惡意代碼分析和防治教育課件

惡意代碼分析和防治PPT講座內容提要惡意代碼的發(fā)展史和惡意代碼長期存在的原因惡意代碼實現(xiàn)機理、定義以及攻擊方法惡意代碼生存技術、隱藏技術，介紹網(wǎng)絡蠕蟲的定義以及結構惡意代碼防范方法：基于主機的檢測方法和基于網(wǎng)絡的檢測方法2023/6/232浙江郵電職業(yè)技術學院計算機系惡意代碼概述代碼是指計算機程序代碼，可以被執(zhí)行完成特定功能。任何事物都有正反兩面，人類發(fā)明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計算機程序也不例外，軟件工程師們編寫了大量的有用的軟件（操作系統(tǒng)，應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等）的同時，黑客們在編寫編寫擾亂社會和他人的計算機程序，這些代碼統(tǒng)稱為惡意代碼（MaliciousCodes）。2023/6/233浙江郵電職業(yè)技術學院計算機系研究惡意代碼的必要性在Internet安全事件中，惡意代碼造成的經濟損失占有最大的比例。惡意代碼主要包括計算機病毒（Virus）、蠕蟲（Worm）、木馬程序（TrojanHorse）、后門程序（Backdoor）、邏輯炸彈（LogicBomb）等等。與此同時，惡意代碼成為信息戰(zhàn)、網(wǎng)絡戰(zhàn)的重要手段。日益嚴重的惡意代碼問題，不僅使企業(yè)及用戶蒙受了巨大經濟損失，而且使國家的安全面臨著嚴重威脅。惡意代碼攻擊成為信息戰(zhàn)、網(wǎng)絡戰(zhàn)最重要的入侵手段之一。一個典型的例子是在電影《獨立日》中，美國空軍對外星飛船進行核轟炸沒有效果，最后給敵人飛船系統(tǒng)注入惡意代碼，使敵人飛船的保護層失效，從而拯救了地球，從中可以看出惡意代碼研究的重要性。2023/6/234浙江郵電職業(yè)技術學院計算機系惡意代碼的發(fā)展史惡意代碼經過20多年的發(fā)展，破壞性、種類和感染性都得到增強。隨著計算機的網(wǎng)絡化程度逐步提高，網(wǎng)絡傳播的惡意代碼對人們日常生活影響越來越大。1988年11月泛濫的Morris蠕蟲，頃刻之間使得6000多臺計算機（占當時Internet上計算機總數(shù)的10%多）癱瘓，造成嚴重的后果，并因此引起世界范圍內關注。1998年CIH病毒造成數(shù)十萬臺計算機受到破壞。1999年Happy99、Melissa病毒大爆發(fā)，Melissa病毒通過E-mail附件快速傳播而使E-mail服務器和網(wǎng)絡負載過重，它還將敏感的文檔在用戶不知情的情況下按地址簿中的地址發(fā)出。2000年5月爆發(fā)的“愛蟲”病毒及其以后出現(xiàn)的50多個變種病毒，是近年來讓計算機信息界付出極大代價的病毒，僅一年時間共感染了4000多萬臺計算機，造成大約87億美元的經濟損失。2023/6/235浙江郵電職業(yè)技術學院計算機系惡意代碼的發(fā)展史2001年，國信安辦與公安部共同主辦了我國首次計算機病毒疫情網(wǎng)上調查工作。結果感染過計算機病毒的用戶高達73％，其中，感染三次以上的用戶又占59％多，網(wǎng)絡安全存在大量隱患。2001年8月，“紅色代碼”蠕蟲利用微軟Web服務器IIS4.0或5.0中Index服務的安全漏洞，攻破目標機器，并通過自動掃描方式傳播蠕蟲，在互聯(lián)網(wǎng)上大規(guī)模泛濫。2003年，SLammer蠕蟲在10分鐘內導致互聯(lián)網(wǎng)90％脆弱主機受到感染。同年8月，“沖擊波”蠕蟲爆發(fā)，8天內導致全球電腦用戶損失高達20億美元之多。2004年到2006年，振蕩波蠕蟲、愛情后門、波特后門等惡意代碼利用電子郵件和系統(tǒng)漏洞對網(wǎng)絡主機進行瘋狂傳播，給國家和社會造成了巨大的經濟損失。目前，惡意代碼問題成為信息安全需要解決的，迫在眉睫的、刻不容緩的安全問題。2023/6/236浙江郵電職業(yè)技術學院計算機系惡意代碼的發(fā)展2023/6/237浙江郵電職業(yè)技術學院計算機系惡意代碼3個主要特征可以總結出惡意代碼從80年代發(fā)展至今體現(xiàn)出來的3個主要特征：①惡意代碼日趨復雜和完善：從非常簡單的，感染游戲的AppleII病毒發(fā)展到復雜的操作系統(tǒng)內核病毒和今天主動式傳播和破壞性極強的蠕蟲。惡意代碼在快速傳播機制和生存性技術研究取得了很大的成功。②惡意代碼編制方法及發(fā)布速度更快：惡意代碼剛出現(xiàn)時發(fā)展較慢，但是隨著網(wǎng)絡飛速發(fā)展，Internet成為惡意代碼發(fā)布并快速蔓延的平臺。特別是過去5年，不斷涌現(xiàn)的惡意代碼，證實了這一點。③從病毒到電子郵件蠕蟲，再到利用系統(tǒng)漏洞主動攻擊的惡意代碼：惡意代碼的早期，大多數(shù)攻擊行為是由病毒和受感染的可執(zhí)行文件引起的。然而，在過去5年，利用系統(tǒng)和網(wǎng)絡的脆弱性進行傳播和感染開創(chuàng)了惡意代碼的新紀元。2023/6/238浙江郵電職業(yè)技術學院計算機系惡意代碼長期存在的原因計算機技術飛速發(fā)展的同時并未使系統(tǒng)的安全性得到增強。技術進步帶來的安全增強能力最多只能彌補由應用環(huán)境的復雜性帶來的安全威脅的增長程度。不但如此，計算機新技術的出現(xiàn)還很有可能使計算機系統(tǒng)的安全變得比以往更加脆弱。惡意代碼的一個主要特征是其針對性（針對特定的脆弱點），這種針對性充分說明了惡意代碼正是利用軟件的脆弱性實現(xiàn)其惡意目的的。造成廣泛影響的1988年Morris蠕蟲事件，就是利用郵件系統(tǒng)的脆弱性作為其入侵的最初突破點的。2023/6/239浙江郵電職業(yè)技術學院計算機系碼惡意代碼實現(xiàn)機理早期惡意代碼的主要形式是計算機病毒。80年代，Cohen設計出一種在運行過程中可以復制自身的破壞性程序，Adleman將它命名為計算機病毒，它是早期惡意代碼的主要內容。隨后，Adleman把病毒定義為一個具有相同性質的程序集合，只要程序具有破壞、傳染或模仿的特點，就可認為是計算機病毒。這種定義有將病毒內涵擴大化的傾向，將任何具有破壞作用的程序都認為是病毒，掩蓋了病毒潛伏、傳染等其它重要特征。2023/6/2310浙江郵電職業(yè)技術學院計算機系惡意代碼的定義90年代末，惡意代碼的定義隨著計算機網(wǎng)絡技術的發(fā)展逐漸豐富，Grimes將惡意代碼定義為，經過存儲介質和網(wǎng)絡進行傳播，從一臺計算機系統(tǒng)到另外一臺計算機系統(tǒng)，未經授權認證破壞計算機系統(tǒng)完整性的程序或代碼。它包括計算機病毒(ComputerVirus)、蠕蟲(Worms)、特洛伊木馬(TrojanHorse)、邏輯炸彈(LogicBombs)、病菌(Bacteria)、用戶級RootKit、核心級RootKit、腳本惡意代碼(MaliciousScripts)和惡意ActiveX控件等。由此定義，惡意代碼兩個顯著的特點是：非授權性和破壞性。2023/6/2311浙江郵電職業(yè)技術學院計算機系惡意代碼的相關定義惡意代碼類型定義特點計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。潛伏、傳染和破壞計算機蠕蟲指通過計算機網(wǎng)絡自我復制，消耗系統(tǒng)資源和網(wǎng)絡資源的程序掃描、攻擊和擴散特洛伊木馬指一種與遠程計算機建立連接，使遠程計算機能夠通過網(wǎng)絡控制本地計算機的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計算機系統(tǒng)程序的，通過特殊的數(shù)據(jù)或時間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務用戶級RootKit指通過替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進入系統(tǒng)，從而實現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級RootKit指嵌入操作系統(tǒng)內核進行隱藏和創(chuàng)建后門的程序隱蔽，潛伏2023/6/2312浙江郵電職業(yè)技術學院計算機系惡意代碼攻擊機制惡意代碼的行為表現(xiàn)各異，破壞程度千差萬別，但基本作用機制大體相同，其整個作用過程分為6個部分：①侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經感染惡意代碼的電子郵件；從光盤或軟盤往系統(tǒng)上安裝軟件；黑客或者攻擊者故意將惡意代碼植入系統(tǒng)等。②維持或提升現(xiàn)有特權。惡意代碼的傳播與破壞必須盜用用戶或者進程的合法權限才能完成。③隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經侵入系統(tǒng)，惡意代碼可能會改名、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。④潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權限時，就發(fā)作并進行破壞活動。⑤破壞。惡意代碼的本質具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等。⑥重復①至⑤對新的目標實施攻擊過程。惡意代碼的攻擊模型如圖2-1所示。2023/6/2313浙江郵電職業(yè)技術學院計算機系惡意代碼攻擊模型2023/6/2314浙江郵電職業(yè)技術學院計算機系惡意代碼實現(xiàn)關鍵技術一段好的惡意代碼，首先必須具有良好隱蔽性，生存性，不能輕松被軟件或者用戶察覺。然后，必須具有良好的攻擊性。包括:惡意代碼生存技術惡意代碼攻擊技術惡意代碼的隱蔽技術2023/6/2315浙江郵電職業(yè)技術學院計算機系惡意代碼生存技術生存技術主要包括4方面：反跟蹤技術加密技術模糊變換技術自動生產技術。反跟蹤技術可以減少被發(fā)現(xiàn)的可能性，加密技術是惡意代碼自身保護的重要機制。2023/6/2316浙江郵電職業(yè)技術學院計算機系反跟蹤技術惡意代碼采用反跟蹤技術可以提高自身的偽裝能力和防破譯能力，增加檢測與清除惡意代碼的難度。目前常用的反跟蹤技術有兩類：反動態(tài)跟蹤技術和反靜態(tài)分析技術。2023/6/2317浙江郵電職業(yè)技術學院計算機系反動態(tài)跟蹤技術反動態(tài)跟蹤技術主要包括4方面內容：（1）禁止跟蹤中斷。針對調試分析工具運行系統(tǒng)的單步中斷和斷點中斷服務程序，惡意代碼通過修改中斷服務程序的入口地址實現(xiàn)其反跟蹤目的?！?575”計算機病毒采用該方法將堆棧指針指向處于中斷向量表中的INT0至INT3區(qū)域，阻止調試工具對其代碼進行跟蹤。（2）封鎖鍵盤輸入和屏幕顯示，破壞各種跟蹤調試工具運行的必需環(huán)境；（3）檢測跟蹤法。檢測跟蹤調試時和正常執(zhí)行時的運行環(huán)境、中斷入口和時間的差異，根據(jù)這些差異采取一定的措施，實現(xiàn)其反跟蹤目的。例如，通過操作系統(tǒng)的API函數(shù)試圖打開調試器的驅動程序句柄，檢測調試器是否激活確定代碼是否繼續(xù)運行。（4）其它反跟蹤技術。如指令流隊列法和逆指令流法等。2023/6/2318浙江郵電職業(yè)技術學院計算機系反靜態(tài)分析技術反靜態(tài)分析技術主要包括兩方面內容：（1）對程序代碼分塊加密執(zhí)行。為了防止程序代碼通過反匯編進行靜態(tài)分析，程序代碼以分塊的密文形式裝入內存，在執(zhí)行時由解密程序進行譯碼，某一段代碼執(zhí)行完畢后立即清除，保證任何時刻分析者不可能從內存中得到完整的執(zhí)行代碼；（2）偽指令法(JunkCode)。偽指令法系指在指令流中插入“廢指令”，使靜態(tài)反匯編無法得到全部正常的指令，不能有效地進行靜態(tài)分析。例如，“Apparition”是一種基于編譯器變形的Win32平臺的病毒，編譯器每次編譯出新的病毒體可執(zhí)行代碼時都要插入大量的偽指令，既達到了變形的效果，也實現(xiàn)了反跟蹤的目的。此外，偽指令技術還廣泛應用于宏病毒與腳本惡意代碼之中。2023/6/2319浙江郵電職業(yè)技術學院計算機系2.加密技術加密技術是惡意代碼自我保護的一種手段，加密技術和反跟蹤技術的配合使用，使得分析者無法正常調試和閱讀惡意代碼，不知道惡意代碼的工作原理，也無法抽取特征串。從加密的內容上劃分，加密手段分為信息加密、數(shù)據(jù)加密和程序代碼加密三種。大多數(shù)惡意代碼對程序體自身加密，另有少數(shù)惡意代碼對被感染的文件加密。例如，“Cascade”是第一例采用加密技術的DOS環(huán)境下的惡意代碼，它有穩(wěn)定的解密器，可以解密內存中加密的程序體?！癕ad”和“Zombie”是“Cascade”加密技術的延伸，使惡意代碼加密技術走向32位的操作系統(tǒng)平臺。此外，“中國炸彈”(Chinesebomb)和“幽靈病毒”也是這一類惡意代碼。2023/6/2320浙江郵電職業(yè)技術學院計算機系模糊變換技術利用模糊變換技術，惡意代碼每感染一個客體對象時，潛入宿主程序的代碼互不相同。同一種惡意代碼具有多個不同樣本，幾乎沒有穩(wěn)定代碼，采用基于特征的檢測工具一般不能識別它們。隨著這類惡意代碼的增多，不但使得病毒檢測和防御軟件的編寫變得更加困難，而且還會增加反病毒軟件的誤報率。目前，模糊變換技術主要分為5種：（1）指令替換技術。模糊變換引擎（MutationEngine）對惡意代碼的二進制代碼進行反匯編，解碼每一條指令，計算出指令長度，并對指令進行同義變換。例如，將指令XORREG，REG變換為SUBREG，REG；寄存器REG1和寄存器REG2進行互換；JMP指令和CALL指令進行變換等。例如，“Regswap”采用了簡單的寄存器互換的變形技術。（2）指令壓縮技術。模糊變換器檢測惡意代碼反匯編后的全部指令，對可進行壓縮的一段指令進行同義壓縮。壓縮技術要改變病毒體代碼的長度，需要對病毒體內的跳轉指令進行重定位。例如指令MOVREG，12345678/ADDREG，87654321變換為指令MOVREG，99999999；指令MOVREG，12345678/PUSHREG變換為指令PUSH12345678等。（3）指令擴展技術。擴展技術把每一條匯編指令進行同義擴展，所有壓縮技術變換的指令都可以采用擴展技術實施逆變換。擴展技術變換的空間遠比壓縮技術大的多，有的指令可以有幾十種甚至上百種的擴展變換。擴展技術同樣要改變惡意代碼的長度，需要對惡意代碼中跳轉指令進行重定位。（4）偽指令技術。偽指令技術主要是對惡意代碼程序體中插入無效指令，例如空指令；JMP下一指令和指令PUSHREG/MOVREG,12345678/POPREG等。（5）重編譯技術。采用重編譯技術的惡意代碼中攜帶惡意代碼的源碼，需要自帶編譯器或者操作系統(tǒng)提供編譯器進行重新編譯，這種技術既實現(xiàn)了變形的目的，也為跨平臺的惡意代碼出現(xiàn)打下了基礎。尤其是各類Unix/Linux操作系統(tǒng)，系統(tǒng)默認配置有標準C的編譯器。宏病毒和腳本惡意代碼是典型的采用這類技術變形的惡意代碼。造成全球范圍傳播和破壞的第一例變形病毒是“Tequtla”，從該病毒的出現(xiàn)到編制出能夠檢測該病毒的軟件，研究人員花費了9個月的時間。2023/6/2321浙江郵電職業(yè)技術學院計算機系自動生產技術惡意代碼自動生產技術是針對人工分析技術的。“計算機病毒生成器”，使對計算機病毒一無所知的用戶，也能組合出算法不同、功能各異的計算機病毒?！岸鄳B(tài)性發(fā)生器”可將普通病毒編譯成復雜多變的多態(tài)性病毒。多態(tài)變換引擎可以使程序代碼本身發(fā)生變化，并保持原有功能。保加利亞的“DarkAvenger”是較為著名的一個例子，這個變換引擎每產生一個惡意代碼，其程序體都會發(fā)生變化，反惡意代碼軟件如果采用基于特征的掃描技術，根本無法檢測和清除這種惡意代碼。2023/6/2322浙江郵電職業(yè)技術學院計算機系惡意代碼攻擊技術常見的攻擊技術包括：進程注入技術三線程技術端口復用技術超級管理技術端口反向連接技術緩沖區(qū)溢出攻擊技術。2023/6/2323浙江郵電職業(yè)技術學院計算機系1.進程注入技術當前操作系統(tǒng)中都有系統(tǒng)服務和網(wǎng)絡服務，它們都在系統(tǒng)啟動時自動加載。進程注入技術就是將這些與服務相關的可執(zhí)行代碼作為載體，惡意代碼程序將自身嵌入到這些可執(zhí)行代碼之中，實現(xiàn)自身隱藏和啟動的目的。這種形式的惡意代碼只須安裝一次，以后就會被自動加載到可執(zhí)行文件的進程中，并且會被多個服務加載。只有系統(tǒng)關閉時，服務才會結束，所以惡意代碼程序在系統(tǒng)運行時始終保持激活狀態(tài)。比如惡意代碼“WinEggDropShell”可以注入Windows下的大部分服務程序。2023/6/2324浙江郵電職業(yè)技術學院計算機系2.三線程技術在Windows操作系統(tǒng)中引入了線程的概念，一個進程可以同時擁有多個并發(fā)線程。三線程技術就是指一個惡意代碼進程同時開啟了三個線程，其中一個為主線程，負責遠程控制的工作。另外兩個輔助線程是監(jiān)視線程和守護線程，監(jiān)視線程負責檢查惡意代碼程序是否被刪除或被停止自啟動。守護線程注入其它可執(zhí)行文件內，與惡意代碼進程同步，一旦進程被停止，它就會重新啟動該進程，并向主線程提供必要的數(shù)據(jù)，這樣就能保證惡意代碼運行的可持續(xù)性。例如，“中國黑客”等就是采用這種技術的惡意代碼。2023/6/2325浙江郵電職業(yè)技術學院計算機系3.端口復用技術端口復用技術，系指重復利用系統(tǒng)網(wǎng)絡打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。端口復用是在保證端口默認服務正常工作的條件下復用，具有很強的欺騙性。例如，特洛伊木馬“Executor”利用80端口傳遞控制信息和數(shù)據(jù)，實現(xiàn)其遠程控制的目的。2023/6/2326浙江郵電職業(yè)技術學院計算機系3.端口復用技術端口復用技術，系指重復利用系統(tǒng)網(wǎng)絡打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。端口復用是在保證端口默認服務正常工作的條件下復用，具有很強的欺騙性。例如，特洛伊木馬“Executor”利用80端口傳遞控制信息和數(shù)據(jù)，實現(xiàn)其遠程控制的目的。2023/6/2327浙江郵電職業(yè)技術學院計算機系4.超級管理技術一些惡意代碼還具有攻擊反惡意代碼軟件的能力。為了對抗反惡意代碼軟件，惡意代碼采用超級管理技術對反惡意代碼軟件系統(tǒng)進行拒絕服務攻擊，使反惡意代碼軟件無法正常運行。例如，“廣外女生”是一個國產的特洛伊木馬，它采用超級管理技術對“金山毒霸”和“天網(wǎng)防火墻”進行拒絕服務攻擊。2023/6/2328浙江郵電職業(yè)技術學院計算機系5.端口反向連接技術防火墻對于外部網(wǎng)絡進入內部網(wǎng)絡的數(shù)據(jù)流有嚴格的訪問控制策略，但對于從內網(wǎng)到外網(wǎng)的數(shù)據(jù)卻疏于防范。端口反向連接技術，系指令惡意代碼攻擊的服務端（被控制端）主動連接客戶端（控制端）。國外的“Boinet”是最先實現(xiàn)這項技術的木馬程序，它可以通過ICO、IRC、HTTP和反向主動連接這4種方式聯(lián)系客戶端。國內最早實現(xiàn)端口反向連接技術的惡意代碼是“網(wǎng)絡神偷”?！盎银澴印眲t是這項技術的集大成者，它內置FTP、域名、服務端主動連接這3種服務端在線通知功能。2023/6/2329浙江郵電職業(yè)技術學院計算機系6.緩沖區(qū)溢出攻擊技術緩沖區(qū)溢出漏洞攻擊占遠程網(wǎng)絡攻擊的80％，這種攻擊可以使一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權，代表了一類嚴重的安全威脅。惡意代碼利用系統(tǒng)和網(wǎng)絡服務的安全漏洞植入并且執(zhí)行攻擊代碼，攻擊代碼以一定的權限運行有緩沖區(qū)溢出漏洞的程序，從而獲得被攻擊主機的控制權。緩沖區(qū)溢出攻擊成為惡意代碼從被動式傳播轉為主動式傳播的主要途徑。例如，“紅色代碼”利用IISServer上IndexingService的緩沖區(qū)溢出漏洞完成攻擊、傳播和破壞等惡意目的?！澳崮愤_蠕蟲”利用IIS4.0/5.0DirectoryTraversal的弱點，以及紅色代碼II所留下的后門，完成其傳播過程。2023/6/2330浙江郵電職業(yè)技術學院計算機系惡意代碼的隱蔽技術隱藏通常包括本地隱藏和通信隱藏其中本地隱藏主要有文件隱藏、進程隱藏、網(wǎng)絡連接隱藏、內核模塊隱藏、編譯器隱藏等網(wǎng)絡隱藏主要包括通信內容隱藏和傳輸通道隱藏。2023/6/2331浙江郵電職業(yè)技術學院計算機系1.本地隱藏本地隱蔽是指為了防止本地系統(tǒng)管理人員覺察而采取的隱蔽手段。本地系統(tǒng)管理人員通常使用“查看進程列表”，“查看目錄”，“查看內核模塊”，“查看系統(tǒng)網(wǎng)絡連接狀態(tài)”等管理命令來檢測系統(tǒng)是否被植入了惡意代碼。（1）文件隱蔽。最簡單的方法是定制文件名，使惡意代碼的文件更名為系統(tǒng)的合法程序文件名，或者將惡意代碼文件附加到合法程序文件中。（2）進程隱蔽。惡意代碼通過附著或替換系統(tǒng)進程，使惡意代碼以合法服務的身份運行，這樣可以很好地隱蔽惡意代碼?？梢酝ㄟ^修改進程列表程序，修改命令行參數(shù)使惡意代碼進程的信息無法查詢。也可以借助RootKit技術實現(xiàn)進程隱蔽。（3）網(wǎng)絡連接隱蔽。惡意代碼可以借用現(xiàn)有服務的端口來實現(xiàn)網(wǎng)絡連接隱蔽，如使用80（HTTP）端口，將自己的數(shù)據(jù)包設置特殊標識，通過標識識別連接信息，未標識的WWW服務網(wǎng)絡包仍轉交給原服務程序處理。使用隱蔽通道技術進行通信時可以隱蔽惡意代碼自身的網(wǎng)絡連接。（4）編譯器隱蔽。使用該方法可以實施原始分發(fā)攻擊，惡意代碼的植入者是編譯器開發(fā)人員。（5）RootKit隱蔽。Windows操作系統(tǒng)中的Rootkit分為兩類：用戶模式下的Rootkit和內核模式下的Rootkit。2023/6/2332浙江郵電職業(yè)技術學院計算機系2.網(wǎng)絡隱蔽使用加密算法對所傳輸?shù)膬热葸M行加密能夠隱蔽通信內容。隱蔽通信內容雖然可以保護通信內容，但無法隱蔽通信狀態(tài)，因此傳輸信道的隱蔽也具有重要的意義。對傳輸信道的隱蔽主要采用隱蔽通道技術。美國國防部可信操作系統(tǒng)評測標準對隱蔽通道進行了如下定義：隱蔽通道是允許進程違反系統(tǒng)安全策略傳輸信息的通道。隱蔽通道分為兩種類型：存儲隱蔽通道和時間隱蔽通道。存儲隱蔽通道是一個進程能夠直接或間接訪問某存儲空間，而該存儲空間又能夠被另一個進程所訪問，這兩個進程之間所形成的通道稱之為存儲隱蔽通道。時間隱蔽通道是一個進程對系統(tǒng)性能產生的影響可以被另外一個進程觀察到并且可以利用一個時間基準進行測量，這樣形成的信息傳遞通道稱為時間隱蔽通道。2023/6/2333浙江郵電職業(yè)技術學院計算機系網(wǎng)絡蠕蟲隨著網(wǎng)絡系統(tǒng)應用及復雜性的增加，網(wǎng)絡蠕蟲成為網(wǎng)絡系統(tǒng)安全的重要威脅。在網(wǎng)絡環(huán)境下，多樣化的傳播途徑和復雜的應用環(huán)境使網(wǎng)絡蠕蟲的發(fā)生頻率增高、潛伏性變強、覆蓋面更廣，網(wǎng)絡蠕蟲成為惡意代碼研究中重中之重。2023/6/2334浙江郵電職業(yè)技術學院計算機系網(wǎng)絡蠕蟲的定義網(wǎng)絡蠕蟲是一種智能化、自動化的計算機程序，綜合了網(wǎng)絡攻擊、密碼學和計算機病毒等技術，是一種無需計算機使用者干預即可運行的攻擊程序或代碼，它會掃描和攻擊網(wǎng)絡上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點。蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng)絡擁塞、降低系統(tǒng)性能、產生安全隱患、反復性和破壞性等特征，網(wǎng)絡蠕蟲是無須計算機使用者干預即可運行的獨立程序，它通過不停地獲得網(wǎng)絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。2023/6/2335浙江郵電職業(yè)技術學院計算機系蠕蟲的結構網(wǎng)絡蠕蟲的功能模塊可以分為主體功能模塊和輔助功能模塊。實現(xiàn)了主體功能模塊的蠕蟲能夠完成復制傳播流程，而包含輔助功能模塊的蠕蟲程序則具有更強的生存能力和破壞能力。網(wǎng)絡蠕蟲功能結構如圖2023/6/2336浙江郵電職業(yè)技術學院計算機系主體功能模塊主體功能模塊由四個模塊構成：①信息搜集模塊。該模塊決定采用何種搜索算法對本地或者目標網(wǎng)絡進行信息搜集，內容包括本機系統(tǒng)信息、用戶信息、郵件列表、對本機的信任或授權的主機、本機所處網(wǎng)絡的拓撲結構，邊界路由信息等等，這些信息可以單獨使用或被其他個體共享；②掃描探測模塊。完成對特定主機的脆弱性檢測，決定采用何種的攻擊滲透方式；③攻擊滲透模塊。該模塊利用②獲得的安全漏洞，建立傳播途徑，該模塊在攻擊方法上是開放的、可擴充的；④自我推進模塊。該模塊可以采用各種形式生成各種形態(tài)的蠕蟲副本，在不同主機間完成蠕蟲副本傳遞。例如“Nimda”會生成多種文件格式和名稱的蠕蟲副本；“W32.Nachi.Worm”利用系統(tǒng)程序（例如TFTP）來完成推進模塊的功能等等。2023/6/2337浙江郵電職業(yè)技術學院計算機系2.輔助功能模塊輔助功能模塊是對除主體功能模塊外的其他模塊的歸納或預測，主要由五個功能模塊構成：①實體隱藏模塊。包括對蠕蟲各個實體組成部分的隱藏、變形、加密以及進程的隱藏，主要提高蠕蟲的生存能力；②宿主破壞模塊。該模塊用于摧毀或破壞被感染主機，破壞網(wǎng)絡正常運行，在被感染主機上留下后門等；③信息通信模塊。該模塊能使蠕蟲間、蠕蟲同黑客之間能進行交流，這是未來蠕蟲發(fā)展的重點；利用通信模塊，蠕蟲間可以共享某些信息，使蠕蟲的編寫者更好地控制蠕蟲行為；④遠程控制模塊?？刂颇K的功能是調整蠕蟲行為，控制被感染主機，執(zhí)行蠕蟲編寫者下達的指令；⑤自動升級模塊。該模塊可以使蠕蟲編寫者隨時更新其它模塊的功能，從而實現(xiàn)不同的攻擊目的。2023/6/2338浙江郵電職業(yè)技術學院計算機系惡意代碼防范方法目前，惡意代碼防范方法主要分為兩方面：基于主機的惡意代碼防范方法基于網(wǎng)絡的惡意代碼防范方法。2023/6/2339浙江郵電職業(yè)技術學院計算機系基于主機的惡意代碼防范方法主要包括：基于特征的掃描技術校驗和沙箱技術安全操作系統(tǒng)對惡意代碼的防范，等等。2023/6/2340浙江郵電職業(yè)技術學院計算機系1.基于特征的掃描技術基于主機的惡意代碼防范方法是目前檢測惡意代碼最常用的技術，主要源于模式匹配的思想。掃描程序工作之前，必須先建立惡意代碼的特征文件，根據(jù)特征文件中的特征串，在掃描文件中進行匹配查找。用戶通過更新特征文件更新掃描軟件，查找最新的惡意代碼版本。這種技術廣泛地應用于目前的反病毒引擎中2023/6/2341浙江郵電職業(yè)技術學院計算機系校驗和校驗和是一種保護信息資源完整性的控制技術，例如Hash值和循環(huán)冗余碼等。只要文件內部有一個比特發(fā)生了變化，校驗和值就會改變。未被惡意代碼感染的系統(tǒng)首先會生成檢測數(shù)據(jù)，然后周期性地使用校驗和法檢測文件的改變情況。運用校驗和法檢查惡意代碼有3種方法：（1）在惡意代碼檢測軟件中設置校驗和法。對檢測的對象文件計算其正常狀態(tài)的校驗和并將其寫入被查文件中或檢測工具中，而后進行比較。（2）在應用程序中嵌入校驗和法。將文件正常狀態(tài)的校驗和寫入文件本身中，每當應用程序啟動時，比較現(xiàn)行校驗和與原始校驗和，實現(xiàn)應用程序的自我檢測功能。（3）將校驗和程序常駐內存。每當應用程序開始運行時，自動比較檢查應用程序內部或別的文件中預留保存的校驗和。2023/6/2342浙江郵電職業(yè)技術學院計算機系3.沙箱技術沙箱技術指根據(jù)系統(tǒng)中每一個可執(zhí)行程序的訪問資源，以及系統(tǒng)賦予的權限建立應用程序的“沙箱”，限制惡意代碼的運行。每個應用程序都運行在自己的且受保護的“沙箱”之中，不能影響其它程序的運行。同樣，這些程序的運行也不能影響操作系統(tǒng)的正常運行，操作系統(tǒng)與驅動程序也存活在自己的“沙箱”之中。美國加州大學Berkeley實驗室開發(fā)了基于Solaris操作系統(tǒng)的沙箱系統(tǒng)，應用程序經過系統(tǒng)底層調用解釋執(zhí)行，系統(tǒng)自動判斷應用程序調用的底層函數(shù)是否符合系統(tǒng)的安全要求，并決定是否執(zhí)行。對于每個應用程序，沙箱都為其準備了一個配置文件，限制該文件能夠訪問的資源與系統(tǒng)賦予的權限。WindowsXP/2003操作系統(tǒng)提供了一種軟件限制策略，隔離具有潛在危害的代碼。這種隔離技術其實也是一種沙箱技術，可以保護系統(tǒng)免受通過電子郵件和Internet傳染的各種惡意代碼的侵害。這些策略允許選擇系統(tǒng)管理應用程序的方式：應用程序既可以被“限制運行”，也可以“禁止運行”。通過在“沙箱”中執(zhí)行不受信任的代碼與腳本，系統(tǒng)可以限制甚至防止惡意代碼對系統(tǒng)完整性的破壞。2023/6/2343浙江郵電職業(yè)技術學院計算機系4.安全操作系統(tǒng)對惡意代碼的防范惡意代碼成功入侵的重要一環(huán)是，獲得系統(tǒng)的控制權，使操作系統(tǒng)為它分配系統(tǒng)資源。無論哪種惡意代碼，無論要達到何種惡意目的，都必須具有相應的權限。沒有足夠的權限，惡意代碼不可能實現(xiàn)其預定的惡意目標，或者僅能夠實現(xiàn)其部分惡意目標。2023/6/2344浙江郵電職業(yè)技術學院計算機系基于網(wǎng)絡的惡意代碼防范方法由于惡意代碼具有相當?shù)膹碗s性和行為不確定性，惡意代碼的防范需要多種技術綜合應用，包括惡意代碼監(jiān)測與預警、惡意代碼傳播抑制、惡意代碼漏洞自動修復、惡意代碼阻斷等?；诰W(wǎng)絡的惡意代碼防范方法包括：惡意代碼檢測防御和惡意代碼預警。其中常見的惡意代碼檢測防御包括：基于GrIDS的惡意代碼檢測基于PLD硬件的檢測防御基于HoneyPot的檢測防御基于CCDC的檢測防御。2023/6/2345浙江郵電職業(yè)技術學院計算機系1.基于GrIDS的惡意代碼檢測著名的GrIDS主要針對大規(guī)模網(wǎng)絡攻擊和自動化入侵設計的，它收集計算機和網(wǎng)絡活動的數(shù)據(jù)以及它們之間的連接，在預先定義的模式庫的驅動下，將這些數(shù)據(jù)構建成網(wǎng)絡活動行為來表征網(wǎng)絡活動結構上的因果關系。它通過建立和分析節(jié)點間的行為圖（ActivityGraph），通過與預定義的行為模式圖進行匹配，檢測惡意代碼是否存在，是當前檢測分布式惡意代碼入侵有效的工具。2023/6/2346浙江郵電職業(yè)技術學院計算機系2.基于PLD硬件的檢測防御華盛頓大學應用