网络安全之防范恶意代码

恶意代码的定义

定义一：恶意代码又称恶意软件。是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。

定义二：恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒 (简称病毒)、特洛伊木马 (简称木马)、计算机蠕虫 (简称蠕虫)、后门、逻辑炸弹等等。

恶意代码的种类

1. 计算机病毒

通过感染文件，一般包括可执行文件、数据文件、电子邮件等或者通过磁盘引导扇区进行传播，一般需要宿主程序被执行或人为交互才能运行。

2．陷阱门

某个程序的秘密入口，通过该入口启动程序，可以绕过正常的访问控制过程，因此，获悉陷阱门的人员可以绕过访问控制过程，直接对资源进行访问。陷阱门已经存在很长一段时间，原先的作用是程序员开发具有鉴别或登录过程的应用程序时，为避免每一次调试程序时都需输入大量鉴别或登录过程需要的信息，通过陷阱门启动程序的方式来绕过鉴别或登录过程。程序区别正常启动和通过陷阱门启动的方式很多，如携带特定的命令参数、在程序启动后输入特定字符串等。

3．逻辑炸弹

逻辑炸弹是包含在正常应用程序中的一段恶意代码，当某种条件出现，如到达某个特定日期、增加或删除某个特定文件等，将激发这一段恶意代码，执行这一段恶意代码将导致非常严重的后果，如删除系统中的重要文件和数据、使系统崩溃等。历史上不乏程序设计者利用逻辑炸弹讹诈用户和报复用户的案例。

4．特洛伊木马

特洛伊木马也是包含在正常应用程序中的一段恶意代码，一旦执行这样的应用程序，将激发恶意代码。顾名思义，这一段恶意代码的功能主要在于削弱系统的安全控制机制，如在系统登录程序中加入陷阱门，以便黑客能够绕过登录过程直接访问系统资源；将共享文件的只读属性修改为可读写属性，以便黑客能够对共享文件进行修改；甚至允许黑客通过远程桌面这样的工具软件控制系统。

5．病毒

这里的病毒是狭义上的恶意代码类型，单指那种既具有自我复制能力，又必须寄生在其他实用程序中的恶意代码。它和陷阱门、逻辑炸弹的最大不同在于自我复制能力，通常情况下，陷阱门、逻辑炸弹不会感染其他实用程序，而病毒会自动将自身添加到其他实用程序中。

6．蠕虫

从病毒的广义定义来说，蠕虫也是一种病毒，但它和狭义病毒的最大不同在于自我复制过程，病毒的自我复制过程需要人工干预，无论是运行感染病毒的实用程序，还是打开包含宏病毒的邮件，都不是由病毒程序自我完成的。蠕虫能够自我完成下述步骤。

(1) 查找远程系统
(2) 建立连接
(3) 实施攻击

7．Zombie

Zombie (俗称僵尸) 是一种具有秘密接管其他连接在网络上的系统，并以此系统为平台发起对某个特定系统的攻击功能的恶意代码。Zombie 主要用于定义恶意代码的功能，并没有涉及该恶意代码的结构和自我复制过程，因此，分别存在符合狭义病毒的定义和蠕虫定义的 Zombie。

恶意代码的危害

1. 禁止使用电脑
2. 格式化硬盘
3. 下载运行木马程序
4. 注册表的锁定
5. 默认主页修改
6. 篡改 IE 标题栏
7. 篡改默认搜索引擎
8.IE 右键修改

恶意代码的防范

1. 新主机应该在确认无恶意代码后方可接入（包括新装系统）；
2. 安装软件应注意，选取无广告及流氓插件的版本；
3. 下载软件要小心，到正规网站下载，下载后应该进行病毒检测；
4. 公用 U 盘、移动硬盘应及时杀毒；
5. 内网主机尽量专用，避免同时连接内外网。

如果我们成为恶意代码的受害者，如何恢复？
使用防病毒软件是保护我们的计算机免受恶意代码侵害的最佳方式。如果我们认为计算机受到感染，应第一时间运行我们的防病毒软件程序。理想情况下，我们的防病毒程序将识别我们计算机上的任何恶意代码并将其隔离，以便它们不再影响我们的系统。同时还应该考虑这些额外的步骤：

隔离受感染的系统：立即将受感染的计算机断开与网络的连接，以防恶意代码继续传播或对其他系统造成影响。

停止恶意代码的活动：如果您可以识别到恶意代码，尝试终止恶意程序的进程，或者按照指导手册进行应急处理。

清除恶意代码：运行更新的防病毒软件进行全面扫描，检测和清除感染的恶意代码。

恢复受损的数据和系统：如果恶意代码导致数据丢失或文件损坏，您可以尝试从备份中恢复数据。对于系统文件受损的情况，可以考虑重新安装操作系统和应用程序。

更改密码和凭证：如果您的密码和凭证可能已被泄露，请及时更改所有相关的密码，并确保使用不同、安全的密码。

更新和加强安全措施：更新所有的操作系统和软件，并加强安全措施，例如安装防病毒软件、防火墙、反间谍软件以及其他安全工具。