论文部分内容阅读
摘 要:网络黑客的攻击令人防不胜防,计算机恶意代码更是计算机系统安全中很难根治的主要威胁之一,严重干扰了人们平时的学习和工作。目前,病毒已成为困扰计算机系统安全和网络发展的重要问题。只有了解病毒,才能更有效地防范病毒。为了更好地防范计算机恶意代码对计算机系统的入侵,必须对其进行全面深入的研究。本文根据当前计算机恶意代码的情况,详细地介绍了常见的恶意代码的特征与技术。
关键词:恶意代码 特征 技术
一、计算机恶意代码的概述
第一批计算机恶意代码出现在20世纪80年代。早期的恶意代码大部分是实验性的、相对简单的、可自我复制的文件,在执行时显示简单的恶作剧,是以游戏的形式出现的。随着恶意代码技术研究的深入开展,恶意代码的数量、种类、被攻击的平台数越来越多,恶意代码的复杂性和多样性显著提高,破坏性也变得越来越大。
什么是恶意代码?恶意代码是运行在计算机上,使计算机系统按照提供者的意愿执行任务的一组指令。它能在两个的计算机系统和不同地域的网络之间传播,可以在用户无法察觉的情况下对计算机系统和网络进行攻击。
计算机恶意代码的生存周期可以分为:程序设计→传播→潜伏→触发、运行→实施攻击。恶意代码的一个主要特征就是其具有针对性,这种针对性充分说明了恶意代码利用系统软件的脆弱性达到其破坏和入侵的目的。
恶意代码主要包括:病毒、蠕虫、木马、网页恶意代码等恶意可执行代码,虽然病毒和蠕虫之间有的时候很难分辨,但每一种恶意代码都有各自不同的定义和特征,可以帮助加以区分。
二、计算机恶意代码的特征与技术
(一)病毒
病毒是可以自我隐藏、自动复制及一定破坏作用的恶意代码,同时,它们还可以把自己的副本分发到其他文件、程序或电脑中去。病毒一般镶嵌在主机的程序中,当被感染文件执行操作的时候,病毒就会自我繁殖(例如打开一个文件,运行一个程序,点击邮件的附件等)。病毒可以分为以下几类:感染文件病毒、感染引导区病毒和恶作剧电子邮件。感染文件型病毒将自己写入宿主文件中,利用宿主文件进行传播。感染文件的方法有覆盖、附加、共存等。感染型病毒主要包括:覆盖型病毒、穴居型病毒、附加型病、伴侣型病毒。引导型病毒可以驻留在任何磁盘上,不一定是启动盘。所有用DOS格式化的磁盘都有一个空间包含错误信息和其他的程序,无论这个磁盘是否含有启动所必需的系统文件,引导型病毒都可以隐藏在里面。如果用一张含有引导型病毒的软盘启动计算机,那么引导型病毒会感染硬盘引导区,每次启动计算机时病毒都会自动加入内存。当再一次把干净的软盘放入计算机时,干净的软盘就会被感染,病毒随之传播开来。
(二)宏病毒
宏病毒是用宏语言编写的恶意程序,可以自动在Office等办公系统软件中运行,利用宏语言将文件破坏和删除,并能够自我复制和传播。宏病毒的感染都是通过宏语言自身的功能实现的,对字句的增、删、改等操作,所有的这些都离不开宏语言的运行环境。宏病毒不同于其他病毒,宏病毒可以在任何计算机系统下生存。只要该系统可以运行Office文字处理等软件,那么就可能感染宏病毒。
(三)木马
木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。木马由服务程序(server)、客户程序(client)和配置程序组成,配置程序对计算机进行设置,server端感染被攻击者的计算机,client端由攻击者控制向server端发送操作要求,server端完成要求。木马的特征包括:有效性、隐蔽性、顽固性、易植入性。木马常用的攻击技术包括:反弹端口技术、修改注册表、利用目录的优先级。
(四)蠕虫
蠕虫是目前危害最大的一种恶意代码攻击。蠕虫是一种可以从一台计算机移动到另一台计算机,并且可以自我复制的完全独立的程序,它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不像其它病毒,它可以自动创建与它的功能完全相同的副本,并在没人干涉的情况下自动运行。蠕虫病毒是计算机病毒的一种,它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
蠕虫的特征包括:自动攻击、容易隐藏、反复感染、造成网络拥塞。蠕虫采用的自动入侵技术,由于程序大小的限制,自动入侵程序不可能有太强的智能性,所以自动入侵一般都采用某种特定的模式。目前蠕虫使用的入侵模式只有一种,这种模式是就是前面提到的蠕虫传播过程采用的模式:扫描漏洞→攻击并获得shell→利用shell。
现在流行的蠕虫采用的传播技术目的一般是尽快地传播到尽量多的电脑中,多采用这样的扫描策略:随机选取某一段IP地址,然后对这一地址段上的主机扫描。一般的扫描程序可能会不断重复上面这一过程。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道哪些地址已经被扫描过,它只是简单地随机扫描互联网。于是蠕虫传播得越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,但是积少成多,就会引起严重的网络拥塞。可以对扫描策略进行一些改进,比如在IP地址段的选择上,可以主要针对当前主机所在的网段扫描,对外网段则随机选择几个小的IP地址段进行扫描;对扫描次数进行限制,只进行几次扫描;把扫描分散在不同的时间段进行。
(五)网页恶意代码
网页恶意代码主要是利用软件或系统平台的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet、ActiveX等应用程序,以强行修改用户操作系统的注册表设置及系统实用配置程序、盗取文件、删除文件、格式化硬盘为目标的恶意程序。网页恶意代码的最大特点是可以自动执行,不受用户的控制,当浏览网页的时候不知不觉就会中毒。其表现特征有以下几点:
(1)IE默认链接首页被修改,IE默认主页被修改。
(2)IE的标题栏被修改。
(3)IE右键菜单被修改。
(4)计算机系统自动弹出对话框。
(5)计算机的注册表被修改。
使用脚本语言可以使HTML变得具有动态性,允许用户和站点进行交互,对页面加载、鼠标移动和单击进行响应。但是脚本语言可以调用其它的程序,包括木马程序。VBScript和Jscript都是Windows浏览器环境下通用的脚本语言,脚本语言是黑客通过浏览器进行攻击最好的工具。为了实现多类脚本文件在Windows界面或DOS命令提示符下的直接运行,就在系统内植入了一个基于32位Windows平台、并独立于语言的脚本运行环境,并将其命名为“Windows Scripting Host”。利用WSH充分发挥VBScript及JScript等脚本的强大威力,极大地提高工作效率。
三、计算机恶意代码的发展趋势
计算机技术的不断发展,决定了计算机恶意代码不会局限在现有的传播模式上,种类也会不断地增加。
1. 混合传播模式。“混合病毒威胁”和“收敛威胁”成为新的病毒术语,“红色代码”利用的是IIS的漏洞,Nimda是Morris病毒的派生物,都是利用漏洞进行攻击。病毒的模式从引导区方式发展为多种类病毒蠕虫方式,时间不会很长。
2. 服务器和客户机同样受攻击。对于恶意代码来说服务器和客户机的区别越来越小,越来越模糊,他们都运行着同样的应用程序。像IIS服务是一个操作系统得缺省服务,所以它的漏洞每个计算机都有。
3. 跨越平台的攻击。跨平台攻击将不会停留在宏病毒上面,越来越多的恶意代码都将对不兼容的平台进行攻击,如Windows上的木马会攻击Apache服务器,Linux的病毒也会攻击Windows。
4. 种类更加模糊。病毒、木马、蠕虫的功能和传播特点会发生重叠,使人们越来越难以区分它们。
5. 更具迷惑性。新的恶意代码可能不再一味地转播和转发,它将会加大迷惑性,注重受害用户对恶意代码的进一步操作,使病毒更难以清除,并造成更大的损失。
参考文献:
[1]Roger A.Grimes著. 张志斌,贾旺盛译.恶意传播代码:Windows病毒防护.北京:机械工业出版社,2004.6.
[2]Ed Skoudis Lenny Zelter著. 陈贵敏,侯晓慧译.决战恶意代码. 北京:电子工业出版社,2005.4.
[3]刘尊全.计算机病毒防范与信息对抗技术.北京: 清华大学出版社,1998.8.
关键词:恶意代码 特征 技术
一、计算机恶意代码的概述
第一批计算机恶意代码出现在20世纪80年代。早期的恶意代码大部分是实验性的、相对简单的、可自我复制的文件,在执行时显示简单的恶作剧,是以游戏的形式出现的。随着恶意代码技术研究的深入开展,恶意代码的数量、种类、被攻击的平台数越来越多,恶意代码的复杂性和多样性显著提高,破坏性也变得越来越大。
什么是恶意代码?恶意代码是运行在计算机上,使计算机系统按照提供者的意愿执行任务的一组指令。它能在两个的计算机系统和不同地域的网络之间传播,可以在用户无法察觉的情况下对计算机系统和网络进行攻击。
计算机恶意代码的生存周期可以分为:程序设计→传播→潜伏→触发、运行→实施攻击。恶意代码的一个主要特征就是其具有针对性,这种针对性充分说明了恶意代码利用系统软件的脆弱性达到其破坏和入侵的目的。
恶意代码主要包括:病毒、蠕虫、木马、网页恶意代码等恶意可执行代码,虽然病毒和蠕虫之间有的时候很难分辨,但每一种恶意代码都有各自不同的定义和特征,可以帮助加以区分。
二、计算机恶意代码的特征与技术
(一)病毒
病毒是可以自我隐藏、自动复制及一定破坏作用的恶意代码,同时,它们还可以把自己的副本分发到其他文件、程序或电脑中去。病毒一般镶嵌在主机的程序中,当被感染文件执行操作的时候,病毒就会自我繁殖(例如打开一个文件,运行一个程序,点击邮件的附件等)。病毒可以分为以下几类:感染文件病毒、感染引导区病毒和恶作剧电子邮件。感染文件型病毒将自己写入宿主文件中,利用宿主文件进行传播。感染文件的方法有覆盖、附加、共存等。感染型病毒主要包括:覆盖型病毒、穴居型病毒、附加型病、伴侣型病毒。引导型病毒可以驻留在任何磁盘上,不一定是启动盘。所有用DOS格式化的磁盘都有一个空间包含错误信息和其他的程序,无论这个磁盘是否含有启动所必需的系统文件,引导型病毒都可以隐藏在里面。如果用一张含有引导型病毒的软盘启动计算机,那么引导型病毒会感染硬盘引导区,每次启动计算机时病毒都会自动加入内存。当再一次把干净的软盘放入计算机时,干净的软盘就会被感染,病毒随之传播开来。
(二)宏病毒
宏病毒是用宏语言编写的恶意程序,可以自动在Office等办公系统软件中运行,利用宏语言将文件破坏和删除,并能够自我复制和传播。宏病毒的感染都是通过宏语言自身的功能实现的,对字句的增、删、改等操作,所有的这些都离不开宏语言的运行环境。宏病毒不同于其他病毒,宏病毒可以在任何计算机系统下生存。只要该系统可以运行Office文字处理等软件,那么就可能感染宏病毒。
(三)木马
木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。木马由服务程序(server)、客户程序(client)和配置程序组成,配置程序对计算机进行设置,server端感染被攻击者的计算机,client端由攻击者控制向server端发送操作要求,server端完成要求。木马的特征包括:有效性、隐蔽性、顽固性、易植入性。木马常用的攻击技术包括:反弹端口技术、修改注册表、利用目录的优先级。
(四)蠕虫
蠕虫是目前危害最大的一种恶意代码攻击。蠕虫是一种可以从一台计算机移动到另一台计算机,并且可以自我复制的完全独立的程序,它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不像其它病毒,它可以自动创建与它的功能完全相同的副本,并在没人干涉的情况下自动运行。蠕虫病毒是计算机病毒的一种,它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
蠕虫的特征包括:自动攻击、容易隐藏、反复感染、造成网络拥塞。蠕虫采用的自动入侵技术,由于程序大小的限制,自动入侵程序不可能有太强的智能性,所以自动入侵一般都采用某种特定的模式。目前蠕虫使用的入侵模式只有一种,这种模式是就是前面提到的蠕虫传播过程采用的模式:扫描漏洞→攻击并获得shell→利用shell。
现在流行的蠕虫采用的传播技术目的一般是尽快地传播到尽量多的电脑中,多采用这样的扫描策略:随机选取某一段IP地址,然后对这一地址段上的主机扫描。一般的扫描程序可能会不断重复上面这一过程。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道哪些地址已经被扫描过,它只是简单地随机扫描互联网。于是蠕虫传播得越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,但是积少成多,就会引起严重的网络拥塞。可以对扫描策略进行一些改进,比如在IP地址段的选择上,可以主要针对当前主机所在的网段扫描,对外网段则随机选择几个小的IP地址段进行扫描;对扫描次数进行限制,只进行几次扫描;把扫描分散在不同的时间段进行。
(五)网页恶意代码
网页恶意代码主要是利用软件或系统平台的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet、ActiveX等应用程序,以强行修改用户操作系统的注册表设置及系统实用配置程序、盗取文件、删除文件、格式化硬盘为目标的恶意程序。网页恶意代码的最大特点是可以自动执行,不受用户的控制,当浏览网页的时候不知不觉就会中毒。其表现特征有以下几点:
(1)IE默认链接首页被修改,IE默认主页被修改。
(2)IE的标题栏被修改。
(3)IE右键菜单被修改。
(4)计算机系统自动弹出对话框。
(5)计算机的注册表被修改。
使用脚本语言可以使HTML变得具有动态性,允许用户和站点进行交互,对页面加载、鼠标移动和单击进行响应。但是脚本语言可以调用其它的程序,包括木马程序。VBScript和Jscript都是Windows浏览器环境下通用的脚本语言,脚本语言是黑客通过浏览器进行攻击最好的工具。为了实现多类脚本文件在Windows界面或DOS命令提示符下的直接运行,就在系统内植入了一个基于32位Windows平台、并独立于语言的脚本运行环境,并将其命名为“Windows Scripting Host”。利用WSH充分发挥VBScript及JScript等脚本的强大威力,极大地提高工作效率。
三、计算机恶意代码的发展趋势
计算机技术的不断发展,决定了计算机恶意代码不会局限在现有的传播模式上,种类也会不断地增加。
1. 混合传播模式。“混合病毒威胁”和“收敛威胁”成为新的病毒术语,“红色代码”利用的是IIS的漏洞,Nimda是Morris病毒的派生物,都是利用漏洞进行攻击。病毒的模式从引导区方式发展为多种类病毒蠕虫方式,时间不会很长。
2. 服务器和客户机同样受攻击。对于恶意代码来说服务器和客户机的区别越来越小,越来越模糊,他们都运行着同样的应用程序。像IIS服务是一个操作系统得缺省服务,所以它的漏洞每个计算机都有。
3. 跨越平台的攻击。跨平台攻击将不会停留在宏病毒上面,越来越多的恶意代码都将对不兼容的平台进行攻击,如Windows上的木马会攻击Apache服务器,Linux的病毒也会攻击Windows。
4. 种类更加模糊。病毒、木马、蠕虫的功能和传播特点会发生重叠,使人们越来越难以区分它们。
5. 更具迷惑性。新的恶意代码可能不再一味地转播和转发,它将会加大迷惑性,注重受害用户对恶意代码的进一步操作,使病毒更难以清除,并造成更大的损失。
参考文献:
[1]Roger A.Grimes著. 张志斌,贾旺盛译.恶意传播代码:Windows病毒防护.北京:机械工业出版社,2004.6.
[2]Ed Skoudis Lenny Zelter著. 陈贵敏,侯晓慧译.决战恶意代码. 北京:电子工业出版社,2005.4.
[3]刘尊全.计算机病毒防范与信息对抗技术.北京: 清华大学出版社,1998.8.