恶意代码的分析与防治的研究

目录1.恶意代码概述1.1恶意代码的概念.....................................................................................21.2恶意代码的发展史.................................................................................21.3恶意代码的特征.....................................................................................31.4恶意代码传播途径.................................................................................31.5感染恶意代码的症状.............................................................................42.典型恶意代码2.1传统计算机病毒.....................................................................................82.2蠕虫.........................................................................................................82.3特洛伊木马.............................................................................................82.4恶意脚本.................................................................................................92.5流氓软件.................................................................................................92.6逻辑炸弹................................................................................................102.7后门........................................................................................................102.8僵尸网络................................................................................................112.9网络钓鱼................................................................................................123.恶意代码分析方法3.1静态分析方法.........................................................................................133.2动态分析方法..........................................................................................134.恶意代码防范4.1恶意代码的检测......................................................................................144.2恶意代码的防治手段4.2.1基于主机的恶意代码检测方法........................................................................154.2.1基于网络的恶意代码检测方法........................................................................1511.恶意代码概述1.1恶意代码的概念定义一：恶意代码又称恶意软件。这些软件也可称为广告软件（adware）、间谍软件（spyware）、恶意共享软件（maliciousshareware）。是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。与病毒或蠕虫不同，这些软件很多不是小团体或者个人秘密地编写和散播，反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。定义二：恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒（简称病毒）、特洛伊木马（简称木马）、计算机蠕虫（简称蠕虫）、后门、逻辑炸弹等。具有如下共同特征：（1）恶意的目的（2）本身是计算机程序（3）通过执行发生作用有些恶作剧程序或者游戏程序不能看作是恶意代码。对滤过性病毒的特征进行讨论的文献很多，尽管它们数量很多，但是机理比较近似，在防病毒程序的防护范围之内，更值得注意的是非滤过性病毒。1.2恶意代码的发展史恶意代码经过20多年的发展，其破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。1988年11月泛滥的Morris蠕虫，顷刻之间使得6000多台计算机(占当时Internet上计算机总数的10%多)瘫痪，造成了严重的后果，并因此引起世界范围内关注。1998年CIH病毒造成数十万台计算机受到破坏。1999年Happy99、Melissa病毒大爆发，Melissa病毒通过E-mail附件快速传播而使E-mail服务器和网络负载过重，它还将敏感的文档在用户不知情的情况下按地址簿中的地址发出。2000年5月爆发的“爱虫”病毒及其以后出现的50多个变种病毒，是近年来让计算机信息界付出极大代价的病毒，仅一年时间共感染了4000多万台计算机，造成大约87亿美元的经济损失。22001午，国信安办与公%安部共同主办乐我国首次计算机病毒疫情网上调查工作。结果感染过计算机病毒的用户高达73%，其中，感染三次以上的用户又占59%多，所以说网络安全存在大量隐患。2001年8月，“红色代码”蠕虫利用微软Web服务器IIS4.0和5.0中Index服务的安全漏洞，攻破目标机器，并通过自动扫描方式传播蠕虫，这种现象在互联网上大规模泛滥。2003年，Slammer蠕虫在10分钟内导致互联网90%的脆弱主机受到感染。同年8月，“冲力波”蠕虫爆发，8天内导致全球计算机用户损失高达20亿美元之多。2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播，给国家和社会造成了巨大的经济损失。CNCERT/CC提供的数据显示，2006年接收到26476件非扫描类网络安全事件报告，比2005年增长了近两倍，与2005年相比，2006年的网页篡改事件也由8130件增加至24477件(3倍)，网络仿冒事件则由475件增加至563件，网页恶意代码事件由25件增加至320件。在2007年1月，出现了暴风蠕虫，那时候它还是一种传统的计算机蠕虫病毒。然而仅仅过了不到一年，暴风蠕虫已经成为构建当前流行的大型僵尸网络中的关键一环。2008年的“扫荡波(Worm.SaodangBo.a.94208)”病毒实为一个新型蠕虫。该病毒造成大量企业用户局域网瘫痪，数十万用户网络崩溃报告指出，2010年全年，我国互联网上新增病毒750万个，比去年下降56%；新增钓鱼网站175万个，比去年增加1186%；其中，钓鱼网站的受害网民高达4411万人次，损失超过200亿元。2011年磁碟机、鬼影2、灰鸽子、蝗虫军团、扫荡波依然非常强悍，随着网上购物发展迅速，钓鱼网站也频繁出现，网民要提高警惕了。1.3恶意代码传播途径恶意代码编写者一般利用三类手段来传播恶意代码：软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本，本身就是软件，这类恶意代码对人的活动没有要求。一些像特洛伊木马、电子邮件蠕虫等恶意代码，利用受害者的心理操纵他们执行不安全的代码；还有一些是哄骗用户关闭保护措施来安装恶意代码。利用商品软件缺陷的恶意代码有CodeRed、KaK和BubbleBoy。它们完全依赖商业软件产品的缺陷和弱点，比如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。利用Web服务缺陷的攻击代码有CodeRed、Nimda，Linux和Solaris上的蠕虫也利用了远程计算机的缺陷。恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件，恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户，这样做可以最大可能的吸引受害者的注意力。一些恶意代码的作者还表现了高度的心理操纵能力，LoveLetter就是一个突出的例子。一般用户对来自陌生人的邮件附件越来越警惕，而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断，恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型，将公共的执行文件类型压缩成zip文件等等。对聊天室IRC（InternetRelayChat）和即时消息IM(instantmessaging)系统的攻击案例不断增加，其手法多为欺骗用户下载和执行自动的Agent软件，让远程系统用作分布式拒绝服务(DDoS)的攻击平台，或者使用后门程序和特洛伊木马程序控制之。31.3恶意代码的特征可以总结出恶意代码从80年代发展至今体现出来的3个主要特征：①恶意代码日趋复杂和完善：从非常简单的，感染游戏的AppleII病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫。恶意代码在快速传播机制和生存性技术研究取得了很大的成功。②恶意代码编制方法及发布速度更快：恶意代码刚出现时发展较慢，但是随着网络飞速发展，Internet成为恶意代码发布并快速蔓延的平台。特别是过去5年，不断涌现的恶意代码，证实了这一点。③从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码：恶意代码的早期，大多数攻击行为是由病毒和受感染的可执行文件引起的。然而，在过去5年，利用系统和网络的脆弱性进行传播和感染开创了恶意代码的新纪元。1.4感染恶意代码的症状A．默认主页被修改1.破坏特性：默认主页被自动改为某网站的网址。2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。B.主页设置被屏蔽锁定1.破坏特性：主页设置被禁用。2.表现形式：主页地址栏变灰色被屏蔽。3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\Inte