【文档说明】计算机网络信息安全理论与实践教程第12章-课件.ppt，共(94)页，4.365 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77022.html

以下为本文档部分文字说明：

第12章恶意代码防范技术的原理第12章恶意代码防范技术的原理12.1恶意代码概述12.2计算机病毒12.3特洛伊木马12.4网络蠕虫12.5其他恶意代码12.6本章小结本章思考与练习第12章恶意代码防范技术的原理12.1恶

意代码概述12.1.1恶意代码的定义与分类恶意代码的英文是MaliciousCode，它是一种违背目标系统安全策略的程序代码，可造成目标系统信息泄露和资源滥用，破坏系统的完整性及可用性。它能够经过存储介质或

网络进行传播，未经授权认证访问或破坏计算机系统。通常许多人认为“病毒”代表了所有感染计算机并造成破坏的程序。事实上，恶意代码更为通用，病毒只是一种类型的恶意代码而已。恶意代码的种类主要包括计算机病毒(ComputerVirus)、蠕虫(Worms)、特洛伊木

马(TrojanHorse)、逻辑炸弹(LogicBombs)、细菌(Bacteria)、恶意脚本(MaliciousScripts)和恶意ActiveX控件、间谍软件(Spyware)等。根据恶意代码的传播特性，可以将恶意代码分成两大类，如图12-1所示。第12章恶意代

码防范技术的原理恶意代码计算机病毒被动传播主动传播特洛伊木马间谍软件逻辑炸弹网络蠕虫其他图12-1恶意代码的分类第12章恶意代码防范技术的原理恶意代码也是一个不断变化的概念。20世纪80年代，恶意代码的早期形式主要是计算机病毒。1984年，Cohe

n在美国国家计算机安全会议上演示了病毒的实验。人们普遍认为，世界上首例病毒是由他创造的。1988年，美国康奈尔大学的学生Morris制造了世界上首例“网络蠕虫”，称为“小莫里斯蠕虫”。该蠕虫一夜之间攻击了网上约6200台计算机。美国政府为此成立了世界上第一个计算机安全应急响应组织(C

ERT)。1989年4月，中国首次发现小球病毒。从此后，国外发现的其他计算机病毒纷纷走进国门，迅速地蔓延全国。20世纪90年代，恶意代码的定义随着计算机网络技术的发展逐渐丰富起来。1995年出现了Word宏病毒，1998年出现了CIH病毒，特洛伊木马已达到数万种。第12章恶意代码防范技

术的原理12.1.2恶意代码防范整体策略恶意代码防范已经成为用户、网管的日常安全工作。要做好恶意代码的防范，一方面组织管理上必须加强恶意代码的安全防范意识。因为，恶意代码具有隐蔽性、潜伏性和传染性，用户在使用计算机过程中会不知不觉地将恶意代码引

入到所使用的计算机中，所以防范恶意代码应从安全意识上着手，明确安全责任、义务和注意事项。另一方面，通过技术手段来实现恶意代码防范。防范恶意代码的总体框架如图12-2所示。第12章恶意代码防范技术的原理图12-2

恶意代码防范框架结构图恶意代码监测预警(安全通告、威胁报警、疫情发布等)恶意代码防范框架用户恶意代码安全管理恶意代码防御技术安全意识培训安全工具使用安全管理组织安全管理制度安全管理流程安全管理工作岗位恶意代码预防(安装杀毒软件、安全加固、系统免疫、

访问控制)检测恶意代码(漏洞扫描、注册表查找)恶意代码应急响应(恢复、备份、漏洞修补)第12章恶意代码防范技术的原理12.2计算机病毒12.2.计算机病毒的概念与特性计算机病毒的名称由来借用了生物学上的病毒概念，它是一组具有自我复制、

传播能力的程序代码。它常依附在计算机的文件中，如可执行文件或Word文档中。高级的计算机病毒具有变种和进化能力，可以对付反病毒程序。计算机病毒编制者将病毒插入到正常程序或文档中，以达到破坏计算机功能、毁坏数

据、影响计算机使用的目的。计算机病毒传染和发作表现的症状各不相同，这取决于计算机病毒程序设计人员和感染的对象，其表现的主要症状如下：第12章恶意代码防范技术的原理计算机屏幕显示异常、机器不能引导启动、磁盘存储容量异常减少、磁盘读写异常、出现异常的声音、执行程序文件无法执行、文件

长度和日期发生变化、系统死机频繁、系统不承认硬盘、中断向量表发生异常变化、内存可用空间异常变化或减少、系统运行速度下降、系统配置文件改变、系统参数改变。据统计，目前的计算机病毒数量已达到数万种，但所有计算机病毒都具有四

个基本特点：第12章恶意代码防范技术的原理(1)隐蔽性。计算机病毒附加在正常软件或文档中，例如可执行程序、电子邮件、Word文档等，一旦用户未察觉，病毒就触发执行，潜入到受害用户的计算机中。目前，计算

机病毒常利用电子邮件的附件作为隐蔽载体，许多病毒通过邮件进行传播，例如Melissa病毒、“ILoveYou”病毒和“求职信”病毒。病毒的隐蔽性使得受害用户在不知不觉中感染病毒，对受害计算机造成系列危害操作。正因如此，计算机病毒才能迅速扩散与传播。第12章恶意代码防范技术的原理(2)传染性。

计算机病毒的传染性是指计算机病毒具有自我复制能力，并能把复制的病毒附加到无病毒的程序中，或者去替换磁盘引导区的记录，使得附加了病毒的程序或者磁盘变成新的病毒源，又能进行病毒复制，重复原先的传染过程。计算机病毒与其他程序最

本质的区别在于计算机病毒能传染，而其他的程序则不能。没有传染性的程序就不是计算机病毒。生物病毒的传播载体是水、实物和空气，而计算机病毒的传染载体是传递计算机信息的实体。计算机病毒通过传染载体向周围的计算机系统扩散。目前，计算机病毒的传染载体主要是磁性

介质、光盘和计算机网络。计算机病毒常见于免费软件、共享软件、电子邮件、磁盘压缩程序和游戏软件中。特别是在今天，计算机病毒通过网络传播，其扩散速度明显加快。第12章恶意代码防范技术的原理(3)潜伏性。计算机病毒感染正常的计算机之后，一般不会立即发作，而是等到触发条件满足时，才执行病毒的恶意功

能，从而产生破坏作用。计算机病毒的触发条件常见的是特定日期。例如CIH计算机病毒的发作时间是4月26日。第12章恶意代码防范技术的原理(4)破坏性。计算机病毒对系统的危害程度，取决于病毒设计者的设计意图。有的仅仅是恶作剧，有的要破坏系统数据。简而言之，病毒的破坏后果是不可知的。由

于计算机病毒是一段恶意的程序，因此凡是常规程序操作使用的计算机资源，计算机病毒均有可能对其进行破坏。据统计，病毒发作后，造成的破坏主要有数据部分丢失、系统无法使用、浏览器配置被修改、网络无法使用、使用受限、受到远程控

制、数据全部丢失等。据统计分析，浏览器配置被修改、数据丢失、网络无法使用最为常见，如图12-3所示。第12章恶意代码防范技术的原理图12-3病毒破坏的情况19%19%17%13%11%8%8%5%数据部分丢失系统无法使用浏览器配置被修改网络无法使用使用受限受到远程控制不知道数据全部丢失

第12章恶意代码防范技术的原理12.2.2计算机病毒的组成与运行机制计算机病毒由三部分组成：复制传染部件(replicator)、隐藏部件(concealer)和破坏部件(bomb)。复制传染部件的功能是控制病毒向其他文件的传染，隐藏部件的功能是防止病毒被检测到，破

坏部件则用于在当病毒符合激活条件后，执行破坏操作。计算机病毒实现者将上述三个部分综合在一起，使用当前反病毒软件不能检测到的病毒感染系统，使病毒逐渐开始传播。第12章恶意代码防范技术的原理计算机病毒的生命周期主要有两个阶段：*第

一阶段，计算机病毒的复制传播阶段。这一阶段有可能持续一个星期到几年。计算机病毒在这个阶段尽可能隐蔽其行为，不干扰正常系统的功能。计算机病毒主动搜寻新的主机进行感染，如将病毒附在其他的软件程序中，或者渗透操作系统。同时，可执行程序中的计算机病毒获取程序控制权。在这一阶段

，发现计算机病毒特别困难，这主要因为计算机病毒只感染了少量的文件，难以引起用户警觉。*第二阶段，计算机病毒的激活阶段。计算机病毒在该阶段根据数学公式判断激活条件是否满足，然后再开始逐渐或突然破坏系统。第12章恶意代码防范技术的原理12.2.3计算机病毒常见类型与

技术1．引导型病毒引导型病毒通过感染计算机系统的引导区而控制系统，病毒将真实的引导区内容修改或替换，当病毒程序执行后，才启动操作系统。因此，感染引导型病毒的计算机系统看似正常运转，而实际上病毒已在系统中隐藏，等待时机传染和发作。引导型病毒通常都是内存驻留的，典型的引导型病毒有磁盘杀手病

毒、AntiExe病毒等。第12章恶意代码防范技术的原理2．宏病毒(MacroViruses)宏是1995年出现的应用程序编程语言，它使得文档处理中的繁复的敲键操作自动化。所谓宏病毒，就是指利用宏语言来实现的计算机病毒。宏病毒

的出现改变了病毒的载体模式。以前病毒的载体主要是可执行文件，而现在文档或数据也可作为病毒的载体。微软规定宏代码保存在文档或数据文件的内部，这样一来就给宏病毒传播提供了方便。同时，宏病毒的出现也实现了病毒的跨平台

传播，它能够感染任何运行Office的计算机。例如，Office病毒就是第一种既能感染运行Windows98的IBMPC又能感染运行Macintosh的机器的病毒。第12章恶意代码防范技术的原理根据统计，宏病毒已经出现在Word、Excel、Acce

ss、PowerPoint、Project、Lotus、AutoCAD和CorelDraw当中。宏病毒的触发过程是：用户打开一个被感染的文件并让宏程序执行，宏病毒将自身复制到全局模板，然后通过全局模板把宏病毒传染到新打开的文件中，如图12-4所示。第12章恶意代码防范技

术的原理图12-4宏病毒感染示意图打开感染的文档加载宏到内存运行自动宏宏病毒将自己复制到全局宏宏病毒感染新文档第12章恶意代码防范技术的原理Word宏病毒是宏病毒的典型代表，其他的宏病毒的传染过程与它类似。下面以Word宏病毒为例，分析宏病毒的传染过程。微软为了使Word更易用，在W

ord中集成了许多模板，如典雅型传真、典雅型报告等。这些模板不仅包含了相应类型文档的一般格式，而且还允许用户在模板内添加宏，使得用户在制作自己的特定格式文件时，可减少重复劳动。在所有这些模板中，最常用的就是Normal.

dot模板，它是启动Word时载入的缺省模板。任何一个Word文件，其背后都有相应的模板，当打开或创建Word文档时，系统都会自动装入Normal.dot模板并执行其中的宏。Word处理文档时，需要进行各种不同的操作，如打开文件、关闭文件、读

取数据资料以及储存和打印等。第12章恶意代码防范技术的原理每一种动作其实都对应着特定的宏命令，如存文件与FileSave相对应、改名存文件对应着FileSaveAS等。这些宏命令集合在一起构成了通用宏。

通用宏保存在模板文件中，以使得Word启动后可以有效地工作。Word打开文件时，它首先要检查文件内包含的宏是否有自动执行的宏(AutoOpen宏)存在，假如有这样的宏，Word就启动它。通常，Word宏病毒至少会包含一个以上的自动宏，当Word运行这类自动宏时，实际上就是在运行病毒代码。宏病毒的

内部都具有把带病毒的宏复制到通用宏的代码段的功能，也就是说，当病毒代码被执行过后，它就会将自身复制到通用宏集合内。第12章恶意代码防范技术的原理当Word系统退出时，它会自动地把所有通用宏和传染进来的病毒宏一起保存到模板文件中，通常是Normal.dot模板

。这样，一旦Word系统遭受感染，则以后每当系统进行初始化时，系统都会随着Normal.dot的装入而成为带病毒的Word系统，继而在打开和创建任何文档时感染该文档。第12章恶意代码防范技术的原理3．

多态病毒(PolymorphicViruses)多态病毒有三个主要组成部分：杂乱的病毒体、解密例程(decryptionroutine)和变化引擎(mutationengine)。在一个多态病毒中，变化引擎和病毒体都被加密。一旦用户执行被多态病

毒感染过的程序，则解密例程首先获取计算机的控制权，然后将病毒体和变化引擎进行解密。接下来，解密例程把控制权转让给病毒，重新开始感染新的程序。此时，病毒进行自我复制，变化引擎随机访问内存(RAM)。第12章恶意代码防范技术的原理4．隐蔽病毒(Stea

lthViruses)隐蔽病毒试图将自身的存在形式进行隐藏，使得操作系统和反病毒软件不能发现。隐蔽病毒使用的技术有许多，主要包括：*隐藏文件的日期、时间的变化；*隐藏文件大小的变化；*病毒加密。第12章恶意代码防范技术的原理12.2.4计算机病毒防范策略与技

术1．防范计算机病毒策略之一：病毒检测检测的原理主要基于下列四种方法：(1)比较法。(2)搜索法。(3)特征字识别法。第12章恶意代码防范技术的原理(4)分析法。一般使用分析法的人不是普通用户，而是反病毒技术人员。他们详细分析病毒代码，为采取相应的反病毒措施制定方案。

使用分析法的目的在于：*确认被观察的磁盘引导区和程序中是否含有病毒；*确认病毒的类型和种类，判定其是否是一种新病毒；*搞清楚病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到病毒代码库供病毒扫描和识别程序用。第12章恶意代码防范技术的原理2．

防范计算机病毒策略之二：病毒防范由于计算机病毒的危害性是不可预见性，因此对于病毒的防范只能以防为主。具体要做的防范措施有：(1)掌握计算机病毒知识，培养安全防范意识。例如，用户不要轻易运行未知的可执行软件，特别是不要轻易打开电子邮件的附件。(2)切断病毒传播途径和消除病毒载体。例如，对于关键的

计算机，做到尽量专机专用；不要随便使用来历不明的存储介质，如磁盘、USB；禁用不需要的计算机服务和功能，如脚本语言、光盘自启动等。第12章恶意代码防范技术的原理(3)定期对计算机系统进行病毒检测。例如，定期检查主引导区、引导扇区、中断向量表、文件属性(字节长度、文

件生成时间等)、模板文件和注册表等。特别要对如下注册表的键值作经常性检查：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices(4)安装防病毒软件，建立多级病毒防护体系。例如在网关、服务器和客户机器端都要安装合适的防病毒软件。同时，要做到及时更新病毒库。第12章恶意代码防范技术的原理3．防范计算机病毒策

略之三：应急响应这些应急响应技术和措施主要有：*备份。*数据修复技术。*网络过滤技术。*制定应急响应的具体措施和方案，例如制定处理受病毒攻击的计算机及网络方面的操作规程。第12章恶意代码防范技术的原理12.2.5计算机病毒防御模式1．基于单机病毒防御单机

病毒防御是传统防御模式，作为固守网络终端的最后防线，单机防御对于广大家庭用户、小型网络用户无论是在效果、管理、实用价值上都是有意义的：阻止来自软盘、光盘、共享文件、互联网的病毒入侵，进行重要数据备份等其他功能，防护单台计算机。第12章恶意代

码防范技术的原理2．基于网络病毒防御基于网络病毒防御的基本方法是通过在网管中心建立网络防病毒管理平台，实现病毒集中监控与管理，集中监测整个网络的病毒疫情，提供网络整体防病毒策略配置，在网管所涉及的重要部位设置防病毒软件或设备，在所有病毒能够进入的

地方都采取相应的防范措施，防止病毒侵袭。对网络系统的服务器、工作站和客户机，进行病毒防范的统一管理，及时更新病毒特征库，升级杀毒软件的版本。网络病毒防御模式如图12-5所示。第12章恶意代码防范技术的原理图12-5网络病毒防御模式Internet升级网站反病毒控

制平台网络反病毒集中监控安装升级文件自动分发物理定位系统路由器防火墙交换机UNIX服务器ForUNIX版杀毒Notes邮件服务器ForNotes版杀毒文件服务器Fornovell版杀毒Web服务器工作站反病毒保护ForWin9XWinNTworkstationWin2000professio

nalForWinNTserverWin2000server服务器反病毒保护第12章恶意代码防范技术的原理3．基于网络分级病毒防御大型网络由若干个局域网组成，各个局域网的地理区域分散。在防病毒方面采取的防御策略是基于三级管理模式的，即单机终端杀毒—局域网集中监控—广域网总部管理，如图12-6

所示。策略实现方法是，在局域网病毒防御基础上分级构建，组织总部(常称信息中心或网络中心)负责病毒报警信息汇总，监控本地、远程异地局域网病毒防御情况，统计分析整个组织网络的病毒爆发种类、发生频度、易发生源等信息，以便制定和实施合适的防病毒配置

策略。第12章恶意代码防范技术的原理图12-6网络分级病毒防御示意图病毒上报及预警集中管理信息反病毒总控平台升级服务器策略数据库网络信息中心省二级网络反病毒监控中心市县三级网络INTRANET反病毒监控中心第12章恶意代码防范技术的原理4．基于邮件网关病毒防御政府机

关、军队、金融及科研院校等机构办公自动化(OA)系统中的邮件服务器作为内部网络用户邮件的集中地和发散地，也成为病毒邮件、垃圾邮件进出的门户。如果能够在网络入口处将邮件病毒、邮件垃圾截杀掉，则可以确保内部网络用户收到安全无病毒的邮件。邮件网关防毒系统放置在邮件网关入口处，

接收来自外部的邮件，对病毒、不良邮件(如带有色情、政治反动色彩)等进行过滤，处理完毕后再将安全邮件转发至邮件服务器，全面保护内部网络用户的电子邮件安全。第12章恶意代码防范技术的原理5．基于网关防御在网络出口处设置有效的病毒过滤系统，防火墙

将数据提交给网关杀毒系统进行检查，如有病毒入侵，网关防毒系统将通知防火墙立刻阻断病毒攻击的IP，如图12-7所示。此种过滤方式能够过滤多种数据库和邮件中的病毒。利用防火墙实时分离数据报，交给网关专用病毒处理器处理，如果是病毒则阻塞病毒传播

。这种防病毒系统能减少大量的病毒传播机会，使用户放心上网。网关杀毒是杀毒软件与防火墙技术的完美结合，是网络多种安全产品协同工作的一种全新方式。第12章恶意代码防范技术的原理图12-7基于网关防御的安装部署模式E-mail第12章恶意代码防范技术的原理12.3特洛伊

木马12.3.1特洛伊木马的概念与特性虽然木马攻击危害大，但木马攻击是否成功，还要取决于以下条件是否具备：(1)木马攻击者要写出一段程序，既要能进行非法操作，又要让程序的行为不会引起用户的怀疑。(2)木马攻击者应有某种方式，使得受害者能够访问、安装或接受这段程序。(3)

木马攻击者必须使受害者运行该程序。(4)木马攻击者要有某种方法获取木马操作结果，例如获得木马拷贝的保密信息。第12章恶意代码防范技术的原理12.3.2特洛伊木马的运行机制木马受攻击者的意图影响，其行为表现各异，但基本的运行机制相同。整个的木马攻击过程主要分为五个部

分：(1)寻找攻击目标。(2)收集目标系统的信息。(3)将木马植入目标系统。(4)木马隐藏。(5)攻击意图实现，即激活木马，实施攻击。第12章恶意代码防范技术的原理图12-8木马的攻击机制流程图触发条件是否满足？是否否搜寻攻击目标系统收集目标系统信息植入木马隐藏木马等待激活木马实施攻击攻击意图

是否实现？结束是第12章恶意代码防范技术的原理12.3.3特洛伊木马技术1．特洛伊木马植入技术特洛伊木马植入是木马攻击目标系统最关键的一步，是后续攻击活动的基础。当前，特洛伊木马的植入方法可以分为两大类，即被动植入和主

动植入。被动植入是指通过人工干预方式才能将木马程序安装到目标系统中，植入过程必须依赖于受害用户的手工操作；而主动植入则是指主动攻击方法，是将木马程序通过程序自动安装到目标系统中，植入过程无需受害用户的操作。被动植入主要通过社会工程方法将木马程序伪装成合法的，以达到降低受害用

户警觉性，诱骗用户的目的。常用的方法有：第12章恶意代码防范技术的原理*文件捆绑法：将木马捆绑到一些常用的应用软件包中，当用户安装该软件包时，木马在用户毫无察觉的情况下就植入到系统中。*邮件附件：木马设计者将木马程序伪装成邮件附件，然后发送给目标用户，若用户执行邮件附件就将木马植入该系统

中。*Web网页：木马程序隐藏在HTML文件中，当受害用户点击该网页时，就将木马植入到目标系统中。第12章恶意代码防范技术的原理2．特洛伊木马隐藏技术1)本地活动行为隐藏技术现在的操作系统支持LKM(LoadableKernelModules)

功能，通过LKM可增加系统功能，而且不需要重新编译内核，就可以动态地加载，如Linux、Solaris和FreeBSD都支持LKM。木马设计者利用操作系统的LKM功能，通过替换或调整系统调用来实现木马程序的隐藏，常见的技术方法有：(1)文件隐藏。(2)进程隐藏。(3)通信连接隐藏。第12

章恶意代码防范技术的原理2)木马远程通信隐藏在远程通信隐藏方面，木马用到的通信隐藏关键技术主要有：(1)通信内容加密。通信内容的加密是传统的方法，它是将木马通信的内容进行加密处理，使得网络安全管理员无法识别通信

内容，从而增强木马的通信保密性。(2)通信端口复用。通信端口复用技术是指共享复用系统网络端口来实现远程通信，这样既可以欺骗防火墙，又可以少开新端口。端口复用是在保证端口默认服务正常工作的条件下进行的，具有很强的隐蔽性。第1

2章恶意代码防范技术的原理(3)网络隐蔽通道。网络隐蔽通道是指利用通信协议或网络信息交换方法来构建不同于正常的通信方式。木马设计者将利用这些隐蔽通道绕过网络安全访问控制机制，秘密地传输信息。由于网络通信比较复杂，因此木马可以用隐蔽通道技术掩盖通信内容和通信状态

。网络隐蔽通道的木马有“ACKTunnelingTrojans”和Loki。表12-1列出了特洛伊木马隐藏技术案例统计。第12章恶意代码防范技术的原理3．特洛伊木马存活性技术木马的存活性取决于网络木马逃避安全监测的能力，一些网络木马侵入目标系统时采用反监测技术，甚至中断反网络木马程序的运行

。例如，“广外女生”是一个国产的特洛伊木马，可以让“金山毒霸”和“天网防火墙”失效。一些高级木马常具有端口反向连接功能，例如“Boinet”、“网络神偷”、“灰鸽子”等木马。端口反向连接技术是指由木马代理在目标系统主动连接外部网的远程木马控制端，以逃避防火墙的限制。第12章恶意代码防范技术的原理表

12-1是特洛伊木马隐藏技术案例统计隐藏技术木马类型隐藏文件隐藏进程隐藏网络连接网络隐蔽通道knark有有无无adore有有无无itf有有无无kis有有有无NTrootkit有有无无Loki———有第12章恶意代码防范技术的原理4．特洛伊木马自启动技术特洛伊木马自启动技术

用于控制木马程序的启动。目前，一般将木马程序放在系统的启动目录中。在Windows系统中，木马的自启动设置在系统配置文件中，如win.ini、system.ini等中，或修改注册表设置实现木马的自动启动，或把木马注册为系统服务，或把木马注入到系统服务程序中。在UNIX系统中，木马的自

启动设置在init、inetd、cron等文件或目录中。第12章恶意代码防范技术的原理12.3.4特洛伊木马防范技术1．基于查看开放端口检测特洛伊木马其基本原理是根据特洛伊木马在受害计算机系统上留下的网络通信端口号痕迹进行判断。如果某个木马的端口在某

台机器上开放，则推断该机器受到了木马的侵害。例如，冰河使用的监听端口是7626，BackOrifice2000使用的则是54320。于是，利用查看本机开放端口的方法来检查自己是否被植入了木马。查看开放

端口技术有：①系统自带的netstat命令；②用端口扫描软件远程检测机器。第12章恶意代码防范技术的原理2．基于重要系统文件检测特洛伊木马其基本原理是根据特洛伊木马在受害计算机系统上对重要系统文件进行修改留下的痕迹进行判断，通过

比对正常的系统文件变化来确认木马的存在。这些重要文件一般与系统的自启动相关，木马通过修改这些文件使得木马能够自启动。例如，在Windows系统中，autostartFolder、win.ini、system.ini、wininit

.ini、winstart.bat、autoexec.bat、config.sys、ExplorerStartup等常被木马修改。以检查system.ini文件为例，在[BOOT]下面有个“shell=文件名

”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是木马程序，这就说明计算机系统已经被安装上了木马。第12章恶意代码

防范技术的原理3．基于系统注册表检测特洛伊木马Windows类型的木马常通过修改注册表的键值来控制木马的自启动。基于系统注册表检测特洛伊木马方法的基本原理是检查计算机的注册表键值异常情况以及对比已有木马的修改注册表规律，综合确认系统是否受到木马侵害。例如

，Windows木马经常修改注册表的以下信息：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"Info"=c:\directory\Trojan.exe"第12章恶意代码防范技术的原理[HKEY

_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]"Info"=c:\directory\Trojan.exe"[HKEY_LOC

AL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]"Info"=c:\directory\Trojan.exe"[HKEY_LOCAL_MACHINE\Software\Microsoft\Win

dows\CurrentVersion\RunServicesonce]"Info="c:\directory\Trojan.exe"第12章恶意代码防范技术的原理[HKEY_CURRENT_USER\Softw

are\Microsoft\Windows\CurrentVersion\Run]"Info"=c:\directory\Trojan.exe"[HKEY_CURRENT_USER\Software\Micr

osoft\Windows\CurrentVersion\RunOnce]"Info"=c:\directory\Trojan.exe"第12章恶意代码防范技术的原理在Windows系统中，通过regedit命令打开注册表编辑器，再点

击至“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有异常的自动启动文件，特别是扩展名为exe的。例如AcidBat

teryv1.0木马，它将注册表“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer

=“C:\WINDOWS\expiorer.exe”，即木马程序与真正的explorer之间只有字母“i”与“l”的差别。第12章恶意代码防范技术的原理4．检测具有隐藏能力的特洛伊木马技术rootkit是典型的具有隐藏能力的特洛伊木马。目前

，检测rootkit的技术有三类，下面分别叙述其技术原理。第一类是针对已知的rootkit进行检测，即基于rootkit的运行痕迹特征来进行判断，看计算机系统是否存在木马。这种方式的主要缺点是只能针对特定的已知的rootkit，而对未知的rootkit几乎无能为力。第12章恶意代码防

范技术的原理第二类是基于执行路径分析检测方法。其基本原理就是安装rootkit的系统在执行一些操作时，由于要完成附加的rootkit的功能，如隐藏进程、文件等，则需要执行更多的CPU指令。通过利用x86系列CPU提供的步进模式(steppingmode)，在CPU每执行一条指

令后进行计数，将测量到的结果与在正常的、干净的系统下测得的数据进行比较，然后根据比较的差异，判断系统是否可能已被安装了rootkit。这种方法不仅对于已知的rootkit有用，而且对于所有通过修改系统执行路径来达到隐藏和执行功能目的的rootkit都有很好的作用。patc

hfinder就是从实用的角度在win2000平台上实现了执行路径分析技术，它是一个设计复杂的检测工具，可以用来检测系统中的库和内核是否被侵害。利用patchfinder工具，可以发现许多rootkit，例如HackerDefender、APX、Vaniquis

h、He4Hook等。第12章恶意代码防范技术的原理第三类是直接读取内核数据分析检测方法，该方法针对通过修改内核数据结构的方法来隐藏自己的rootkit。其基本原理是直接读取内核中的内部数据以判断系统当前的状态。比如，针对修改系统活动进程链表来隐藏进程的rootkit，可以通过采取

直接读取KiWaitInListHead和KiWaitOutListHead链表来遍历系统内核线程链表ETHREAD，从而获得当前系统实际进程链表的方法来检测隐藏进程。Klister是实现该方法的实例，它是Win2000下的一组简单的工具，设计用来读取内核的数据结构，以获得关于系统状

态的可靠的信息。Klister包括一个内核模块和一些用户态的程序，这些用户态程序与内核模块通信以显示内核的数据结构。第12章恶意代码防范技术的原理5．基于网络检测特洛伊木马在网络中安装入侵检测系统，通过捕获主机的网络通信，检查通信的数据包是否具有特洛伊木马的特征，

或者分析通信是否异常来判断主机是否受到了木马的侵害。第12章恶意代码防范技术的原理6．防止特洛伊木马植入的方法*不轻易安装未经过安全认可的软件，特别是来自公共网的软件。*提供完整性保护机制，即在需要保护的计算机上安装完整性机制，对重要的文件进行完整性检查。例如安装一种起完整性保护作

用的设备驱动程序，这些程序拦截一些系统服务调用，禁止任何新的模块的载入，从而使系统免于受到rootkit的危害。*利用漏洞扫描软件检查系统存在的漏洞，然后针对相应的漏洞，安装补丁软件包。第12章恶意代码防范技术的原理7．基于网络阻断特洛伊木马技术方法现在，特洛伊木马的传播和运行都依赖于网络通

信，基于网络阻断特洛伊木马技术方法的原理是利用防火墙、路由器等网络设备，对特洛伊木马的通信进行阻断，从而使得特洛伊木马的功能失效或限制其传播。第12章恶意代码防范技术的原理8．清除特洛伊木马的方法清除特洛伊木马的技术方法有两种：手工方法和软件清除方法。其工作原理是删除特洛伊木马在受

害机器留下的文件，禁止特洛伊木马的网络通信件，恢复木马修改过的系统文件或注册表。目前，市场上有专业的清除特洛伊木马的工具。第12章恶意代码防范技术的原理12.4网络蠕虫12.4.1网络蠕虫的概念与特性网络蠕虫是一种具有自我复制和传播能力、可独立

自动运行的恶意程序。它综合黑客技术和计算机病毒技术，通过利用系统中存在漏洞的节点主机，将蠕虫自身从一个节点传播到另外一个节点。1988年，著名的“小莫里斯”蠕虫事件成为网络蠕虫攻击的先例。随着网络技术应用的深入，网络蠕虫对网络系统安全的威胁

日益增加。在网络环境下，多模式化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高，传播变强，影响面更广，造成的损失也更大。第12章恶意代码防范技术的原理12.4.2网络蠕虫的组成与运行机制网络蠕虫主体功能模块由四个模块构成

：探测模块、传播模块、蠕虫引擎模块和负载模块，如图12-9所示。(1)探测模块。完成对特定主机的脆弱性检测，决定采用何种攻击渗透方式。该模块利用获得的安全漏洞建立传播途径。该模块在攻击方法上是开放的、可扩充的。(2)传播模块。该模块可以采用各种形式生成各种形态的蠕虫副本，在不同主机间完

成蠕虫副本传递。例如，“Nimda”会生成多种文件格式和名称的蠕虫副本；“Worm.KillMSBlast”利用系统程序(例如TFTP)来完成推进模块的功能等。第12章恶意代码防范技术的原理图12-9网络蠕虫组成模

块示意图探测(probe)传播(transport)蠕虫引擎(wormengine)负载(payload)第12章恶意代码防范技术的原理(3)蠕虫引擎模块。该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本机系统信

息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享。第12章恶意代码防范技术的原理(4)负载模块。网络蠕虫内部的实现伪代码如下：worm(){worme

ngine()probe()transport()}wormengine(){installandinitializetheworm();executepayloadifanyneedstobe();choosethenexthosttoprobe();wa

ituntildesiredtimeforthenextprobe();}第12章恶意代码防范技术的原理网络蠕虫运行机制主要分为三个阶段，如图12-10所示。第一阶段，已经感染蠕虫的主机在网络上搜索易感目标主机，这些易感机器具有蠕虫代码执行条件，例如易

感机器有蠕虫可利用的漏洞。网络蠕虫发现易感目标取决于所选择的传播方法，好的传播方法使网络蠕虫以最少的资源找到网上易传染的主机，进而能在短时间内扩大传播区域。第二阶段，已经感染蠕虫的主机把蠕虫代码传送到易感目标主机上。传输方式有多种形式，如电子邮件、共享文件、网页浏览、缓冲区溢出程序、远程命令拷贝

、文件传输(ftp或tftp)等。第12章恶意代码防范技术的原理图12-10网络蠕虫运行机制示意图①搜索网上主机，发现易感目标主机已经感染主机②传送蠕虫代码到目标主机目标主机系统③执行蠕虫代码，感染目标主机第12章恶意代码防范技术的原理第三阶段，易感目标主机执行蠕虫代码，感染

目标主机系统。目标主机感染后，又开始第一阶段工作，寻找下一个易感目标主机，重复二、三阶段的工作，直至蠕虫从主机系统被清除掉。第12章恶意代码防范技术的原理12.4.3网络蠕虫常用技术1．网络蠕虫扫描技术

1)随机扫描基本原理是网络蠕虫在整个IP地址空间内随机抽取一个地址进行扫描，这样网络蠕虫感染的下一个目标是非确定性的。“Slammer”蠕虫的传播方法就采用随机扫描感染。第12章恶意代码防范技术的原理2)顺序扫描基本原理是网络

蠕虫根据感染主机的地址信息，按照本地优先原则，选择它所在网络内的IP地址进行传播。顺序扫描又可称为“子网扫描”。若蠕虫扫描的目标地址IP为A，则扫描的下一个地址IP为A＋1或者A－1。一旦扫描到具有很多漏洞主机的网络时就会达到很好的传播效果。该策略可避免网络蠕虫扫描到未用地址空间。不足的地方是

对同一台主机可能重复扫描，引起网络拥塞。“W32.Blaster”是典型的顺序扫描蠕虫。第12章恶意代码防范技术的原理3)选择性扫描基本原理是网络蠕虫在事先获知一定信息的条件下，有选择地搜索下一个感染目标主

机。选择性扫描又细分为以下几种：(1)选择性随机扫描：是指网络蠕虫按照一定信息搜索下一个感染目标主机，将最有可能存在漏洞的主机地址集作为扫描的地址空间，以提高扫描效率。第12章恶意代码防范技术的原理(2)基于

目标列表扫描：是指网络蠕虫在寻找受感染的目标前，预先生成一份可能易传染的目标列表，然后对该列表进行攻击尝试和传播。网络蠕虫采用目标列表扫描实际上将初始的蠕虫传染源分布在不同的地址空间，以提高传播速度。UCBerkeley的Nichola

sCWeaver实现了一个基于目标列表扫描的试验性Warhol蠕虫，理论推测该蠕虫能在30分钟内感染整个互联网。第12章恶意代码防范技术的原理(3)基于路由的扫描：是指网络蠕虫根据网络中的路由信息，如BGP路由表信息，有选择地扫描IP地址空间，以避免扫描无用的地址

空间。采用随机扫描的网络蠕虫会对未分配的地址空间进行探测，而这些地址大部分在互联网上是无法路由的，因此会影响到蠕虫的传播速度。如果网络蠕虫能够知道哪些IP地址是可路由的，则它就能够更快、更有效地进行传播，并能逃避一些对抗工具的检测。基于路由的扫描利用B

GP路由表公开的信息，减少蠕虫扫描地址空间，提高了蠕虫的传播速度。理论计算路由扫描蠕虫的感染率是采用随机扫描蠕虫感染率的3.5倍。基于路由的扫描的不足是网络蠕虫传播时必须携带一个路由IP地址库，蠕虫代码量大。另外一个不足是，在使用保留地址空间

的内部网络中，采用基于路由的扫描，网络蠕虫的传播会受到限制。目前，基于路由的扫描的网络蠕虫还处于理论研究阶段。第12章恶意代码防范技术的原理(4)基于DNS扫描是指网络蠕虫从DNS服务器获取IP地址来建立目标地址库。该扫描策略的优点在于获得的IP地址块具有针对性和可用性强的特点。(5)分而治之的

扫描：是网络蠕虫之间相互协作，快速搜索易感染主机的一种策略，网络蠕虫发送地址库的一部分给每台被感染的主机，然后每台主机再去扫描它所获得的地址。主机A感染了主机B后，主机A将它自身携带的地址分出一部分给主机B，然

后主机B开始扫描这一部分地址。分而治之的扫描策略通过将扫描空间分成若干个子空间，各子空间由已感染蠕虫的主机负责扫描，这样就可能提高网络蠕虫的扫描速度，同时避免重复扫描。分而治之的扫描策略的不足是存在“坏点”问题。第12章恶意代码防范技

术的原理表12-2网络蠕虫传播策略统计分析表传播策略蠕虫实例随机扫描顺序扫描选择性随机扫描CodeRedI有—有CodeRedII有无有Nimda有无无Slammer有无无Blaster有有无LionWorm有无无震荡波有无有第12章恶意代码防范

技术的原理2．网络蠕虫漏洞利用技术网络蠕虫发现易感目标主机后，利用易感目标主机所存在的漏洞，将蠕虫程序传播给易感目标主机。常见的网络蠕虫漏洞利用技术主要有：*主机之间信任关系漏洞。网络蠕虫利用系统中的信任关系，将蠕虫程序从一台机器复制到另一台机器。19

88年的“小莫里斯”蠕虫就是利用了UNIX系统中的信任关系脆弱性来传播的。*目标主机的程序漏洞。网络蠕虫利用它构造缓冲区溢出程序，进而远程控制易感目标主机，然后传播蠕虫程序。第12章恶意代码防范技术的原理*目标主机的默认用户和口令漏洞。网络蠕虫直接使用口令进入目标系统，直接上传蠕虫程

序。*目标主机的用户安全意识薄弱漏洞。网络蠕虫通过伪装成合法的文件，引诱用户点击执行，直接触发蠕虫程序执行。常见的例子是电子邮件蠕虫。*目标主机的客户端程序配置漏洞，如自动执行网上下载程序。网络蠕虫利用这个漏洞，直接执行蠕虫程序。第12

章恶意代码防范技术的原理12.4.4网络蠕虫防范技术1．网络蠕虫监测与预警技术网络蠕虫监测与预警技术的基本原理是在网络中安装探测器，这些探测器从网络环境中收集与蠕虫相关的信息，然后将这些信息汇总分析，以发现早期的网络蠕虫的行为。当前，探测器收集的与蠕虫相关的信

息类型有以下几类：第12章恶意代码防范技术的原理*本地网络通信连接数；*ICMP协议的路由错误包；*网络当前的通信流量；*网络服务分布；*域名服务；*端口活动；*CPU利用率；*内存利用率。第12章恶意代码防范技术的原理2．网络蠕虫传播抑制技术网络蠕虫传播

抑制技术的基本原理是利用网络蠕虫的传播特点，来构造一个限制网络蠕虫传播的环境。现在，已有的网络蠕虫传播抑制技术主要基于蜜罐技术。其技术方法是在网络系统设置虚拟机器或虚假的漏洞，这些虚假的机器和漏洞能够欺骗网络蠕虫，导致网络蠕虫

的传播能力下降。例如，用LaBrea对抗蠕虫工具，能够通过长时间阻断与被感染机器的TCP连接来降低网络蠕虫的传播速度。第12章恶意代码防范技术的原理3．模仿生物疾病防范网络蠕虫技术由于网络蠕虫具有生物病毒特征，因此美国安全专家提议建立CCDC(theCyberCentersforD

iseaseControl)来对抗网络蠕虫的攻击。防范网络蠕虫的CCDC体系有以下功能：①鉴别蠕虫的爆发期；②蠕虫样本特征分析；③蠕虫传染对抗；④蠕虫新的传染途径预测；⑤前摄性蠕虫对抗工具；⑥对抗未来蠕虫的威胁。CCDC能够实现对大规模网络蠕虫入侵的预

警、防御和阻断。目前，CCDC工作机制正在逐步建立和形成。第12章恶意代码防范技术的原理4．网络系统漏洞检测与系统加固技术网络蠕虫的传播常利用系统中所存在的漏洞，特别是具有从远程获取系统管理权限的高风险漏洞。表12

-3是有关与脆弱性相关的网络蠕虫安全重大事件统计表。第12章恶意代码防范技术的原理表12-3历年重大网络蠕虫事件与安全漏洞的统计时间安全重大事件名所利用的脆弱性1988年Internet蠕虫Sendmail及fi

nger程序漏洞2001年红色代码蠕虫微软Web服务器IIS4.0或5.0中index服务的安全漏洞2002年Slammer蠕虫微软MSSQL数据库系统漏洞2003年冲击波蠕虫微软操作系统DCOMRPC缓冲区

溢出漏洞第12章恶意代码防范技术的原理5．网络蠕虫免疫技术网络蠕虫通常在受害主机系统上设置一个标记，以避免重复感染。网络蠕虫免疫技术的基本原理就是在易感染的主机系统上事先设置一个蠕虫感染标记，欺骗真实的网络蠕虫，从而保护易感主机免受

蠕虫攻击。第12章恶意代码防范技术的原理6．网络蠕虫阻断与隔离技术网络蠕虫阻断技术还有很多，主要利用防火墙、路由器进行控制。例如合理地配置网络或防火墙，禁止除正常服务端口外的其他端口，过滤含有某个蠕虫特征

的包，屏蔽已被感染的主机对保护网络的访问等。这样就可以切断网络蠕虫的通信连接，从而阻断网络蠕虫的传播。第12章恶意代码防范技术的原理7．网络蠕虫清除技术网络蠕虫清除技术用于感染蠕虫后的处理，其基本方法是根据特定的网络蠕虫感染系统后所留下痕迹，如文件、进程，注册表等信息，

分析网络蠕虫的运行机制，然后有针对性地删除有关网络蠕虫文件或进程。清除网络蠕虫有手工或专用工具。采用手工方式应熟知蠕虫的发作机制，通常需要在受害机器上进行“蠕虫特征字符串查找、注册表信息修改、进程度列表查看”等操作。目前，蠕虫专用工具是由安全公司或应急响应部门提供的，用户只需要简单安装后

即可运行。第12章恶意代码防范技术的原理12.5其他恶意代码12.5.1逻辑炸弹(LogicBombs)逻辑炸弹是一段依附在其他软件中、具有触发执行破坏能力的程序代码。逻辑炸弹的触发条件具有多种方式，包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等。逻辑炸弹只在

触发条件满足后，才开始执行逻辑炸弹的破坏功能，如图12-11所示。逻辑炸弹一旦触发，有可能造成文件删除、服务停止、软件中断运行等破坏。逻辑炸弹不能复制自身，不能感染其他程序。第12章恶意代码防范技术的原理图12-11逻辑炸弹运行示意图软件程序启动逻辑炸弹检查触发条件是否满足？是否控制权转给正常程序

激活逻辑炸弹第12章恶意代码防范技术的原理12.5.2陷门(Trapdoors)陷门是软件系统里的一段代码，允许用户避开系统安全机制而访问系统。陷门由专门的命令激活，一般不容易发现。陷门通常是软件开发商为调试程序、维护系统而设定的功能。陷门不具有自动传播和自我复制

功能。第12章恶意代码防范技术的原理12.5.3细菌(Bacteria)细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但是它通过复制本身来消耗系统资源。例如，某个细菌先创建两个文件，然后以两个文件为基础进行自我

复制，那么细菌以指数级增长，很快就会消耗掉系统资源，包括CPU、内存、磁盘空间。第12章恶意代码防范技术的原理12.5.4间谍软件(Spyware)间谍软件通常指那些在用户不知情的情况下被安装在计算机中的各种软件，执行用户非期望的功能。这些软件可以产生弹出广告，重定向用户浏

览器到陌生的网站。同时，间谍软件还具有收集信息的能力，可记录用户的击键情况及浏览习惯，甚至会窃取用户的个人信息(如用户帐号和口令、信用卡资料)，然后经因特网传送给攻击者。一般来说，间谍软件不具备自我复制功能。

目前，间谍软件日益增多，严重威胁用户和公司的信息安全，特别是用户的个人隐私。第12章恶意代码防范技术的原理12.6本章小结本章叙述了恶意代码的概念和分类，重点分析了计算机病毒、特洛伊木马和网络蠕虫的组成、运行机制以及防范技术原理和工具。同时，本章还给出其他类型的恶意代码的相关概念。第

12章恶意代码防范技术的原理本章思考与练习1．简述各种类型恶意代码的概念，并比较分析计算机病毒、特洛伊木马和网络蠕虫的区别。2．计算机病毒的类型有哪些？请举例说明。3．请给出计算机病毒策略和技术方案。4．特洛伊木马植入有哪些途径？5．从哪几方面来防范特洛

伊木马？6．网络蠕虫的防范技术有哪些？7．试分析网络蠕虫的组成和工作机制，并给出防治网络蠕虫的安全技术方案。