計(jì)算機(jī)病毒及其防治-信息安全概論課件與復(fù)習(xí)提綱

計(jì)算機(jī)病毒及其防治一、惡意代碼概述二、惡意代碼實(shí)現(xiàn)關(guān)鍵技術(shù)三、惡意代碼防范方法：基于主機(jī)的檢測(cè)方法和基于網(wǎng)絡(luò)的檢測(cè)方法一、惡意代碼概述1惡意代碼概念2惡意代碼的發(fā)展3震蕩波1惡意代碼概念代碼是指計(jì)算機(jī)程序代碼，可以被執(zhí)行完成特定功能。任何食物事物都有正反兩面，人類發(fā)明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計(jì)算機(jī)程序也不例外，軟件工程師們編寫了大量的有用的軟件（操作系統(tǒng)，應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等）的同時(shí)，黑客們?cè)诰帉懢帉憯_亂社會(huì)和他人的計(jì)算機(jī)程序，這些代碼統(tǒng)稱為惡意代碼（MaliciousCodes）。惡意代碼的相關(guān)定義惡意代碼類型定義特點(diǎn)計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。潛伏、傳染和破壞計(jì)算機(jī)蠕蟲指通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序掃描、攻擊和擴(kuò)散特洛伊木馬指一種與遠(yuǎn)程計(jì)算機(jī)建立連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過(guò)網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計(jì)算機(jī)系統(tǒng)程序的，通過(guò)特殊的數(shù)據(jù)或時(shí)間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務(wù)用戶級(jí)RootKit指通過(guò)替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進(jìn)入系統(tǒng)，從而實(shí)現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級(jí)RootKit指嵌入操作系統(tǒng)內(nèi)核進(jìn)行隱藏和創(chuàng)建后門的程序隱蔽，潛伏2惡意代碼的發(fā)展DOS環(huán)境下的病毒演示火炬病毒救護(hù)車病毒RescueSuicide火炬病毒該病毒發(fā)作時(shí)，在屏幕顯示五把燃燒的火炬。同時(shí)，該病毒用內(nèi)存的隨機(jī)數(shù)從硬盤的物理第一扇區(qū)開始覆蓋，造成硬盤中的數(shù)據(jù)丟失。Rescue病毒病毒發(fā)作時(shí)，顯示一些圖形和文字。Suicide病毒該病毒發(fā)作時(shí)，在屏幕上顯示一幅圖形，告訴你的機(jī)器已經(jīng)被該病毒感染。救護(hù)車病毒該病毒發(fā)作時(shí)，從屏幕左下角有一輛救護(hù)車跑過(guò)。宏病毒演示DMV病毒Aliance病毒Laroux病毒Concept病毒DMV病毒該病毒據(jù)說(shuō)是第一個(gè)宏病毒，屬于實(shí)驗(yàn)性的，無(wú)破壞性。Aliance病毒該病毒發(fā)作時(shí)，顯示一個(gè)對(duì)話框。Laroux病毒該病毒感染W(wǎng)indowsExcel文檔，圖中顯示的是病毒的宏名。Concept病毒該病毒感染W(wǎng)inWord后，將在屏幕上彈出一個(gè)對(duì)話框。

DOS時(shí)代的AIDS病毒W(wǎng)indows環(huán)境下的病毒演示CIH女鬼白雪公主病毒等等……Windows95/98時(shí)代大名鼎鼎的CIH病毒CIH作者陳盈豪駭人聽聞的女鬼病毒

恐怖的圖片和音樂(lè)WindowsNT時(shí)代的白雪公主病毒

巨大的黑白螺旋占據(jù)了屏幕位置，使計(jì)算機(jī)使用者無(wú)法進(jìn)行任何操作！千年老妖病毒

使計(jì)算機(jī)反復(fù)的關(guān)機(jī)，每60秒一次木馬病毒和黑客程序的遠(yuǎn)程監(jiān)控席卷全球的NIMDA病毒NIMDA病毒的4種傳播方式造成嚴(yán)重危害的細(xì)密病毒Sircam“震蕩波”(Worm.Sasser)其他病毒ActiveX病毒

JAVA病毒HTML病毒手機(jī)病毒掌上型移動(dòng)設(shè)備病毒病毒與黑客程序結(jié)合的有害程序

QQ病毒、熊貓燒香病毒、灰鴿子U盤病毒病毒在U盤中放置一個(gè)程序，改名“RavMonE.exe”，這很容易讓人以為是瑞星的程序，其實(shí)是病毒?；旌闲?、自動(dòng)的攻擊

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻擊:蠕蟲WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墻入侵檢測(cè)風(fēng)險(xiǎn)管理攻擊的發(fā)展趨勢(shì)3震蕩波

一幢紅磚砌的兩層樓，一座偏僻的小村子，掩映在德國(guó)北部平原無(wú)邊無(wú)際的森林和玉米田里。

時(shí)間：2004年4月29日地點(diǎn)：德國(guó)北部

羅滕堡鎮(zhèn)沃芬森小村(Waffensen),人口僅920。

（1）時(shí)間,地點(diǎn)（2）人物

斯萬(wàn)-賈斯查因(SvenJaschan)，4月29日這一天是他18歲的生日。

母親叫維洛妮卡，開了一個(gè)門面不算大的以電腦維護(hù)修理為主的電腦服務(wù)部。 幾天前，為了慶祝他的生日，他在網(wǎng)上下載了一些代碼。修改之后今天將它放到了Internet上面。（3）傳播

從5月1日這些代碼開始在互聯(lián)網(wǎng)上以一種“神不知鬼不覺(jué)”的特殊方式傳遍全球?！爸姓小焙?，電腦開始反復(fù)自動(dòng)關(guān)機(jī)、重啟，網(wǎng)絡(luò)資源基本上被程序消耗，運(yùn)行極其緩慢。（4）危害這就是全球著名的“震蕩波”(Worm.Sasser)蠕蟲病毒。自“震蕩波”5月1日開始傳播以來(lái)，全球已有約1800萬(wàn)臺(tái)電腦報(bào)告感染了這一病毒。

5月3日，“震蕩波”病毒出現(xiàn)第一個(gè)發(fā)作高峰，當(dāng)天先后出現(xiàn)了B、C、D三個(gè)變種，全國(guó)已有數(shù)以十萬(wàn)計(jì)的電腦感染了這一病毒。微軟懸賞25萬(wàn)美元找原兇!“五一”長(zhǎng)假后的第一天，“震蕩波”病毒的第二個(gè)高峰果然洶涌而來(lái)。僅8日上午9時(shí)到10時(shí)的短短一個(gè)小時(shí)內(nèi)，瑞星公司就接到用戶的求助電話2815個(gè)，且30％為企業(yè)局域網(wǎng)用戶，其中不乏大型企業(yè)局域網(wǎng)、機(jī)場(chǎng)、政府部門、銀行等重要單位。9日，“震蕩波”病毒疫情依然沒(méi)有得到緩解。

五月份的第一個(gè)星期（也就是“震蕩波”迅速傳播的時(shí)候），微軟公司德國(guó)總部的熱線電話就從每周400個(gè)猛增到3．5萬(wàn)個(gè)

（5）游戲結(jié)束開始時(shí)，報(bào)道有俄羅斯人編寫了這種病毒!5月7日，斯萬(wàn)-賈斯查因的同學(xué)為了25萬(wàn)元，將其告發(fā)。并被警察逮捕。為了清除和對(duì)付“我的末日”（MyDoom）和“貝果”（Bagle）等電腦病毒。誰(shuí)知，在編寫病毒程序的過(guò)程中，他設(shè)計(jì)出一種名為“網(wǎng)絡(luò)天空A”（Net-sky）病毒變體。在朋友的鼓動(dòng)下，他對(duì)“網(wǎng)絡(luò)天空A”進(jìn)行了改動(dòng)，最后形成了現(xiàn)在的“震蕩波”病毒程序。

（6）病毒產(chǎn)生原因漏洞

病毒是通過(guò)微軟的最新高危漏洞-LSASS漏洞(微軟MS04-011公告)進(jìn)行傳播的，危害性極大，目前WINDOWS2000/XP/Server2003等操作系統(tǒng)的用戶都存在該漏洞，這些操作系統(tǒng)的用戶只要一上網(wǎng)，就有可能受到該病毒的攻擊。如果用戶的電腦中出現(xiàn)下列現(xiàn)象之一，則表明已經(jīng)中毒。（7）病毒表現(xiàn)的特征出現(xiàn)系統(tǒng)錯(cuò)誤對(duì)話框

被攻擊的用戶，如果病毒攻擊失敗，則用戶的電腦會(huì)出現(xiàn)LSAShell

服務(wù)異?？?，接著出現(xiàn)一分鐘后重啟計(jì)算機(jī)的“系統(tǒng)關(guān)機(jī)”框”。（7）病毒表現(xiàn)的特征

系統(tǒng)日志中出現(xiàn)相應(yīng)記錄

如果用戶無(wú)法確定自己的電腦是否出現(xiàn)過(guò)上述的異?？蚧蛳到y(tǒng)重啟提示，還可以通過(guò)查看系統(tǒng)日志的辦法確定是否中毒。方法是，運(yùn)行事件查看器程序，查看其中系統(tǒng)日志，如果出現(xiàn)如圖所示的日志記錄，則證明已經(jīng)中毒.

系統(tǒng)資源被大量占用

病毒如果攻擊成功，則會(huì)占用大量系統(tǒng)資源，使CPU占用率達(dá)到100%，出現(xiàn)電腦運(yùn)行異常緩慢的現(xiàn)象。（7）病毒表現(xiàn)的特征

內(nèi)存中出現(xiàn)名為avserve的進(jìn)程

病毒如果攻擊成功，會(huì)在內(nèi)存中產(chǎn)生名為avserve.exe的進(jìn)程，用戶可以用Ctrl+Shift+Esc的方式調(diào)用“任務(wù)管理器”，然后查看是內(nèi)存里是否存在上述病毒進(jìn)程。（7）病毒表現(xiàn)的特征系統(tǒng)目錄中出現(xiàn)名為avserve.exe的病毒文件

病毒如果攻擊成功，會(huì)在系統(tǒng)安裝目錄（默認(rèn)為C:\WINNT）下產(chǎn)生一個(gè)名為avserve.exe的病毒文件。

其它文件名：Explorer.exeExp1orer.exeExpl0rer.exe（7）病毒表現(xiàn)的特征（8）病毒的運(yùn)行過(guò)程

該病毒利用了WindowsLSASS的一個(gè)已知漏洞(MS04-011)，這是一個(gè)緩沖溢出漏洞，后果是使遠(yuǎn)程攻擊者完全控制受感染系統(tǒng)。感染系統(tǒng)：WinNT/Win2000/WinXP/Win2003

病毒長(zhǎng)度：15872字節(jié)1、生成病毒文件病毒運(yùn)行后，在%Windows％目錄下生成自身的拷貝，名稱為avserve.exe，文件長(zhǎng)度為15872字節(jié)，和在%System%目錄下生成其它病毒文件。例如:c:\win.log

:IP地址列表c:\WINNT\avserve.exe

:蠕蟲病毒文件本身c:\WINNT\system32\11113_up.exe:可能生成的蠕蟲文件本身c:\WINNT\system32\16843_up.exe:可能生成的蠕蟲文件本身

2、修改注冊(cè)表項(xiàng)

病毒創(chuàng)建注冊(cè)表項(xiàng)，使得自身能夠在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run下創(chuàng)建

"avserve"=”c:\WINNT\avserve.exe”

。

3、通過(guò)系統(tǒng)漏洞主動(dòng)進(jìn)行傳播

病毒主動(dòng)進(jìn)行掃描，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在微軟SSL安全漏洞時(shí)，進(jìn)行攻擊，然后在受攻擊的系統(tǒng)中生成名為cmd.ftp的ftp腳本程序，通過(guò)TCP端口5554下載蠕蟲病毒。

4、危害性

受感染的系統(tǒng)可能死機(jī)或者造成重新啟動(dòng)，同時(shí)由于病毒掃描A類或B類子網(wǎng)地址，目標(biāo)端口是TCP445會(huì)對(duì)網(wǎng)絡(luò)性能有一定影響，尤其局域網(wǎng)可能造成癱瘓。并可以在TCP9996端口創(chuàng)建遠(yuǎn)程Shell。該病毒在傳播和破壞形式上與“沖擊波”病毒相類似。（8）病毒的運(yùn)行過(guò)程（9）清除該病毒的相關(guān)建議1、安全模式啟動(dòng)

重新啟動(dòng)系統(tǒng)同時(shí)按下按F8鍵，進(jìn)入系統(tǒng)安全模式

2、注冊(cè)表的恢復(fù)

點(diǎn)擊"開始--〉運(yùn)行"，輸入regedit,運(yùn)行注冊(cè)表編輯器，依次雙

擊左側(cè)的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>

CurrentVersion>Run，并刪除面板右側(cè)的"avserve"="c:\winnt\avserve.exe“3、刪除病毒釋放的文件

點(diǎn)擊"開始--〉查找--〉文件和文件夾"，查找文件"avserve.exe"和"*_up.exe"，并將找到的文件刪除。

4、安裝系統(tǒng)補(bǔ)丁程序到以下微軟網(wǎng)站下載安裝補(bǔ)丁程序：/technet/security/bulletin/MS04-011.mspx或者在ＩＥ瀏覽器的工具－>WindowsUpdate升級(jí)系統(tǒng)。5、重新配置防火墻

重新配置邊界防火墻或個(gè)人防火墻關(guān)閉TCP端口5554和9996;（9）清除該病毒的相關(guān)建議6、可用一些補(bǔ)丁和殺毒軟件，如瑞星：（9）清除該病毒的相關(guān)建議

Microsoft早在4月初就已經(jīng)給出了MS04-011,012,013等嚴(yán)重漏洞，并且提醒用戶打補(bǔ)丁。（9）清除該病毒的相關(guān)建議計(jì)算機(jī)病毒及其防治一、惡意代碼概述二、惡意代碼實(shí)現(xiàn)關(guān)鍵技術(shù)三、惡意代碼防范方法：基于主機(jī)的檢測(cè)方法和基于網(wǎng)絡(luò)的檢測(cè)方法二惡意代碼實(shí)現(xiàn)關(guān)鍵技術(shù)一段好的惡意代碼，首先必須具有良好隱蔽性，生存性，不能輕松被軟件或者用戶察覺(jué)。然后，必須具有良好的攻擊性。1惡意代碼生存技術(shù)2惡意代碼攻擊技術(shù)3惡意代碼的隱蔽技術(shù)惡意代碼攻擊機(jī)制①侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實(shí)現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；黑客或者攻擊者故意將惡意代碼植入系統(tǒng)等。②維持或提升現(xiàn)有特權(quán)。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程的合法權(quán)限才能完成。③隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)侵入系統(tǒng)，惡意代碼可能會(huì)改名、刪除源文件或者修改系統(tǒng)的安全策略來(lái)隱藏自己。④潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權(quán)限時(shí)，就發(fā)作并進(jìn)行破壞活動(dòng)。⑤破壞。惡意代碼的本質(zhì)具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等。⑥重復(fù)①至⑤對(duì)新的目標(biāo)實(shí)施攻擊過(guò)程。惡意代碼攻擊模型1惡意代碼生存技術(shù)生存技術(shù)主要包括4方面：反跟蹤技術(shù)加密技術(shù)模糊變換技術(shù)自動(dòng)生產(chǎn)技術(shù)。反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性，加密技術(shù)是惡意代碼自身保護(hù)的重要機(jī)制。（1）反跟蹤技術(shù)惡意代碼采用反跟蹤技術(shù)可以提高自身的偽裝能力和防破譯能力，增加檢測(cè)與清除惡意代碼的難度。目前常用的反跟蹤技術(shù)有兩類：反動(dòng)態(tài)跟蹤技術(shù)和反靜態(tài)分析技術(shù)。反動(dòng)態(tài)跟蹤技術(shù)反動(dòng)態(tài)跟蹤技術(shù)主要包括4方面內(nèi)容：（1）禁止跟蹤中斷。針對(duì)調(diào)試分析工具運(yùn)行系統(tǒng)的單步中斷和斷點(diǎn)中斷服務(wù)程序，惡意代碼通過(guò)修改中斷服務(wù)程序的入口地址實(shí)現(xiàn)其反跟蹤目的。（2）封鎖鍵盤輸入和屏幕顯示，破壞各種跟蹤調(diào)試工具運(yùn)行的必需環(huán)境；（3）檢測(cè)跟蹤法。檢測(cè)跟蹤調(diào)試時(shí)和正常執(zhí)行時(shí)的運(yùn)行環(huán)境、中斷入口和時(shí)間的差異，根據(jù)這些差異采取一定的措施，實(shí)現(xiàn)其反跟蹤目的。例如，通過(guò)操作系統(tǒng)的API函數(shù)試圖打開調(diào)試器的驅(qū)動(dòng)程序句柄，檢測(cè)調(diào)試器是否激活確定代碼是否繼續(xù)運(yùn)行。（4）其它反跟蹤技術(shù)。如指令流隊(duì)列法和逆指令流法等。反靜態(tài)分析技術(shù)反靜態(tài)分析技術(shù)主要包括兩方面內(nèi)容：（1）對(duì)程序代碼分塊加密執(zhí)行。為了防止程序代碼通過(guò)反匯編進(jìn)行靜態(tài)分析，程序代碼以分塊的密文形式裝入內(nèi)存，在執(zhí)行時(shí)由解密程序進(jìn)行譯碼，某一段代碼執(zhí)行完畢后立即清除，保證任何時(shí)刻分析者不可能從內(nèi)存中得到完整的執(zhí)行代碼；（2）偽指令法(JunkCode)。偽指令法系指在指令流中插入“廢指令”，使靜態(tài)反匯編無(wú)法得到全部正常的指令，不能有效地進(jìn)行靜態(tài)分析。例如，“Apparition”是一種基于編譯器變形的Win32平臺(tái)的病毒，編譯器每次編譯出新的病毒體可執(zhí)行代碼時(shí)都要插入大量的偽指令，既達(dá)到了變形的效果，也實(shí)現(xiàn)了反跟蹤的目的。此外，偽指令技術(shù)還廣泛應(yīng)用于宏病毒與腳本惡意代碼之中。（2）加密技術(shù)加密技術(shù)是惡意代碼自我保護(hù)的一種手段，加密技術(shù)和反跟蹤技術(shù)的配合使用，使得分析者無(wú)法正常調(diào)試和閱讀惡意代碼，不知道惡意代碼的工作原理，也無(wú)法抽取特征串。從加密的內(nèi)容上劃分，加密手段分為信息加密、數(shù)據(jù)加密和程序代碼加密三種。大多數(shù)惡意代碼對(duì)程序體自身加密，另有少數(shù)惡意代碼對(duì)被感染的文件加密。（3）模糊變換技術(shù)利用模糊變換技術(shù)，惡意代碼每感染一個(gè)客體對(duì)象時(shí)，潛入宿主程序的代碼互不相同。同一種惡意代碼具有多個(gè)不同樣本，幾乎沒(méi)有穩(wěn)定代碼，采用基于特征的檢測(cè)工具一般不能識(shí)別它們。隨著這類惡意代碼的增多，不但使得病毒檢測(cè)和防御軟件的編寫變得更加困難，而且還會(huì)增加反病毒軟件的誤報(bào)率。目前，模糊變換技術(shù)主要分為5種：（1）指令替換技術(shù)。（2）指令壓縮技術(shù)。（3）指令擴(kuò)展技術(shù)。（4）偽指令技術(shù)。（5）重編譯技術(shù)。（4）自動(dòng)生產(chǎn)技術(shù)惡意代碼自動(dòng)生產(chǎn)技術(shù)是針對(duì)人工分析技術(shù)的?！坝?jì)算機(jī)病毒生成器”，使對(duì)計(jì)算機(jī)病毒一無(wú)所知的用戶，也能組合出算法不同、功能各異的計(jì)算機(jī)病毒?！岸鄳B(tài)性發(fā)生器”可將普通病毒編譯成復(fù)雜多變的多態(tài)性病毒。多態(tài)變換引擎可以使程序代碼本身發(fā)生變化，并保持原有功能。保加利亞的“DarkAvenger”是較為著名的一個(gè)例子，這個(gè)變換引擎每產(chǎn)生一個(gè)惡意代碼，其程序體都會(huì)發(fā)生變化，反惡意代碼軟件如果采用基于特征的掃描技術(shù)，根本無(wú)法檢測(cè)和清除這種惡意代碼。2惡意代碼攻擊技術(shù)常見的攻擊技術(shù)包括：進(jìn)程注入技術(shù)三線程技術(shù)端口復(fù)用技術(shù)超級(jí)管理技術(shù)端口反向連接技術(shù)緩沖區(qū)溢出攻擊技術(shù)（1）.進(jìn)程注入技術(shù)當(dāng)前操作系統(tǒng)中都有系統(tǒng)服務(wù)和網(wǎng)絡(luò)服務(wù)，它們都在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載。進(jìn)程注入技術(shù)就是將這些與服務(wù)相關(guān)的可執(zhí)行代碼作為載體，惡意代碼程序?qū)⒆陨砬度氲竭@些可執(zhí)行代碼之中，實(shí)現(xiàn)自身隱藏和啟動(dòng)的目的。這種形式的惡意代碼只須安裝一次，以后就會(huì)被自動(dòng)加載到可執(zhí)行文件的進(jìn)程中，并且會(huì)被多個(gè)服務(wù)加載。只有系統(tǒng)關(guān)閉時(shí)，服務(wù)才會(huì)結(jié)束，所以惡意代碼程序在系統(tǒng)運(yùn)行時(shí)始終保持激活狀態(tài)。（2）.三線程技術(shù)在Windows操作系統(tǒng)中引入了線程的概念，一個(gè)進(jìn)程可以同時(shí)擁有多個(gè)并發(fā)線程。三線程技術(shù)就是指一個(gè)惡意代碼進(jìn)程同時(shí)開啟了三個(gè)線程，其中一個(gè)為主線程，負(fù)責(zé)遠(yuǎn)程控制的工作。另外兩個(gè)輔助線程是監(jiān)視線程和守護(hù)線程，監(jiān)視線程負(fù)責(zé)檢查惡意代碼程序是否被刪除或被停止自啟動(dòng)。守護(hù)線程注入其它可執(zhí)行文件內(nèi)，與惡意代碼進(jìn)程同步，一旦進(jìn)程被停止，它就會(huì)重新啟動(dòng)該進(jìn)程，并向主線程提供必要的數(shù)據(jù)，這樣就能保證惡意代碼運(yùn)行的可持續(xù)性。（3）.端口復(fù)用技術(shù)端口復(fù)用技術(shù)，系指重復(fù)利用系統(tǒng)網(wǎng)絡(luò)打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下復(fù)用，具有很強(qiáng)的欺騙性。（4）.超級(jí)管理技術(shù)一些惡意代碼還具有攻擊反惡意代碼軟件的能力。為了對(duì)抗反惡意代碼軟件，惡意代碼采用超級(jí)管理技術(shù)對(duì)反惡意代碼軟件系統(tǒng)進(jìn)行拒絕服務(wù)攻擊，使反惡意代碼軟件無(wú)法正常運(yùn)行。（5）.端口反向連接技術(shù)防火墻對(duì)于外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流有嚴(yán)格的訪問(wèn)控制策略，但對(duì)于從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)卻疏于防范。端口反向連接技術(shù)，系指令惡意代碼攻擊的服務(wù)端（被控制端）主動(dòng)連接客戶端（控制端）。（6）.緩沖區(qū)溢出攻擊技術(shù)緩沖區(qū)溢出漏洞攻擊占遠(yuǎn)程網(wǎng)絡(luò)攻擊的80％，這種攻擊可以使一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)，代表了一類嚴(yán)重的安全威脅。惡意代碼利用系統(tǒng)和網(wǎng)絡(luò)服務(wù)的安全漏洞植入并且執(zhí)行攻擊代碼，攻擊代碼以一定的權(quán)限運(yùn)行有緩沖區(qū)溢出漏洞的程序，從而獲得被攻擊主機(jī)的控制權(quán)。緩沖區(qū)溢出攻擊成為惡意代碼從被動(dòng)式傳播轉(zhuǎn)為主動(dòng)式傳播的主要途徑。例如，“紅色代碼”利用IISServer上IndexingService的緩沖區(qū)溢出漏洞完成攻擊、傳播和破壞等惡意目的。3惡意代碼的隱蔽技術(shù)隱藏通常包括本地隱藏和通信隱藏其