計算機網(wǎng)絡(luò)安全教程 第4版 課件 ch8 計算機病毒防范技術(shù)VIP

第8章計算機病毒防范技術(shù)內(nèi)容提要：概述計算機病毒的工作原理和分類計算機病毒的檢測與防范

惡意代碼

小結(jié)8.1

概述計算機病毒的定義計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。美國計算機安全專家FredCohen博士認為：計算機病毒是一種能傳染其它程序的程序，病毒是靠修改其它程序，并把自身的拷貝嵌入其它程序而實現(xiàn)的。返回本章首頁計算機病毒的特性計算機病毒是一個程序；計算機病毒具有傳染性，可以傳染其它程序；計算機病毒的傳染方式是修改其它程序，把自身拷貝嵌入到其它程序中而實現(xiàn)的；計算機病毒的定義在很多方面借用了生物學病毒的概念，因為它們有著諸多相似的特征，比如能夠自我復(fù)制，能夠快速“傳染”，且都能夠危害“病原體”，當然計算機病毒危害的“病原體”是正常工作的計算機系統(tǒng)和網(wǎng)絡(luò)。計算機病毒的特性隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機病毒逐漸融合木馬、網(wǎng)絡(luò)蠕蟲和網(wǎng)絡(luò)攻擊等技術(shù)，形成了以普通病毒、木馬、網(wǎng)絡(luò)蠕蟲、移動代碼和復(fù)合型病毒等形態(tài)存在的惡意代碼，造成更大的社會危害。計算機病毒簡史-1早在1949年，計算機的先驅(qū)者馮·諾依曼在他的一篇論文《復(fù)雜自動機組織論》中，提出了計算機程序能夠在內(nèi)存中自我復(fù)制，即已把病毒程序的藍圖勾勒出來。十年之后，在美國電話電報公司（AT&T）的貝爾實驗室中，三個年輕程序員道格拉斯·麥耀萊、維特·維索斯基和羅伯·莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(zhàn)”。1975年，美國科普作家約翰·布魯勒爾寫了一本名為《震蕩波騎士》的書，該書第一次描寫了在信息社會中，計算機成為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一。1977年夏天，科幻小說《P-1的青春》幻想了世界上第一個計算機病毒，可以從一臺計算機傳染到另一臺計算機，最終控制了7000臺計算機，釀成了一場災(zāi)難，這實際上是計算機病毒的思想基礎(chǔ)。計算機病毒簡史-21983年11月3日，弗雷德·科恩博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼將它命名為計算機病毒（Viruses），并在每周一次的計算機安全討論會上正式提出，8小時后專家們在VAX11/750計算機系統(tǒng)上運行，第一個病毒實驗成功，一周后又獲準進行5個實驗的演示，從而在實驗上驗證了計算機病毒的存在。1986年初，在巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫了Pakistan病毒，該病毒在一年內(nèi)流傳到了世界各地，使人們認識到計算機病毒對PC機的影響。1987年10月，美國第一例計算機病毒（Brian）被發(fā)現(xiàn)。此后，病毒就迅速蔓延開來，世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。1988年3月2日，一種蘋果機病毒發(fā)作。1988年11月3日，美國6千臺計算機被病毒感染，造成Internet不能正常運行。這是一次非常典型計算機病毒入侵計算機網(wǎng)絡(luò)的事件。1989年，“米開朗基羅”病毒給許多計算機用戶造成極大損失。計算機病毒簡史-31991年，在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)。1992年，出現(xiàn)針對殺毒軟件的“幽靈”病毒，如One_Half。還出現(xiàn)了實現(xiàn)機理與以往的文件型病毒有明顯區(qū)別的DIR2病毒。1994年5月，南非第一次多種族全民大選的計票工作，因計算機病毒的破壞停止30余小時，被迫推遲公布選舉結(jié)果。1996年，出現(xiàn)針對微軟公司Office的“宏病毒”。1997年公認為計算機反病毒界的“宏病毒年”。1998年，首例破壞計算機硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進行傳播的“美麗殺手”病毒。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。2000年5月4日，愛蟲病毒開始在全球各地迅速傳播。該病毒通過MicrosoftOutlook電子郵件系統(tǒng)傳播令全球為此損失100億美元。計算機病毒簡史-42001年完全可以被稱為“蠕蟲之年”。Nimda（尼姆達）、CodeRed（紅色代碼）、Badtrans（壞透了）……出現(xiàn)的蠕蟲病毒不僅數(shù)量眾多，而且危害極大，感染了數(shù)百萬臺電腦。在2002年新生的計算機病毒中，木馬、黑客病毒以61%的絕對數(shù)量占據(jù)頭名。網(wǎng)絡(luò)病毒越來越成為病毒的主流。2003年的1月25日，僅在“SQL殺手”病毒出現(xiàn)的當天，我國就有80%的網(wǎng)絡(luò)服務(wù)供應(yīng)商先后遭受此蠕蟲病毒的攻擊，造成許多網(wǎng)絡(luò)的暫時癱瘓。2003年的8月12日，名為“沖擊波”的病毒在全球襲擊Windows操作系統(tǒng)，據(jù)估計可能感染了全球一、兩億臺計算機，在國內(nèi)導(dǎo)致上千個局域網(wǎng)癱瘓。計算機病毒簡史-52005年由國內(nèi)作者編寫的“灰鴿子”木馬成為當年頭號病毒，它危害極大，變種極多（共有4257個變種），是國內(nèi)非常罕見的惡性木馬病毒。2006年11月至今，我國又連續(xù)出現(xiàn)“熊貓燒香”、“艾妮”等盜取網(wǎng)上用戶密碼帳號的病毒和木馬，病毒的趨利性進一步增強。2010年6月，“震網(wǎng)”病毒成為第一個專門定向攻擊真實世界中基礎(chǔ)能源設(shè)施的“蠕蟲”病毒。2012年5月，俄羅斯安全專家發(fā)現(xiàn)了“火焰”病毒，全名為Worm.Win32.Flame，它是一種后門程序和木馬病毒，同時又具有蠕蟲病毒的特點。計算機病毒的特征非授權(quán)可執(zhí)行性隱蔽性傳染性潛伏性表現(xiàn)性或破壞性可觸發(fā)性計算機病毒的主要危害直接破壞計算機數(shù)據(jù)信息占用磁盤空間和對信息的破壞搶占系統(tǒng)資源影響計算機運行速度計算機病毒錯誤與不可預(yù)見的危害計算機病毒的兼容性對系統(tǒng)運行的影響攻擊移動智能終端系統(tǒng)摧毀工業(yè)控制系統(tǒng)和工業(yè)基礎(chǔ)設(shè)施給用戶造成嚴重的心理壓力8.2計算機病毒的工作原理和分類8.2.1計算機病毒的工作原理1．計算機病毒的結(jié)構(gòu)（1）病毒的邏輯結(jié)構(gòu)（2）病毒的磁盤存儲結(jié)構(gòu)（3）病毒的內(nèi)存駐留結(jié)構(gòu)（1）病毒的邏輯結(jié)構(gòu)病毒的引導(dǎo)模塊；病毒的傳染模塊；病毒的發(fā)作（表現(xiàn)和破壞）模塊。引導(dǎo)模塊傳染條件判斷模塊實施傳染模塊觸發(fā)條件判斷模塊實施表現(xiàn)或破壞模塊圖8-1計算機病毒的模塊結(jié)構(gòu)（2）病毒的磁盤存儲結(jié)構(gòu)①磁盤空間結(jié)構(gòu)經(jīng)過格式化后的磁盤應(yīng)包括：主引導(dǎo)記錄區(qū)（硬盤）引導(dǎo)記錄區(qū)文件分配表（FAT）目錄區(qū)數(shù)據(jù)區(qū)（2）病毒的磁盤存儲結(jié)構(gòu)②系統(tǒng)型病毒的磁盤存儲結(jié)構(gòu)病毒的一部分存放在磁盤的引導(dǎo)扇區(qū)中另一部分則存放在磁盤其它扇區(qū)中引導(dǎo)型病毒沒有對應(yīng)的文件名字（2）病毒的磁盤存儲結(jié)構(gòu)③文件型病毒的磁盤存儲結(jié)構(gòu)文件型病毒專門感染系統(tǒng)中可執(zhí)行文件；其程序依附在被感染文件的首部、尾部、中部或空閑部位；絕大多數(shù)文件型病毒都屬于外殼型病毒。（3）病毒的內(nèi)存駐留結(jié)構(gòu)①系統(tǒng)型病毒的內(nèi)存駐留結(jié)構(gòu)系統(tǒng)型病毒是在系統(tǒng)啟動時被裝入的病毒程序?qū)⒆陨硪苿拥竭m當?shù)膬?nèi)存高端采用修改內(nèi)存向量描述字的方法隱藏自己有些病毒也利用小塊沒有使用的低端內(nèi)存系統(tǒng)（3）病毒的內(nèi)存駐留結(jié)構(gòu)②文件型病毒的內(nèi)存駐留結(jié)構(gòu)病毒程序是在運行其宿主程序時被裝入內(nèi)存的，文件型病毒按其駐留內(nèi)存方式可分為：高端駐留型，典型的病毒有Yankee。常規(guī)駐留型，典型的病毒有黑色星期五。內(nèi)存控制鏈駐留型：典型的病毒有1701。設(shè)備程序補丁駐留型：典型的病毒有DIR2。不駐留內(nèi)存型：典型的病毒有Vienna/648。2．計算機病毒的作用機制（1）引導(dǎo)機制（2）傳染機制（3）破壞機制（1）中斷與計算機病毒中斷是CPU處理外部突發(fā)事件的一個重要技術(shù)。中斷類型可劃分為：

中斷硬件中斷軟件中斷：并不是真正的中斷，系統(tǒng)功能調(diào)用內(nèi)部中斷：因硬件出錯或運算出錯所引起；外部中斷：由外設(shè)發(fā)出的中斷；病毒有關(guān)的重要中斷INT08H和INT1CH的定時中斷，有些病毒用來判斷激發(fā)條件；INT09H鍵盤輸入中斷，病毒用于監(jiān)視用戶擊鍵情況；INT10H屏幕輸入輸出，一些病毒用于在屏幕上顯示信息來表現(xiàn)自己；INT13H磁盤輸入輸出中斷，引導(dǎo)型病毒用于傳染病毒和格式化磁盤；INT21HDOS功能調(diào)用，絕大多數(shù)文件型病毒修改該中斷。病毒利用中斷

圖8-2

病毒盜用中斷示意圖

中斷向量中斷服務(wù)程序中斷向量病毒相關(guān)程序中斷服務(wù)程序盜用后：盜用前：（2）計算機病毒的傳染機制傳染是指計算機病毒由一個載體傳播到另一載體，由一個系統(tǒng)進入另一個系統(tǒng)的過程。計算機病毒的傳染方式主要有：病毒程序利用操作系統(tǒng)的引導(dǎo)機制或加載機制進入內(nèi)存；從內(nèi)存的病毒傳染新的存儲介質(zhì)或程序文件是利用操作系統(tǒng)的讀寫磁盤的中斷或加載機制來實現(xiàn)的。（3）計算機病毒的破壞機制破壞機制在設(shè)計原則、工作原理上與傳染機制基體相同。它也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。8.2.2計算機病毒的分類1．按照病毒攻擊的系統(tǒng)分類（1）攻擊DOS系統(tǒng)的病毒。（2）攻擊Windows系統(tǒng)的病毒。（3）攻擊UNIX系統(tǒng)的病毒。（4）攻擊OS/2系統(tǒng)的病毒。2．按照病毒的攻擊機型分類（1）攻擊微型計算機的病毒。（2）攻擊小型機的計算機病毒。（3）攻擊工作站的計算機病毒。（4）攻擊移動終端設(shè)備的病毒。（5）攻擊工業(yè)設(shè)備的病毒。3．按照病毒的鏈結(jié)方式分類（1）源碼型病毒（2）嵌入型病毒（3）外殼型病毒（4）操作系統(tǒng)型病毒4．按照病毒的破壞情況分類（1）良性計算機病毒（2）惡性計算機病毒5．按照病毒的寄生方式分類（1）引導(dǎo)型病毒（2）文件型病毒（3）復(fù)合型病毒6．按照病毒的傳播媒介分類（1）單機病毒（2）網(wǎng)絡(luò)病毒8.2.3病毒實例分析1．CIH病毒概況CIH病毒是一種文件型病毒，感染W(wǎng)indows95/98環(huán)境下PE格式的EXE文件。病毒的危害主要表現(xiàn)在病毒發(fā)作后，硬盤數(shù)據(jù)全部丟失，甚至主板上的BIOS中的原內(nèi)容會被徹底破壞，主機無法啟動。1999年4月26日，CIH病毒大爆發(fā)，全球超過6000萬臺電腦被破壞，2000年CIH再度爆發(fā)，全球損失超過10億美元，2001年僅北京就有超過6000臺電腦遭破壞；2002年CIH病毒使數(shù)千臺電腦遭破壞，瑞星公司修復(fù)硬盤數(shù)量一天接近200塊。（1）CIH病毒的表現(xiàn)形式受感染的.EXE文件的文件長度沒有改變；DOS以及WIN3.1格式（NE格式）的可執(zhí)行文件不受感染，并且在WinNT中無效。用資源管理器中“工具>查找>文件或文件夾”的“高級>包含文字”查找EXE特征字符串——“CIHv”，在查找過程中，顯示出一大堆符合查找特征的可執(zhí)行文件。若4月26日開機，顯示器突然黑屏，硬盤指示燈閃爍不停，重新開機后，計算機無法啟動。（2）CIH病毒的行為機制CIH病毒直接進入Windows內(nèi)核。沒有改變宿主文件的大小，而是采用了一種新的文件感染機制即碎洞攻擊（fragmentedcavityattack），將病毒化整為零，拆分成若干塊，插入宿主文件中去；最引人注目的是它利用目前許多BIOS芯片開放了可重寫的特性，向計算機主板的BIOS端口寫入亂碼，開創(chuàng)了病毒直接進攻計算機主板芯片的先例?？梢哉fCIH病毒提供了一種全新的病毒程序方式和病毒發(fā)展方向。2．宏病毒宏的定義所謂宏，就是軟件設(shè)計者為了在使用軟件工作時避免一再地重復(fù)相同動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作編寫成宏，當再工作時，就可以直接利用事先寫好的宏自動運行，完成某項特定的任務(wù)，而不必再重復(fù)相同的動作。所謂“宏病毒”，是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺的計算機病毒，可以在Windows9X、WindowsNT/2000、OS/2和MacintoshSystem7等操作系統(tǒng)上執(zhí)行。（1）宏病毒的行為機制Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為doc的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方法。正因為這種宏也是文檔資料，便產(chǎn)生了宏感染的可能性。Word宏病毒通過doc文檔和dot模板進行自我復(fù)制及傳播。計算機文檔是交流最廣的文件類型。這就為Word宏病毒傳播帶來了很多便利，特別是Internet網(wǎng)絡(luò)的普及和E-mail的大量應(yīng)用更為Word宏病毒的傳播“拓展”了道路。（2）Word宏病毒特征Word宏病毒會感染doc文檔和dot模板文件。Word宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。病毒宏將自身復(fù)制到Word通用（Normal）模板中，以后在打開或關(guān)閉文件時宏病毒就會把病毒復(fù)制到該文件中。多數(shù)Word宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。Word宏病毒中總是含有對文檔讀寫操作的宏命令。Word宏病毒在doc文檔、dot模板中以BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式，不同Word版本格式可能不兼容。3．網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒專指在網(wǎng)絡(luò)傳播、并對網(wǎng)絡(luò)進行破壞的病毒；網(wǎng)絡(luò)病毒也指HTML病毒、E-mail病毒、Java病毒等與因特網(wǎng)有關(guān)的病毒。網(wǎng)絡(luò)病毒的特點傳染方式多傳播速度比較快清除難度大破壞性強潛在性深4．電子郵件病毒“電子郵件病毒”其實和普通的計算機病毒一樣，只不過它們的傳播途徑主要是通過電子郵件，所以才被稱為“電子郵件病毒”。電子郵件病毒的特點傳統(tǒng)的殺毒軟件對檢測此類格式的文件無能為力傳播速度快傳播范圍廣破壞力大8.3計算機病毒的檢測與防范

8.3.1

計算機病毒的檢測1．異常情況判斷計算機工作時，如出現(xiàn)下列異常現(xiàn)象，則有可能感染了病毒：（1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統(tǒng)很難退出或恢復(fù)。（2）揚聲器發(fā)出與正常操作無關(guān)的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。（3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不斷增多，直到無法繼續(xù)工作。（4）硬盤不能引導(dǎo)系統(tǒng)。（5）磁盤上的文件或程序丟失。（6）磁盤讀/寫文件明顯變慢，訪問的時間加長。（7）系統(tǒng)引導(dǎo)變慢或出現(xiàn)問題，有的出現(xiàn)“寫保護錯”提示。（8）系統(tǒng)經(jīng)常死機或出現(xiàn)異常的重啟動現(xiàn)象。（9）原來運行的程序突然不能運行，總是出現(xiàn)出錯提示。（10）連接的打印機不能正常啟動。觀察上述異常情況后，可初步判斷系統(tǒng)的哪部分資源受到了病毒侵襲，為進一步診斷和清除做好準備。2．檢測的主要依據(jù)（1）檢查磁盤主引導(dǎo)扇區(qū)（2）檢查FAT表（3）檢查中斷向量（4）檢查可執(zhí)行文件（5）檢查內(nèi)存空間（6）檢查特征串3．計算機病毒的檢測手段（1）特征代碼法特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。特征代碼法的實現(xiàn)步驟如下：

采集已知病毒樣本。

在病毒樣本中，抽取特征代碼。

打開被檢測文件，在文件中搜索病毒特征代碼。特征代碼法的特點：

速度慢

誤報警率低

不能檢查多形性病毒

不能對付隱蔽性病毒（2）校驗和法將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法。優(yōu)點：方法簡單，能發(fā)現(xiàn)未知病毒、被查文件的細微變化也能發(fā)現(xiàn)。缺點：會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。校驗和法查病毒運用校驗和法查病毒采用三種方式：①在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態(tài)的校驗和，將校驗和值寫入被查文件中或檢測工具中，而后進行比較。②在應(yīng)用程序中，放入校驗和法自我檢查功能，將文件正常狀態(tài)的校驗和寫入文件本身中，每當應(yīng)用程序啟動時，比較現(xiàn)行校驗和與原校驗和值，實現(xiàn)應(yīng)用程序的自檢測。③將校驗和檢查程序常駐內(nèi)存，每當應(yīng)用程序開始運行時，自動比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗和。（3）行為監(jiān)測法利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法。這些能夠作為監(jiān)測病毒的行為特征如下：A.占有INT13HB.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量C.對COM、EXE文件做寫入動作D.病毒程序與宿主程序的切換

優(yōu)點：可發(fā)現(xiàn)未知病毒、可相當準確地預(yù)報未知的多數(shù)病毒。

缺點：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。（4）軟件模擬法多態(tài)性病毒每次感染都變化其病毒密碼，對付這種病毒，特征代碼法失效。為了檢測多態(tài)性病毒，可應(yīng)用新的檢測方法——軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運行。新型檢測工具納入了軟件模擬法，該類工具開始運行時，使用特征代碼法檢測病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時，啟動軟件模擬模塊，監(jiān)視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病毒的種類。8.3.2計算機病毒的防范1．嚴格的管理2．有效的技術(shù)目前在預(yù)防病毒工具中采用的技術(shù)主要有：（1）將大量的消毒/殺毒軟件匯集一體。（2）檢測一些病毒經(jīng)常要改變的系統(tǒng)信息。（3）監(jiān)測寫盤操作，對引導(dǎo)區(qū)或主引導(dǎo)區(qū)的寫操作報警。（4）對文件形成一個密碼檢驗碼，實現(xiàn)對程序完整性的驗證。（5）智能判斷型。（6）智能監(jiān)察型。宏病毒的防治通過Word來防止宏病毒的感染和傳播，但是對大多數(shù)人來說，反宏病毒主要的還是依賴于各種反宏病毒軟件。當前，處理宏病毒的反病毒軟件主要分為兩類：常規(guī)反病毒掃描器和基于Word或者Excel宏的專門處理宏病毒的反病毒軟件。電子郵件病毒的防治（1）思想上高度重視，不要輕易打開來信中的附件文件；（2）不斷完善“網(wǎng)關(guān)”軟件及病毒防火墻軟件；（3）使用優(yōu)秀的防毒軟件同時保護客戶機和服務(wù)器；（4）使用特定的SMTP殺毒軟件。8.4惡意代碼8.4.1惡意代碼概述惡意代碼是一種程序，通常在人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達到破壞被感染計算機的數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。8.4.2惡意代碼的特征與分類1．惡意代碼的特征惡意代碼的特征主要體現(xiàn)在以下三個方面：（1）惡意的目的。（2）本身是程序。（3）通過執(zhí)行發(fā)生作用。8.4.2惡意代碼的特征與分類2．惡意代碼的分類按照惡意代碼的工作原理和傳輸方式區(qū)分，惡意代碼可以分為：普通病毒木馬網(wǎng)絡(luò)蠕蟲移動代碼復(fù)合型病毒...木馬木馬（全稱特洛伊木馬）是根據(jù)古希臘神話中的木馬來命名的。黑客程序以此命名有“一經(jīng)潛入，后患無窮”之意。木馬程序表面上沒有任何異常，但實際上卻隱含著惡意企圖。一些木馬程序會通過覆蓋系統(tǒng)文件的方式潛伏于系統(tǒng)中，還有一些木馬以正常軟件的形式出現(xiàn)。網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲是一種可以自我復(fù)制的完全獨立的程序，其傳播過程不需要借助于被感染主機中的其他程序。網(wǎng)絡(luò)蠕蟲的自我復(fù)制不像其他病毒，它可以自動創(chuàng)建與其功能完全相同的副本，并在不需要人工干涉的情況下自動運行。網(wǎng)絡(luò)蠕蟲通常是利用系統(tǒng)中的安全漏洞和設(shè)置缺陷進行自動傳播，因此可以以非常快的速度傳播。移動代碼移動代碼是能夠從主機傳輸?shù)娇蛻舳擞嬎銠C上并執(zhí)行的代碼，它通常是作為病毒、蠕蟲、木馬等的一部分被傳送到目標計算機。此外，移動代碼可以利用系統(tǒng)的安全漏洞進行入侵，如竊取系統(tǒng)賬戶密碼或非法訪問系統(tǒng)資源等。移動代碼通常利用JavaApplets、ActiveX、JavaScript和VBScript等技術(shù)來實現(xiàn)。復(fù)合型病毒惡意代碼通過多種方式傳播就形成了復(fù)合型病毒，著名的網(wǎng)絡(luò)蠕蟲Nimda實際上就是復(fù)合型病毒的一個例子，它可以同時通過E-mail、網(wǎng)絡(luò)共享、Web服務(wù)器、Web終端4種方式進行傳播。除上述方式外，復(fù)合型病毒還可以通過點對點文件共享、直接信息傳送等方式進行傳播。8.4.3惡意代碼的關(guān)鍵技術(shù)1．生存技術(shù)生存技術(shù)主要包括4個方面：反跟蹤技術(shù)加密技術(shù)模糊變換技術(shù)自動生產(chǎn)技術(shù)8.4.3惡意代碼的關(guān)鍵技術(shù)2．攻擊技術(shù)攻擊技術(shù)主要包括5個方面：進程注入技術(shù)端口復(fù)用技術(shù)對抗檢測技術(shù)端口反向連接技術(shù)緩沖區(qū)溢出攻擊技術(shù)8.4.3惡意代碼的關(guān)鍵技術(shù)3．隱藏技術(shù)隱藏技術(shù)主要包括2個方面：本地隱藏文件隱藏、進程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏等。通信隱藏通信內(nèi)容隱藏和傳輸通道隱藏。8.4.4網(wǎng)絡(luò)蠕蟲1．網(wǎng)絡(luò)蠕蟲的定義網(wǎng)絡(luò)蠕蟲是一種智能化、自動化，綜合網(wǎng)絡(luò)攻擊、密碼學和計算機病毒技術(shù)，不需要計算機使用者干預(yù)即可運行的攻擊程序或代碼。網(wǎng)絡(luò)蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng)絡(luò)擁塞、降低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性等特征，網(wǎng)絡(luò)蠕蟲無需計算機用戶干預(yù)即可自主運行，通過不斷地獲得網(wǎng)絡(luò)中存在特定漏洞的計算機上的控制權(quán)限來進行傳播。8.4.4網(wǎng)絡(luò)蠕蟲2．網(wǎng)絡(luò)蠕蟲的功能模型網(wǎng)絡(luò)蠕蟲的功能模塊可以分為主