tǒng)。能較好防范釣魚(yú)式攻擊、鍵盤(pán)記錄攻擊以及Twittr攻擊，全面確保登錄用戶(hù)的賬戶(hù)安全；二是采取入侵防御系統(tǒng)(IPS)。包括修補(bǔ)程序和防火墻管理以及防惡意軟件程序，攔截和預(yù)防來(lái)自網(wǎng)絡(luò)的入侵行為；三是計(jì)算機(jī)系統(tǒng)修復(fù)。及時(shí)掃描和保持計(jì)算機(jī)系統(tǒng)的更新?tīng)顟B(tài)，修復(fù)補(bǔ)丁漏洞，關(guān)閉存在安全隱患的端口和服務(wù)。

3.2 增強(qiáng)技術(shù)防范

一是采取防火墻技術(shù)。殺毒軟件、防毒程序和防火墻技術(shù)是必備的基礎(chǔ)防護(hù)措施，要根據(jù)使用者的安全政策控制出入網(wǎng)絡(luò)的信息流，設(shè)置不同網(wǎng)絡(luò)安全域之間信息的唯一出入口；二是采取身份識(shí)別技術(shù)。利用身份證件、條形碼、指紋、虹膜、角膜識(shí)別技術(shù)等掃描驗(yàn)證身份；三是采取數(shù)據(jù)加密技術(shù)。加載通信加密、文件加密等技術(shù)，使未經(jīng)授權(quán)者獲取后也無(wú)法了解文件的真實(shí)內(nèi)容；四是采取數(shù)字簽名技術(shù)。通過(guò)數(shù)字簽名、呼喚密鑰等技術(shù)，防止身份欺騙和偽造認(rèn)證。

3.3 使用習(xí)慣防范

計(jì)算機(jī)使用中，不隨意瀏覽不明網(wǎng)站；不安裝來(lái)歷不明軟件；關(guān)閉存在安全隱患的端口和服務(wù)；禁用或限制使用 Java 程序及 ActiveX 控件；不執(zhí)行來(lái)歷不明的可執(zhí)行程序(com、exe)；所有可執(zhí)行程序都必須認(rèn)真檢查，確認(rèn)無(wú)異才能使用。不輕易使用網(wǎng)絡(luò)附件中的文件。將未知電子函件及的相關(guān)附件保存至本地硬盤(pán)，用殺毒軟件檢查后再打開(kāi)使用。不要直接運(yùn)行附件。帶有VBS、SHS等腳本文件的附件，最好不要直接打開(kāi)。網(wǎng)絡(luò)設(shè)置。對(duì)“安全性”、“加載項(xiàng)”、“服務(wù)器腳本”等內(nèi)容進(jìn)行安全的設(shè)置。慎用預(yù)覽。 禁止“瀏覽自動(dòng)顯示”功能，有效防范一些電子郵件病毒利用缺省設(shè)置自動(dòng)運(yùn)行，破壞系統(tǒng)。檢查發(fā)出的郵件。

3.4 法律保護(hù)防范

惡意軟件會(huì)嚴(yán)重侵害用戶(hù)的合法權(quán)益，擾亂正常的網(wǎng)絡(luò)環(huán)境與秩序，造成用戶(hù)的信息泄露與經(jīng)濟(jì)損害。需要人們?cè)鰪?qiáng)法律保護(hù)意識(shí)，合理使用法律維護(hù)公平正義，做到知法、懂法、守法，凈化網(wǎng)絡(luò)環(huán)境，讓惡意軟件無(wú)處遁形。

[1]田園.網(wǎng)絡(luò)安全教程[M].北京：人民郵電出版社，2009.

[2]焦新勝.對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全及其防護(hù)策略的探討[J].科技傳播，2011.

[3]孫軍.惡意軟件的防范和查殺[J].價(jià)值工程，2011（20）.

[4]周琳潔.網(wǎng)絡(luò)環(huán)境下惡意軟件的特征、危害和防范研究[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2011（12）.

[5]余前佳.惡意軟件的特征、危害性及其防范與清除方法[J].國(guó)土資源信息化，2006（6）.

TP3

A

1674-6708（2015）143-0062-02