惡意程序分析與防范技術

張孟琦

摘要

惡意程序為了逃避殺毒軟件的查殺，運用多重防殺和對抗技術升級換代，來提升自身的存活和繁殖能力。為此，檢測并查殺更高級的惡意程序的技術也必須不斷地革新，從而遏制新一代惡意程序的傳播。

【關鍵詞】信息安全 病毒 木馬查殺

在信息時代，互聯(lián)網技術的使用與人們日常生活已經密不可分。更多的企業(yè)和個人通過網上銀行、電子商務、平臺社交等線上形式，享受著互聯(lián)網給大家?guī)淼谋憬莘铡Ｈ欢恍┖诳蛡優(yōu)榱送瓿筛咝А⒕珳实毓裟康模ㄟ^技術升級和改變傳播途徑等多種方式，有針對性的設計出傳染性更強、潛伏更隱蔽、危害性更大的病毒程序，對網絡安全和防護形成威脅，對信息安全技術發(fā)起了更強的挑戰(zhàn)。本文旨在對惡意程序的主要功能與傳播途徑進行分析，加強用戶對惡意程序的防范素養(yǎng)。

1 惡意程序的概述

惡意程序，在大多數(shù)人的第一印象里會出現(xiàn)病毒、木馬、漏洞等這些使用殺毒軟件時常見到的名詞，惡意程序概念是指惡意破壞計算機操作系統(tǒng)、應用程序、存儲數(shù)據(jù)的計算機程序，惡意程序的種類按照不同指標可以劃分為很對種類，但我們大多境況下，按照其傳播方式把惡意程序劃分為蠕蟲、木馬、惡意腳本、單一功能病毒、綜合型病毒。正如大多數(shù)人所想惡意程序是病毒、木馬等破壞計算機的程序的總稱，我們有時也將病毒的概念等同于惡意程序的概念。

2 惡意程序的分析

2.1 惡意程序的分類

2.1.1 蠕蟲

蠕蟲，即可以通過網絡等途徑，自動將自身的部分或全部代碼通過網絡復制，傳播給其他網絡中的計算機完全獨立的運行程序。蠕蟲生活在防火墻沒有普及的時代，當帶有防火墻功能的殺毒軟件普遍出現(xiàn)在用戶的計算機中時，防火墻對網絡端口進行了防護，蠕蟲病毒的傳播得到了致命的打擊。

2.1.2 木馬

木馬和病毒有著很大的區(qū)別，病毒是具有繁殖性、傳染性的惡意程序，但木馬不具備這樣的功能，木馬的特點是實現(xiàn)遠程控制，從而能在遠端獲取目標主機的信息，或者對目標主機進行文件毀壞等非法操作，“網站掛馬”是木馬最常見的使用途徑，而隨著殺毒軟件木馬查殺功能的進步，木馬對計算機的威脅也有所降低。

2.1.3 惡意腳本

惡意腳本是使用腳本語言編寫的惡意代碼。惡意腳本是基于Web系統(tǒng)的一種惡意程序，其本身不具有很大的攻擊力，但它卻可以引導用戶，使得用戶自己去訪問含有木馬的網站，去下載木馬，從而盜取用戶信息，謀取獲利。

2.1.4 單一功能病毒

常見的單一功能病毒有郵件型病毒、宏病毒、文件感染性病毒等。郵件型病毒主要通過電子郵件來傳播，宏病毒是一種寄生在具有宏功能的文件上的惡意程序，而文件感染型病毒主要感染計算機中的可執(zhí)行程序，這些病毒之所以稱單一，體現(xiàn)在寄生對象單一和傳播途徑單一，單一的病毒在查殺軟件的查殺下很難生存。

2.1.5 綜合型病毒

當今的病毒市場上，綜合型病毒占有很大的市場份額，綜合型病毒既可以通過寄生在文件、郵件、移動存儲介質、網頁等對象上，實現(xiàn)即時傳播和點對點文件共享，綜上所述，綜合型病毒具備了病毒、蠕蟲、惡意腳本的特點，成為了當前最流行的病毒，同時也是對當今信息安全造成最大挑戰(zhàn)的病毒。

2.2 惡意程序的傳播途徑

2.2.1 網站掛馬

網站掛馬是從互聯(lián)網傳播到個人計算機或單位內網計算機的一種主要手段，網站掛馬主要是利用Oday漏洞，從而大規(guī)模的入侵計算機的惡意程序傳播方法。

2.2.2 移動存儲介質傳播

移動存儲介質傳播，主要體現(xiàn)在日常的u盤傳播和移動硬盤傳播。惡意程序通常在存儲介質中復制一個副本，利用各種方法進行偽裝，讓用戶誤以為是正常文件，點擊后導致惡意程序啟動。

2.2.3 局域網傳播

當惡意程序在一個用戶的計算機中成功寄生，那么接下來就回去傳播到該計算機所在的局域網，進而感染該局域網中的其他計算機。

2.2.4 即時通訊軟件傳播

在移動互聯(lián)網時代，QQ"微信、微博等社交APP都實現(xiàn)了即時通訊的功能，對于辦公人群，使用QQ、微信發(fā)送文件也越來越常見，攻擊者利用這一點，發(fā)送經過偽裝隱藏的惡意文件或鏈接，從而誘騙用戶啟動惡意程序。

3 惡意程序的防范

3.1 惡意程序造成的破壞

在對惡意程序進行了分析之后，我們需要對惡意程序造成的破壞進行分析。首先是，竊取用戶賬號和密碼，當今的網絡詐騙，大多是盜取QQ賬號，從而向熟人以借錢為借口騙取經濟利益，同時，用戶的個人信息被盜取后進行打包銷售，謀取經濟利益的事情也成為了家常便飯，更糟糕的是，如此高的事件發(fā)生率并沒有下降的趨勢;其次是，破壞系統(tǒng)網絡的正常運行，惡意程序往往會修改宿主計算機的Hosts文件，從而切斷宿主計算機與安全網站之間的連接;瀏覽器的配置被修改，攻擊者通過修改初始化網頁的地址為特定網站，從而賺取點擊率，獲得巨額廣告費用。惡意程序的破壞范圍很廣，對個人、公共、社會、競爭市場都造成了不可彌補的損失。

3.2 惡意程序查殺技術

3.2.1 特征碼查殺技術

目前大多數(shù)的殺毒軟件都是采用特征碼查殺技術來進行殺毒的，這也是最基本的一種殺毒技術。這種方法對己出現(xiàn)并且成功查殺了的惡意程序進行分析，將其程序的特征碼記入到特征庫，查殺時，根據(jù)匹配程序代碼的重復度，來發(fā)現(xiàn)病毒并殺掉。但是新一代的惡意程序針對特征碼查殺技術，采用了加殼技術，改變自身的特征碼，并且實現(xiàn)每感染一臺計算機就改變一次特征碼，特征碼查殺技術在此條件下很難發(fā)揮有效的作用，啟發(fā)式查殺技術因此誕生。

3.2.2 啟發(fā)式查殺技術

啟發(fā)式查殺技術是一種事先分析嫌疑程序的指令執(zhí)行順序或特定行為組合情況等特征，建立樣本庫，并以這些樣本為標準來判斷該嫌疑程序是否為惡意程序。啟發(fā)式查殺技術彌補了特征碼查殺技術的不足，使用加殼技術的病毒雖然改變了其特征碼，卻改變不了指令執(zhí)行順序或特定行為。但是，有可能正常的程序也會有和病毒一樣的指令執(zhí)行順序或特定行為，因此，這種查殺技術具有局限性。

3.2.3 虛擬機查殺技術

虛擬機查殺技術也可以應對加殼技術，虛擬機查殺技術會將嫌疑程序導入到虛擬機內，讓其自動脫殼還原到原來的狀態(tài)，從而進行查殺。但是，虛擬機要占用很大的內存資源，從而引起計算機性能的下降，處理任務的時間延長，惡意程序可以憑借這一弊端，故意延長脫殼時間，與虛擬機查殺技術產生對抗。

3.2.4 主動防御技術

主動防御技術是通過實現(xiàn)對惡意程序的攔截來保護計算機安全的技術，嚴格來講它不是一種查殺技術。當今的查殺軟件基本上都采用了一種結合了主動防御技術和特征碼查殺技術的方式來進行計算機安全的保護，既包含了預防又包含了查殺，將惡意程序威脅降到最低。

3.3 惡意程序的預防

比起計算機受到病毒的感染后再查殺，防患于未然才是最佳的信息安全保護手段。首先我們要防止下載帶來的惡意程序，網頁上的文件下載往往捆綁其他文件，而這些捆綁文件很可能就是惡意程序，所以我們要做到盡量去官方網站或者大規(guī)模軟件下載平臺去下載，防止惡意程序入侵;其次，防止通過移動存儲介質的惡意程序傳播，使用u盤等移動存儲介質，要求我們要經常性的進行掃描檢測，關注異常文件的出現(xiàn);防止局域網的惡意程序傳播，安裝防火墻，盡量不使用文件共享;最后，做好計算及自身的防護，及時更新軟件，下載官方出臺的補丁包，提高信息安全的素養(yǎng)。

4 結束語

綜上所述，在這個互聯(lián)網蓬勃發(fā)展的時代，惡意程序和惡意程序查殺技術也隨著計算機技術的發(fā)展迎來了更高水平的較量。軟件的開發(fā)與技術的革新都離不開信息安全。同時，更加全面精準的了解惡意程序和查殺技術既有利于保障個人的信息和經濟安全，也有利于促進更加和平安全的互聯(lián)網建設。本文全文對各個惡意程序、惡意程序的傳播途徑、惡意程序的查殺技術都進行了深層次的分析與論述，旨在提高互聯(lián)網時代計算機用戶的網絡信息安全素養(yǎng)，為建立良好的互聯(lián)網環(huán)境貢獻一份力量。

參考文獻

[1]牛少彰，崔寶江，李劍.信息安全概論（2版）[M].北京：北京郵電大學出版社，2007.

[2]宋建華，李莉，郭亞軍.信息安全原理與技術[M].北京：清華大學出版社，2008.

[3]黃明祥，林詠章，李劍.信息與網絡安全概論（3a）[M].北京：清華大學出版社，2009.

[4]徐國愛，張森，彭俊好.網絡安全（2版）[M].北京：北京郵電大學出版社，2007.

[5]崔寶江，李寶林.網絡安全實驗教程[M].北京：北京郵電大學出版社，2008.

[6]崔寶江，周亞建.信息安全實驗指導[M].北京：國防工業(yè)出版社，2005.

[7]吳世忠，郭濤，董國偉等.軟件漏洞分析技術進展[J].清華大學學報（自然科學版），Vol，52（10）：1309-1319，2012.

[8]陳波，于泠，肖軍模.計算機系統(tǒng)安全原理與技術（2版）[M].北京：機械工業(yè)出版社，2011.

[9]王清.Oday安全：軟件漏洞分析技術[M].北京：電子工業(yè)出版社，2008.

[10]徐茂智.信息安全概論[M].北京：人民郵電出版社，2009.