惡意程序分析與防范技術(shù)

張孟琦

摘要

惡意程序?yàn)榱颂颖軞⒍拒浖牟闅ⅲ\(yùn)用多重防殺和對(duì)抗技術(shù)升級(jí)換代，來提升自身的存活和繁殖能力。為此，檢測并查殺更高級(jí)的惡意程序的技術(shù)也必須不斷地革新，從而遏制新一代惡意程序的傳播。

【關(guān)鍵詞】信息安全 病毒 木馬查殺

在信息時(shí)代，互聯(lián)網(wǎng)技術(shù)的使用與人們?nèi)粘Ｉ钜呀?jīng)密不可分。更多的企業(yè)和個(gè)人通過網(wǎng)上銀行、電子商務(wù)、平臺(tái)社交等線上形式，享受著互聯(lián)網(wǎng)給大家?guī)淼谋憬莘?wù)。然而一些黑客們?yōu)榱送瓿筛咝?、精?zhǔn)地攻擊目的，通過技術(shù)升級(jí)和改變傳播途徑等多種方式，有針對(duì)性的設(shè)計(jì)出傳染性更強(qiáng)、潛伏更隱蔽、危害性更大的病毒程序，對(duì)網(wǎng)絡(luò)安全和防護(hù)形成威脅，對(duì)信息安全技術(shù)發(fā)起了更強(qiáng)的挑戰(zhàn)。本文旨在對(duì)惡意程序的主要功能與傳播途徑進(jìn)行分析，加強(qiáng)用戶對(duì)惡意程序的防范素養(yǎng)。

1 惡意程序的概述

惡意程序，在大多數(shù)人的第一印象里會(huì)出現(xiàn)病毒、木馬、漏洞等這些使用殺毒軟件時(shí)常見到的名詞，惡意程序概念是指惡意破壞計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序、存儲(chǔ)數(shù)據(jù)的計(jì)算機(jī)程序，惡意程序的種類按照不同指標(biāo)可以劃分為很對(duì)種類，但我們大多境況下，按照其傳播方式把惡意程序劃分為蠕蟲、木馬、惡意腳本、單一功能病毒、綜合型病毒。正如大多數(shù)人所想惡意程序是病毒、木馬等破壞計(jì)算機(jī)的程序的總稱，我們有時(shí)也將病毒的概念等同于惡意程序的概念。

2 惡意程序的分析

2.1 惡意程序的分類

2.1.1 蠕蟲

蠕蟲，即可以通過網(wǎng)絡(luò)等途徑，自動(dòng)將自身的部分或全部代碼通過網(wǎng)絡(luò)復(fù)制，傳播給其他網(wǎng)絡(luò)中的計(jì)算機(jī)完全獨(dú)立的運(yùn)行程序。蠕蟲生活在防火墻沒有普及的時(shí)代，當(dāng)帶有防火墻功能的殺毒軟件普遍出現(xiàn)在用戶的計(jì)算機(jī)中時(shí)，防火墻對(duì)網(wǎng)絡(luò)端口進(jìn)行了防護(hù)，蠕蟲病毒的傳播得到了致命的打擊。

2.1.2 木馬

木馬和病毒有著很大的區(qū)別，病毒是具有繁殖性、傳染性的惡意程序，但木馬不具備這樣的功能，木馬的特點(diǎn)是實(shí)現(xiàn)遠(yuǎn)程控制，從而能在遠(yuǎn)端獲取目標(biāo)主機(jī)的信息，或者對(duì)目標(biāo)主機(jī)進(jìn)行文件毀壞等非法操作，“網(wǎng)站掛馬”是木馬最常見的使用途徑，而隨著殺毒軟件木馬查殺功能的進(jìn)步，木馬對(duì)計(jì)算機(jī)的威脅也有所降低。

2.1.3 惡意腳本

惡意腳本是使用腳本語言編寫的惡意代碼。惡意腳本是基于Web系統(tǒng)的一種惡意程序，其本身不具有很大的攻擊力，但它卻可以引導(dǎo)用戶，使得用戶自己去訪問含有木馬的網(wǎng)站，去下載木馬，從而盜取用戶信息，謀取獲利。

2.1.4 單一功能病毒

常見的單一功能病毒有郵件型病毒、宏病毒、文件感染性病毒等。郵件型病毒主要通過電子郵件來傳播，宏病毒是一種寄生在具有宏功能的文件上的惡意程序，而文件感染型病毒主要感染計(jì)算機(jī)中的可執(zhí)行程序，這些病毒之所以稱單一，體現(xiàn)在寄生對(duì)象單一和傳播途徑單一，單一的病毒在查殺軟件的查殺下很難生存。

2.1.5 綜合型病毒

當(dāng)今的病毒市場上，綜合型病毒占有很大的市場份額，綜合型病毒既可以通過寄生在文件、郵件、移動(dòng)存儲(chǔ)介質(zhì)、網(wǎng)頁等對(duì)象上，實(shí)現(xiàn)即時(shí)傳播和點(diǎn)對(duì)點(diǎn)文件共享，綜上所述，綜合型病毒具備了病毒、蠕蟲、惡意腳本的特點(diǎn)，成為了當(dāng)前最流行的病毒，同時(shí)也是對(duì)當(dāng)今信息安全造成最大挑戰(zhàn)的病毒。

2.2 惡意程序的傳播途徑

2.2.1 網(wǎng)站掛馬

網(wǎng)站掛馬是從互聯(lián)網(wǎng)傳播到個(gè)人計(jì)算機(jī)或單位內(nèi)網(wǎng)計(jì)算機(jī)的一種主要手段，網(wǎng)站掛馬主要是利用Oday漏洞，從而大規(guī)模的入侵計(jì)算機(jī)的惡意程序傳播方法。

2.2.2 移動(dòng)存儲(chǔ)介質(zhì)傳播

移動(dòng)存儲(chǔ)介質(zhì)傳播，主要體現(xiàn)在日常的u盤傳播和移動(dòng)硬盤傳播。惡意程序通常在存儲(chǔ)介質(zhì)中復(fù)制一個(gè)副本，利用各種方法進(jìn)行偽裝，讓用戶誤以為是正常文件，點(diǎn)擊后導(dǎo)致惡意程序啟動(dòng)。

2.2.3 局域網(wǎng)傳播

當(dāng)惡意程序在一個(gè)用戶的計(jì)算機(jī)中成功寄生，那么接下來就回去傳播到該計(jì)算機(jī)所在的局域網(wǎng)，進(jìn)而感染該局域網(wǎng)中的其他計(jì)算機(jī)。

2.2.4 即時(shí)通訊軟件傳播

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，QQ"微信、微博等社交APP都實(shí)現(xiàn)了即時(shí)通訊的功能，對(duì)于辦公人群，使用QQ、微信發(fā)送文件也越來越常見，攻擊者利用這一點(diǎn)，發(fā)送經(jīng)過偽裝隱藏的惡意文件或鏈接，從而誘騙用戶啟動(dòng)惡意程序。

3 惡意程序的防范

3.1 惡意程序造成的破壞

在對(duì)惡意程序進(jìn)行了分析之后，我們需要對(duì)惡意程序造成的破壞進(jìn)行分析。首先是，竊取用戶賬號(hào)和密碼，當(dāng)今的網(wǎng)絡(luò)詐騙，大多是盜取QQ賬號(hào)，從而向熟人以借錢為借口騙取經(jīng)濟(jì)利益，同時(shí)，用戶的個(gè)人信息被盜取后進(jìn)行打包銷售，謀取經(jīng)濟(jì)利益的事情也成為了家常便飯，更糟糕的是，如此高的事件發(fā)生率并沒有下降的趨勢;其次是，破壞系統(tǒng)網(wǎng)絡(luò)的正常運(yùn)行，惡意程序往往會(huì)修改宿主計(jì)算機(jī)的Hosts文件，從而切斷宿主計(jì)算機(jī)與安全網(wǎng)站之間的連接;瀏覽器的配置被修改，攻擊者通過修改初始化網(wǎng)頁的地址為特定網(wǎng)站，從而賺取點(diǎn)擊率，獲得巨額廣告費(fèi)用。惡意程序的破壞范圍很廣，對(duì)個(gè)人、公共、社會(huì)、競爭市場都造成了不可彌補(bǔ)的損失。

3.2 惡意程序查殺技術(shù)

3.2.1 特征碼查殺技術(shù)

目前大多數(shù)的殺毒軟件都是采用特征碼查殺技術(shù)來進(jìn)行殺毒的，這也是最基本的一種殺毒技術(shù)。這種方法對(duì)己出現(xiàn)并且成功查殺了的惡意程序進(jìn)行分析，將其程序的特征碼記入到特征庫，查殺時(shí)，根據(jù)匹配程序代碼的重復(fù)度，來發(fā)現(xiàn)病毒并殺掉。但是新一代的惡意程序針對(duì)特征碼查殺技術(shù)，采用了加殼技術(shù)，改變自身的特征碼，并且實(shí)現(xiàn)每感染一臺(tái)計(jì)算機(jī)就改變一次特征碼，特征碼查殺技術(shù)在此條件下很難發(fā)揮有效的作用，啟發(fā)式查殺技術(shù)因此誕生。

3.2.2 啟發(fā)式查殺技術(shù)

啟發(fā)式查殺技術(shù)是一種事先分析嫌疑程序的指令執(zhí)行順序或特定行為組合情況等特征，建立樣本庫，并以這些樣本為標(biāo)準(zhǔn)來判斷該嫌疑程序是否為惡意程序。啟發(fā)式查殺技術(shù)彌補(bǔ)了特征碼查殺技術(shù)的不足，使用加殼技術(shù)的病毒雖然改變了其特征碼，卻改變不了指令執(zhí)行順序或特定行為。但是，有可能正常的程序也會(huì)有和病毒一樣的指令執(zhí)行順序或特定行為，因此，這種查殺技術(shù)具有局限性。

3.2.3 虛擬機(jī)查殺技術(shù)

虛擬機(jī)查殺技術(shù)也可以應(yīng)對(duì)加殼技術(shù)，虛擬機(jī)查殺技術(shù)會(huì)將嫌疑程序?qū)氲教摂M機(jī)內(nèi)，讓其自動(dòng)脫殼還原到原來的狀態(tài)，從而進(jìn)行查殺。但是，虛擬機(jī)要占用很大的內(nèi)存資源，從而引起計(jì)算機(jī)性能的下降，處理任務(wù)的時(shí)間延長，惡意程序可以憑借這一弊端，故意延長脫殼時(shí)間，與虛擬機(jī)查殺技術(shù)產(chǎn)生對(duì)抗。

3.2.4 主動(dòng)防御技術(shù)

主動(dòng)防御技術(shù)是通過實(shí)現(xiàn)對(duì)惡意程序的攔截來保護(hù)計(jì)算機(jī)安全的技術(shù)，嚴(yán)格來講它不是一種查殺技術(shù)。當(dāng)今的查殺軟件基本上都采用了一種結(jié)合了主動(dòng)防御技術(shù)和特征碼查殺技術(shù)的方式來進(jìn)行計(jì)算機(jī)安全的保護(hù)，既包含了預(yù)防又包含了查殺，將惡意程序威脅降到最低。

3.3 惡意程序的預(yù)防

比起計(jì)算機(jī)受到病毒的感染后再查殺，防患于未然才是最佳的信息安全保護(hù)手段。首先我們要防止下載帶來的惡意程序，網(wǎng)頁上的文件下載往往捆綁其他文件，而這些捆綁文件很可能就是惡意程序，所以我們要做到盡量去官方網(wǎng)站或者大規(guī)模軟件下載平臺(tái)去下載，防止惡意程序入侵;其次，防止通過移動(dòng)存儲(chǔ)介質(zhì)的惡意程序傳播，使用u盤等移動(dòng)存儲(chǔ)介質(zhì)，要求我們要經(jīng)常性的進(jìn)行掃描檢測，關(guān)注異常文件的出現(xiàn);防止局域網(wǎng)的惡意程序傳播，安裝防火墻，盡量不使用文件共享;最后，做好計(jì)算及自身的防護(hù)，及時(shí)更新軟件，下載官方出臺(tái)的補(bǔ)丁包，提高信息安全的素養(yǎng)。

4 結(jié)束語

綜上所述，在這個(gè)互聯(lián)網(wǎng)蓬勃發(fā)展的時(shí)代，惡意程序和惡意程序查殺技術(shù)也隨著計(jì)算機(jī)技術(shù)的發(fā)展迎來了更高水平的較量。軟件的開發(fā)與技術(shù)的革新都離不開信息安全。同時(shí)，更加全面精準(zhǔn)的了解惡意程序和查殺技術(shù)既有利于保障個(gè)人的信息和經(jīng)濟(jì)安全，也有利于促進(jìn)更加和平安全的互聯(lián)網(wǎng)建設(shè)。本文全文對(duì)各個(gè)惡意程序、惡意程序的傳播途徑、惡意程序的查殺技術(shù)都進(jìn)行了深層次的分析與論述，旨在提高互聯(lián)網(wǎng)時(shí)代計(jì)算機(jī)用戶的網(wǎng)絡(luò)信息安全素養(yǎng)，為建立良好的互聯(lián)網(wǎng)環(huán)境貢獻(xiàn)一份力量。

參考文獻(xiàn)

[1]牛少彰，崔寶江，李劍.信息安全概論（2版）[M].北京：北京郵電大學(xué)出版社，2007.

[2]宋建華，李莉，郭亞軍.信息安全原理與技術(shù)[M].北京：清華大學(xué)出版社，2008.

[3]黃明祥，林詠章，李劍.信息與網(wǎng)絡(luò)安全概論（3a）[M].北京：清華大學(xué)出版社，2009.

[4]徐國愛，張森，彭俊好.網(wǎng)絡(luò)安全（2版）[M].北京：北京郵電大學(xué)出版社，2007.

[5]崔寶江，李寶林.網(wǎng)絡(luò)安全實(shí)驗(yàn)教程[M].北京：北京郵電大學(xué)出版社，2008.

[6]崔寶江，周亞建.信息安全實(shí)驗(yàn)指導(dǎo)[M].北京：國防工業(yè)出版社，2005.

[7]吳世忠，郭濤，董國偉等.軟件漏洞分析技術(shù)進(jìn)展[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），Vol，52（10）：1309-1319，2012.

[8]陳波，于泠，肖軍模.計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（2版）[M].北京：機(jī)械工業(yè)出版社，2011.

[9]王清.Oday安全：軟件漏洞分析技術(shù)[M].北京：電子工業(yè)出版社，2008.

[10]徐茂智.信息安全概論[M].北京：人民郵電出版社，2009.