惡意代碼的攻擊與防御

劉泳儀　姚瑀哲　鄭虹

摘要：隨著信息化進程的推進、網絡應用的普及，各行各業對計算機網絡的依賴越來越高，這使得整個社會變得十分脆弱，一旦網絡受到攻擊，就會陷入危機。在大量的安全事件中，惡意代碼攻擊占很大的比例，所以加強對惡意代碼的防御研究很是必要。本文根據惡意代碼的攻擊機制，給出了不同類型惡意代碼的防御技術。

關鍵詞：惡意代碼;病毒;木馬;防范方法

引言

惡意代碼是計算機網絡中的一種攻擊方式，具有出現較早、發展較快、影響較廣、傳播途徑較多等特點。計算機網絡在為大家提供便利服務的同時也為計算機病毒的惡意攻擊提供了可乘之機。許多互聯網安全事件都起源于惡意代碼，由此可見，了解惡意代碼的攻擊原理、加強對惡意代碼的防御對互聯網安全應對能力非常必要。

1.惡意代碼分類

惡意代碼實質是一種可以獨立執行的指令集或嵌入其他程序的可執行代碼。惡意代碼通常被分為4類：病毒、蠕蟲、木馬、后門。

計算機病毒是具有自我復制能力的依附性惡意代碼，在計算機程序中插入的破壞計算機功能或者破壞數據、影響計算機并能夠自我復制的一組指令或程序代碼。

蠕蟲具有自我復制能力的獨立性惡意代碼，它通過網絡連接將自身或變種發送到其他主機的程序，當進入某臺主機后，它會被再次激活并開始新的傳染。除了傳染以外，蠕蟲也經常執行破壞功能。

木馬是不具有自我復制能力的獨立性惡意代碼。木馬包括服務器程序和客戶程序，服務器程序在目標主機運行，負責打開攻擊通道;客戶程序在攻擊者主機運行，負責與目標主機建立遠程連接并進行通信，發出各種攻擊命令。

后門是不具有自我復制能力的依附性惡意代碼。指一類能夠繞開正常的安全控制機制，從而為攻擊者提供訪問途經的一類惡意代碼，攻擊者可以通過使用后門工具對目標主機進行完全控制。

病毒、木馬和蠕蟲之間存在很大差別。病毒側重于破壞系統和程序的能力，木馬側重于竊取敏感信息的能力，蠕蟲側重于網絡中自我復制能力和傳染能力。

2.惡意代碼攻擊機制與防范方法

惡意代碼程序結構：初始化工作、尋找傳染目標、奪取系統控制權、完成傳染破壞活動。盡管各種惡意代碼表現行為各異，但他們的破壞機制大體相同。主要分為5個步驟。

入侵系統：可以通過遠程攻擊、網頁木馬、郵件病毒等入侵系統。

維持和提升權限：盜用用戶或者進程的合法權限。

隱蔽：通過改名、刪除文件或修改安全策略來躲避安全軟件的檢測。

潛伏：在觸發條件滿足前不運行。

破壞：觸發條件滿足時，開始運行，實施破壞。

惡意代碼的防范指建立合適的防御系統，及時發現惡意代碼攻擊，并采取有效手段阻止攻擊，恢復受影響的主機和系統。

通用的惡意代碼防范方法主要有：特征代碼法、校驗和法、行為監測法、軟件模擬法等。

除了通用的技術以外，針對不同的惡意代碼的特點，使用針對性的方法和策略能更有效地阻止惡意代碼的攻擊。

2.1病毒的防御方法

隨著反病毒技術的發展，除了通用的防御方法之外還有三種反病毒技術，即通用解密、數字免疫系統和行為阻斷技術。

（1）通用解密技術包括CPU模擬器、特征碼掃描器和仿真控制等組件。CPU模擬器是基于軟件的虛擬機，模擬執行可執行文件中的機器指令;特征碼掃描器用于掃描解密病毒代碼尋找已知特征碼的模塊;仿真控制用于控制病毒代碼的模擬執行。

（2）數字免疫系統以CPU 模擬為基礎，對其進行擴展并實現了更為通用的模擬器和病毒檢測系統。一旦病毒入侵，免疫系統會立即自動捕獲、分析、檢測、屏蔽和清除，報告該病毒信息，使得這種病毒在廣泛傳播前即可被檢測。

（3）行為阻止技術也稱為主動防御技術。行為阻止與操作系統相結合，實時監控惡意的程序行為，可以在它對系統實施攻擊之前將其阻止?？勺钄嗟男袨橛校捍蜷_、刪除、添加或修改文件;格式化硬盤或其他不可恢復的硬盤操作;修改可執行文件或宏的執行邏輯;修改關鍵系統配置;初始化網絡連接;使用腳本發送可執行文件等。

2.2蠕蟲的防御方法

蠕蟲的傳播通常分三個階段，即慢開始、快傳播和慢結束。在慢開始階段，被傳染的主機呈指數增長，在一段時間后進入快速傳播階段，此時許多主機已被感染，當大部分有漏洞的主機都被感染后，蠕蟲難以尋找新的目標主機，進入慢結束階段。在慢開始階段進行防御最有效。下面介紹兩種實際的蠕蟲防范方法。

（1）蠕蟲提前封堵方法在慢開始階段對蠕蟲進行定位，檢測每臺主機單位時間內自身對外發起的連接數量。數量超過閾值時，主機會立即阻塞鏈接嘗試向管理器發送報警。其他主機從管理器接收到報警后，阻止所有陌生外出鏈接，并開始閾值分析。通過安全管理器傳送給防火墻以過濾該蠕蟲。

（2）基于網絡協作的蠕蟲防范的關鍵在于檢測軟件，分別檢測進入內網的報文或檢測發往外網的報文。檢測軟件可以部署在內網和外網的交接處，可以是邊界路由器，也可以是防火墻的一部分，或者是獨立的檢測設備。

2.3木馬的防御方法

木馬具有隱蔽性和非法訪問的特點，其攻擊原理是通過客戶程序向服務器發送指令，服務器程序接收控制指令后，根據指令在本地執行相應的動作，并把執行結果返回給客戶程序。除了反病毒軟件查殺病毒或專門的木馬查殺工具，還有幾種方法防范。

（1）檢查網絡通信狀態 在關閉所有正常網絡程序的情況下，檢查網絡連接狀態監測木馬，發現不熟悉的程序或奇怪的端口運行，及時跟蹤相應的進程，找到木馬程序的位置。

（2）查看進程與服務 可以用“netstart”或 “services.msc”程序觀察當前正在運行哪些服務，對于可疑程序停止運行。運行任務管理器，查看系統列表中是否出現可疑進程，進一步判斷是否是木馬服務程序。

（3）查看系統啟動項 發現可疑啟動項，立即修改配置刪除有關啟動項，系統重啟后，根據啟動項關聯的程序位置能找到木馬位置。

3.結束語

本文介紹了幾種惡意代碼，通過對惡意代碼破壞機制的分析，簡要地闡述了目前應對這種攻擊的防御思想以及針對程序行為的監控思想。當前惡意代碼攻防研究才剛剛起步，基于惡意代碼，需要研究更多可能的攻擊和防御點。

作者簡介：

劉泳儀1（2002.1），女，漢族，遼寧鐵嶺市人，研究方向：信息安全。

姚瑀哲2（2001.4），女，漢族，遼寧鐵嶺市人，研究方向：信息安全。

通訊作者簡介：鄭虹（1967.4），女，漢族，遼寧丹東市人，碩士，副教授。

大學生創新訓練項目：校級+入侵檢測技術的應用研究+202110169057。