信息安全：恶意代码防范技术原理.

恶意代码的英文是 Malicious Code, 它是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用，破坏系统的完整性及可用性。

恶意代码概述：

（1）恶意代码分类：

恶意代码的种类主要包括：计算机病毒、蠕虫、特洛伊木马，逻辑炸弹，细菌恶意脚本和恶意ActiveX 控件、间谍软件等。

根据恶意代码的传播特性，可以将恶意代码分为两大类：

（2）恶意代码攻市模型：

第一步：侵入系统。恶意代码实现其恶意目的第一步就是要侵入系统。恶意代码入侵有许多途径，如：从互联网下载的程序，其自身也许就带有恶意代码；接收了已被恶意感染的电子邮件；通过光盘或软盘在系统上安装的软件；攻击者故意植入系统的恶意代码等。

第二步：维持或提升已有的权限。恶意代码的传播与破坏需要建立在盗用用户或者进程的合法权限的基础之上。

第三步：隐蔽。为了隐蔽已经侵入系统的恶意代码，可能会采取对恶意代码改名、删除源文件或者修改系统的安全策略等方式。

第四步：潜伏。恶意代码侵入系统后，在具有足够的权限并满足某些条件时就会发作，同时进行破坏活动。

第五步：破坏。恶意代码具有破坏性的本质，为的是造成信息丢失、泄密，系统完整性被破坏等。

第六步，重复前面5步对新的目标实施攻击过程。

（3）恶意代码生存技术：

1. 反跟踪技术：

恶意代码靠采用反跟踪技术来提高自身的伪装能力和防破译能力，使检测与清除恶意代码的难度大大增加。

反跟踪技术大致可以分为两大类：反动态跟踪技术和反静态分析技术。

① 反动态跟踪技术：禁止跟踪中断；检测跟踪法；其他反跟踪技术；

② 反静态分析技术：对程序代码分块加密执行；伪指令法；

2. 加密技术：

从加密的内容上划分，加密手段有三种，即信息加密、数据加密和程序代码加密。

3. 模糊变换技术：

恶意代码每感染一个客体对象时都会利用模糊变换技术使潜入宿主程序的代码不尽相同。

模糊变换技术主要分为以下几种：指令替换技术；指令压缩技术；指令扩展技术；伪指令技术；重编译技术；

4. 自动生产技术：

普通病毒能够利用“多态性发生器”编译成具有多态性的病毒。多态变换引擎能够让程序代码本身产生改变，但却可以保持原有功能。例如保加利亚的 “Dark Avenger", 变换引擎每产生一个恶意代码，其程序体都会发生变化，反恶意代码软件若只是采用基于特征的扫描技术，则无法检测和清除这种恶意代码。

5. 变形技术：

具体同一功能不同特征码的恶意代码；

恶意代码变形技术包括如下几个方面：重汇编技术；压缩技术；膨胀技术；重编译技术；

6. 三线程技术：

恶意代码中应用线程技术是为了防止恶意代码被外部操作停止运行。线程技术的工作原理是个恶意代码进程同时开启了三个线程，其中一个为负责远程控制工作的主线程，另外两个为用来监视线程负责检查恶意代码程序是否被删除或被停止自启动的监视线程和守护线程。注入其他可执行文件内的守护线程，同步于恶意代码进程。只要进程被停止，它就会重新启动该进程，同时向主线程提供必要的数据，这样就使得恶意代码可以待续运行。“中国黑客”

就是采用这种技术的恶意代码。

7. 进程注入技术：

在系统启动时操作系统的系统服务和网络服务一般能够自动加载。恶意代码程序为了实现隐藏和启动的目的，把自身嵌入与这些服务有关的进程中。这类恶意代码只需要安装一次，就能被服务加载到系统中运行，并且可以一直处于活跃状态。

8. 通信隐藏技术：

实现恶意代码的通信隐藏技术一般有四类：端口定制技术、端口复用技术、通信加密技术、隐蔽通道技术。

9. 内核级隐藏技术：

LKM 隐藏：LKM 是可加载内核模块，用来扩展 Linux 的内核功能。 LKM 能够在不用重新编译内核的情况下把动态加载到内存中。

内存映射隐藏：内存映射是指由一个文件到一块内存的映射。内存映射可以将硬盘上的内容映射至内存中，用户可以通过内存指令读写文件。使用内存映射避免了多次调用 I / O 操作的行为，减少了不必要的资源浪费。

（4）恶意代码攻击技术：

1. 进程注入技术：

系统服务和网络服务在操作系统中，当系统启动时被自动加载。

2. 超级管理技术：

部分恶意代码能够攻击反恶意代码软件。恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，阻碍反恶意代码软件的正常运行。例如， “广外女生”是一个国产特洛伊木马，对“金山毒霸”和“天网防火墙”采用超级管理技术进行拒绝服务攻击。

3. 端口反向连接技术：

指令恶意代码使用端口反向连接技术使攻击的服务端（被控制端）主动连接客户端（控制端）端口；

“网络神偷”是我国最早实现端口反向连接技术的恶意代码。

“灰鸽子”则是这项技术的集大成者，它内置 FTP 、域名、服务端主动连接这一种服务端在线通知功能。

4. 缓冲区溢出攻击技术：

恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码，攻击代码以一定的权限运行有缓冲区溢出漏洞的程序来获得被攻击主机的控制权。例如：红色代码。

（5）恶意代码分析技术：

恶意代码的分析方法由静态分析方法和动态分析方法两部分构成。

（6）恶意代码防范策略：

做好恶意代码的防范：从管理上和技术上进行加强；

计算机病毒分析与防护：

（1）计算机病毒概念与特性：

计算机病毒的名称由来借用了生物学上的病毒概念，它是一组具有自我复制、传播能力的程序代码。

计算机病毒都具有以下四个基本特点：隐蔽性；传染性；潜伏性；破坏性；

（2）计算机病毒组成与运行机制：

计算机病毒由三部分组成：复制传染部件、隐藏部件、破坏部件。复制传染部件的功能是控制病毒向其他文件的传染；隐藏部件的功能是防止病毒被检测到；破坏部件则用在当病毒符合激活条件后，执行破坏操作。计算机病毒将上述三个部分综合在一起，然后病毒实现者用当前反病毒软件不能检测到的病毒感染系统，此后病毒就逐渐开始传播。

计算机病毒的生命周期主要有两个阶段：第一阶段，计算机病毒的复制传播阶段；第二阶段，计算机病毒的激活阶段；

（3）计算机病毒常见类型与技术：

1. 引导型病毒：引导型病毒通过感染计算机系统的引导区而控制系统，病毒将真实的引导区内容修改或替换，当病毒程序执行后，才启动操作系统。引导型病毒通常都是内存驻留的，典型的引导型病毒如磁盘杀手病毒、 AntiExe 病毒等。

2. 宏病毒：它能够感染任何运行 Office 的计算机；

3. 多态病毒：多态病毒每次感染新的对象后，通过更换加密算法，改变其存在形式。

4. 隐蔽病毒：隐蔽病毒试图将自身的存在形式进行隐藏，使得操作系统和反病毒软件不能发现。

（4）计算机病拆防范策略与技术：

1. 查找计算机病毒源；

2. 阻断计算机病毒传播途径；

3. 主动查杀计算机病毒；

4. 计算机病毒应急响应和灾备；

（5）计算机病毒防护方案：

1. 基于单机计算机病毒防护；

2. 基于网络计算机病毒防护；

3. 基于网络分级病毒防护；

4. 基于邮件网关病毒防护；

5. 基于网关防护；

特洛伊木马分析与防护：

（1）特洛伊木马概念与特性：

特洛伊木马 (Trojan Horse, 简称木马），其名称取自古希腊神话特洛伊战争的特洛伊木马，它是具有伪装能力、隐蔽执行非法功能的恶意程序，而受害用户表面上看到的是合法功能的执行。

它通过伪装成合法程序或文件，植入系统，对网络系统安全构成严重威胁。

同计算机病毒、网络蠕虫相比较，特洛伊木马不具有自我传播能力，而是通过其他的传播机制来实现。受到特洛伊木马侵害的计算机，攻击者可不同程度地远程控制受害计算机，例如访问受害计算机、在受害计算机上执行命令或利用受害计算机进行 DDoS 攻击。

（2）特洛伊木马分类：

根据特洛伊木马的管理方式，可以将特洛伊木马分为本地特洛伊木马和网络特洛伊木马。

本地特洛伊木马是最早期的一类木马，其特点是木马只运行在本地的单台主机，木马没有远程通信功能，木马的攻击环境是多用户的 UNIX 系统，典型例子就是盗用口令的木马。

网络特洛伊木马是指具有网络通信连接及服务功能的一类木马，简称网络木马。

（3）特洛伊木马运行机制：

整个木马攻击过程主要分为五个部分：① 寻找攻击目标；② 收集目标系统的信息； ③ 将木马植入目标系统；④ 木马隐藏；⑤ 攻击意图实现；

（4）特洛伊木马植人技术：

特洛伊木马的植入方法可以分为两大类，即被动植入和主动植入；

被动植入是指通过人工干预方式才能将木马程序安装到目标系统中，植入过程必须依赖千受害用户的手工操作；

① 文件捆绑法：将木马捆绑到些常用的应用软件包中，当用户安装该软件包时，木马就在用户毫无察觉的情况下，被植入系统中。

② 邮件附件：木马设计者将木马程序伪装成邮件附件，然后发送给目标用户，若用户执行邮件附件就将木马植入该系统中。

③ Web 网页：木马程序隐藏在 html 文件中，当受害用户点击该网页时，就将木马植入目标系统中。

主动植入则是指主动攻击方法，将木马程序通过程序自动安装到目标系统中，植入过程无须受害用户的操作。

（5）特洛伊木马隐藏技术：

1. 本地活动行为隐藏技术：文件隐藏；进程隐藏；通信连接隐藏；

2. 远程通信过程隐藏技术：通信内容加密技术；通信端口复用技术；网络隐蔽通道；

（6）特洛伊木马存活技术：

特洛伊木马的存活能力取决于网络木马逃避安全监测的能力，一些网络木马侵入目标系统时采用反监测技术，甚至中断反网络木马程序运行。

一些高级木马常具有端口反向连接功能，例如 “Boinet"“ 网络神偷”“灰鸽子”等木马。端口反向连接技术是指由木马代理在目标系统主动连接外部网的远程木马控制端以逃避防火墙的限制。

（7）特洛伊木马防范技术：

1. 基于查看开放端口检测特洛伊木马技术；

2. 基于重要系统文件检测特洛伊木马技术；

3. 基于系统注册表检测特洛伊木马技术；

4. 检测具有隐藏能力的特洛伊木马技术；

5. 基于网络检测特洛伊木马技术；

6. 基于网络阻断特洛伊木马技术；

7. 清除特洛伊木马技术；

网络蠕虫分析与防护：

（1）网络蠕虫概念与特性：

网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序。

（2）网络蠕虫组成与运行机制：

网络蠕虫由四个功能模块构成：探测模块、传播模块、蠕虫引擎模块和负载模块；

探测模块：完成对特定主机的脆弱性检测，决定采用何种攻击渗透方式。

传播模块：该模块可以采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递。

蠕虫引擎模块：该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享。

负载模块：也就是网络蠕虫内部的实现伪代码。

（3）网络蠕虫常用技术：

1. 网络蠕虫扫描技术：将网络蠕虫的传播方法分成三类，即随机扫描、顺序扫描、选择性扫描.

2. 网络蠕虫漏洞利用技术：主机之间的信任关系漏洞；目标主机的程序漏洞；目标主机的默认用户和口令漏洞；目标主机的用户安全意识薄弱漏洞；目标主机的客户端程序配置漏洞；

（4）网络蠕虫防范技术：

网络蠕虫已经成为网络系统的极大威胁，防范网络蠕虫需要多种技术综合应用，包括网络蠕虫监测与预警、网络蠕虫传播抑制、网络蠕虫漏洞自动修复、网络蠕虫阻断等，下面将说明近几年的网络蠕虫检测防御的主要技术。

僵尸网络分析与防护：

（1）僵尸网络概念与特性：

僵尸网络是指攻击者利用入侵手段将僵尸程序植入目标计算机上，进而操纵受害机执行恶意活动的网络；

僵尸网络的构建方式主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等；

（2）僵尸网络运行机制与技术：

僵尸网络的运行机制主要由三个基本环节构成。

第一步，僵尸程序的传播。通过利用计算机网络系统的漏洞、社会工程学、犯罪工具包等方式，传播僵尸程序到目标网络的计算机上。

第二步，对僵尸程序进行远程命令操作和控制，将受害目标机组成个网络。僵尸网络可分为集中式和分布式，僵尸程序和控制端的通信协议方式有 IRC HTTP 。

第三步，攻击者通过僵尸网络的控制服务器，给僵尸程序发送攻击指令，执行攻击活动，如发送垃圾电子邮件、 DDoS攻击等。

僵尸网络为保护自身安全，其控制服务器和僵尸程序的通信使用加密机制，并把通信内容嵌入正常的 HTTP 流量中，以保护服务器的隐蔽性和匿名性。控制服务器和僵尸程序也采用认证机制，以防范控制消息伪造和篡改。

（3）僵尸网络防范技术：

1. 僵尸网络威胁监测；

2. 僵尸网络检测；

3. 僵尸网络主动遏制；

4. 僵尸程序查杀；

其他恶意代码分析与防护：

（1）逻辑炸弹：

逻辑炸弹是一段依附在其他软件中，并具有触发执行破坏能力的程序代码。逻辑炸弹的触发条件具有多种方式，包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等。逻辑炸弹只在触发条件满足后，才开始执行逻辑炸弹的破坏功能；

逻辑炸弹一旦触发，有可能造成文件删除、服务停止、软件中断运行等破坏。逻辑炸弹不能复制自身，不能感染其他程序。

（2）陷门：

陷门是软件系统里的一段代码，允许用户避开系统安全机制而访问系统。陷门由专门的命令激活，一般不容易发现。陷门通常是软件开发商为调试程序、维护系统而设定的功能。陷门不具有自动传播和自我复制功能。

（3）细菌：

细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但是它通过复制本身来消耗系统资源；

（4）问谍软件：

间谍软件通常指那些在用户不知情的情况下被安装在计算机中的各种软件，执行用户非期望的功能。这些软件可以产生弹出广告，重定向用户浏览器到陌生的网站。

同时，间谍软件还具有收集信息的能力，可记录用户的击键情况、浏览习惯，甚至会窃取用户的个人信息（如用户账号和口令、信用卡号），然后经因特网传送给攻击者。一般来说，间谍软件不具备自我复制功能。

恶意代码防护主要产品与技术指标：

（1）恶意代码防护主要产品：

1. 终端防护产品；

2. 安全网关产品；

3. 恶意代码监测产品；

4. 恶意代码防护产品：补丁管理系统；

5. 恶意代码应急晌应；

（2）恶意代码防护主要技术指标：

1. 恶意代码检测能力；

2. 恶蔥代码检测准确性；

3. 恶意代码阻断能力；

恶意代码防护技术应用：

（1）终端防护：

终端防护通常是在终端上安装一个恶意代码防护代理程序，该代理程序按照终端管理中心下发的安全策略进行安全控制。

（2）APT 防护：

高级持续威胁（简称 APT) 通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档或单击某个指向恶意站点的链接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图。

学习书籍：信息安全工程师教程.