恶意代码的分析及防治

恶意代码（病毒、木马）分析及防治研究
一、前言
近些年来，伴随着信息技术的飞速发展和越来越大众化的普及，计算机技术和网络技术不仅仅给人们的生活带来方便提高效率，它也带来了各种安全问题。
因此，研究恶意代码的机制，如何更好地检测恶意代码，研究如何更有效地预防和控制恶意代码，提高恶意代码的技术能力就显得越来越重要。
本文首先研究了恶意代码的工作机制与原理，然后用实际实验展示了木马病毒的入侵过程，最后阐述了其他恶意软件的防治方法。
二、恶意代码的机理概述
2.1恶意代码的定义
早期恶意软件的主要载体是有自我繁殖的能力的计算机病毒。与此同时，计算机病毒还可以将自己分发到计算机中的其他文件、程序或其他计算机。宿主程序中通常会嵌入病毒。当病毒感染的文件或程序执行病毒时，病毒将开始复制并自我复制。恶意代码主要包括以下内容：计算机病毒、特洛伊木马、逻辑炸弹、蠕虫等等。通过以上分析，我们可以看到恶意代码有两个显着的特征，即未授权和破坏性。
2.2恶意代码的入侵途径
2.2.1移动存储设备
当电脑刚开始流行时，人们大多使用软盘作为存储工具，而软盘可能会在引导区域传播病毒。现在软盘已被淘汰，而是各种存储设备：如移动硬盘、U盘、读写光盘、DVD等存储设备相当普遍，而且这些存储设备的存储空间从几G到十几G，病毒会随着这些可移动存储设备将文件或程序从一个系统转换到另一个系统进行传播。
2.2.2电子邮件
电子邮件是交流信息最便捷、最普遍的方式。病毒可以包含在纯文本信息或电子邮件附件中，受信任的用户可以通过电子邮件将病毒感染文件发送给其他朋友，从而导致病毒传播。
2.2.3黑客
黑客或攻击者故意将恶意代码插入其他人的系统中。系统遭到黑客攻击后，黑客会将后门程序埋入系统中。只要系统已连接，病毒即使没有打开任何东西，也可以进入您的计算机。
2.2.4恶意网页
当我们看网页时，我们不可避免地会遇到经常破坏您计算机的不规则网站，例如修改浏览器的注册表。最直接和最频繁的实施方式是在未经授权的情况下更改的默认主页，锁定注册表并修改用户的鼠标右键等。当我们的预防意识不强时，比如运行其他人发送的所谓的MM图片和动画片，他们也会感染病毒。
三、木马的入侵分析
3.1木马的概述
木马的名称来源自“特洛伊木马”的故事，木马是计算机病毒的一种，它对电脑用户的危害主要是窃取信息破坏系统和绑架操作系统等。
木马病毒目前是一种比较常见的病毒，它能够突破防火墙限制入侵到计算机内部通过对系统文件进行篡改来隐藏自己。当计算机用户接入网络时木马程序监视用户的操作并且偷偷的把用户的个人信息发送给病毒植入者。木马病毒给广大互联网用户造成了个人信息泄露和巨大的损失。
3.2木马操作机理
木马程序可以入侵操作系统，从系统的基本功能上做手脚。因此变得十分隐蔽和难以防治。木马程序根据它的实现原理有很多不同的功能。木马病毒是一类计算机病毒的统称，但按照不同的基本功能木马程序的功能可以归纳为以下几类。
①　修改客户机操作系统实现远程控制
②　监视用户操作键盘的动作从而窃取密码
③　直接复制用户的电子资料并偷偷发送出去
④　劫持用户某些功能发布恶意信息
四、木马实验
4.1环境准备
攻击者ip（kali）：192.168.253.128
靶机ip（windows10家庭版）：192.168.253.129
保证系统间互相可ping通
4.2.实验步骤
4.2.1生成木马并存放至网页

图 4-1

图 4-2
4.2.2攻击机开启apache服务

图 4-3
4.2.3开启postgresql服务

图 4-4

4.2.4开启msfconsole

图 4-5
4.2.5设置攻击模块

图 4-6
4.2.6在靶机运行木马程序后，使用shell获取靶机cmd

图 4-7
4.3木马病毒实验测试
4.3.1在kali 控制window靶机后使用ipconfig测试

图 4-8
4.3.2在靶机中添加隐藏用户host$

图 4-9

图 4-10
五、其他恶意代码研究
5.1计算机蠕虫
蠕虫病毒是自包含的程序（或是一套程序）。它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中，蠕虫可以按“指数”速度传染。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源，然而也给计算机蠕虫带来了更为有利的生存和传播的环境。蠕虫侵入计算机网络，可以导致计算机网络效率急刷下降、系统资源遭到严重破坏，短时间内造成网格系统的瘫痪。蠕虫具有病毒的一些共性，如传播性、隐蔽性和破坏性等。
蠕虫不同于其他的病毒，如不利用文件寄生（没有宿主程序），在IP网络中利用系统的漏洞进行扫描和入侵，导致网络被阻塞，以及和黑客技术相结合对网络进行攻击等。不同于病毒木马需要攻击者主动传播，蠕虫主要是努力通过各种途径将自身或变种传播到其他的计算机系统中。
5.2逻辑炸弹
逻辑炸弹引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。
逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激活。计算机世界中的“逻辑炸弹”正是采用了这样的手法——当计算机系统运行的过程中恰好某个条件得到满足，如系统时间达到某个值、服务程序收到某个特定的消息，就触发恶意程序的执行并产生异常甚至灾难性后果，例如使某个进程无法正常运行、删除重要的磁盘分区、毁坏数据库数据，使系统瘫痪等等。在触发该条件之前系统运行却并未出现任何异常。对系统管理员和计算机用户来说，这样的恶意程序如同埋藏在计算机中的一颗地雷，同样惊心动魄。
5.3病毒
计算机病毒是人为制造的，有破坏性，又有传染性和潜伏性的，对计算机信息或系统起破坏作用的程序。它不是独立存在的，而是隐蔽在其他可执行的程序之中。计算机中病毒后，轻则影响机器运行速度，重则死机系统破坏；因此，病毒给用户带来很大的损失，通常情况下，我们称这种具有破坏作用的程序为计算机病毒。 
计算机病毒按存在的媒体分类可分为引导型病毒、文件型病毒和混合型病毒3种；按链接方式分类可分为源码型病毒、嵌入型病毒和操作系统型病毒等3种；按计算机病毒攻击的系统分类分为攻击DOS系统病毒，攻击Windows系统病毒，攻击UNIX系统的病毒。如今的计算机病毒正在不断的推陈出新，其中包括一些独特的新型病毒暂时无法按照常规的类型进行分类，如互联网病毒（通过网络进行传播，一些携带病毒的数据越来越多）、电子邮件病毒等。 
计算机病毒被公认为数据安全的头号大敌，从1987年电脑病毒受到世界范围内的普遍重视，我国也于1989年首次发现电脑病毒。目前，新型病毒正向更具破坏性、更加隐秘、感染率更高、传播速度更快等方向发展。因此，必须深入学习电脑病毒的基本常识，加强对电脑病毒的防范。
六、恶意代码的防治方法
6.1安装和维护防病毒软件
防病毒软件可识别恶意软件并保护我们的计算机免受恶意软件侵害。安装来自信誉良好的供应商的防病毒软件是预防和检测感染的重要步骤。始终直接访问供应商网站，而不是点击广告或电子邮件链接。由于攻击者不断地制造新病毒和其他形式的恶意代码，因此保持我们使用的防病毒软件保持最新非常重要。
6.2谨慎使用链接和附件
在使用电子邮件和网络浏览器时采取适当的预防措施以降低感染风险。警惕未经请求的电子邮件附件，并在单击电子邮件链接时小心谨慎，即使它们貌似来自我们认识的人。
6.3阻止弹出广告
弹出窗口阻止程序禁用可能包含恶意代码的窗口。大多数浏览器都有一个免费功能，可以启用它来阻止弹出广告。
6.4使用权限有限的帐户
浏览网页时，使用权限有限的账户是一种很好的安全做法。如果我们确实受到感染，受限权限可防止恶意代码传播并升级到管理账户。
6.5禁用外部媒体自动运行和自动播放功能
禁用自动运行和自动播放功能可防止感染恶意代码的外部媒体在我们的计算机上自动运行。
6.6更改密码
如果我们认为我们的计算机受到感染，应该及时更改我们的密码(口令)。这包括可能已缓存在我们的网络浏览器中的任何网站密码。创建和使用强密码，使攻击者难以猜测。
6.7保持软件更新
在我们的计算机上安装软件补丁，这样攻击者就不会利用已知漏洞。如果可用，请考虑启用自动更新。
6.8资料备份
定期将我们的文档、照片和重要电子邮件备份到云或外部硬盘驱动器。如果发生感染，我们的信息不会丢失。
6.9安装或启用防火墙
防火墙可以通过在恶意流量进入我们的计算机之前阻止它来防止某些类型的感染。一些操作系统包括防火墙;如果我们使用的操作系统包含一个防火墙，请启用它。
6.10使用反间谍软件工具
间谍软件是一种常见的病毒源，但可以通过使用识别和删除间谍软件的程序来最大程度地减少感染。大多数防病毒软件都包含反间谍软件选项，确保启用。
6.11监控账户
寻找任何未经授权的使用或异常活动，尤其是银行账户。如果我们发现未经授权或异常的活动，请立即联系我们的账户提供商。
6.12避免使用公共 Wi-Fi
不安全的公共 Wi-Fi 可能允许攻击者拦截我们设备的网络流量并访问我们的个人信息。

参考文献
[7] 慈庆玉，基于 Windows 环境的计算机病毒防治技术研究及其检测设计，[学位论文]，西南交通 大学，2005@TOC

欢迎使用Markdown编辑器

你好！ 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。

新的改变

我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客：

1. 全新的界面设计 ，将会带来全新的写作体验；
2. 在创作中心设置你喜爱的代码高亮样式，Markdown 将代码片显示选择的高亮样式 进行展示；
3. 增加了 图片拖拽 功能，你可以将本地的图片直接拖拽到编辑区域直接展示；
4. 全新的 KaTeX数学公式 语法；
5. 增加了支持甘特图的mermaid语法¹ 功能；
6. 增加了 多屏幕编辑 Markdown文章功能；
7. 增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能，功能按钮位于编辑区域与预览区域中间；
8. 增加了 检查列表 功能。

功能快捷键

撤销：Ctrl/Command + Z
重做：Ctrl/Command + Y
加粗：Ctrl/Command + B
斜体：Ctrl/Command + I
标题：Ctrl/Command + Shift + H
无序列表：Ctrl/Command + Shift + U
有序列表：Ctrl/Command + Shift + O
检查列表：Ctrl/Command + Shift + C
插入代码：Ctrl/Command + Shift + K
插入链接：Ctrl/Command + Shift + L
插入图片：Ctrl/Command + Shift + G
查找：Ctrl/Command + F
替换：Ctrl/Command + G

合理的创建标题，有助于目录的生成

直接输入1次#，并按下space后，将生成1级标题。
输入2次#，并按下space后，将生成2级标题。
以此类推，我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。

如何改变文本的样式

强调文本 强调文本

加粗文本 加粗文本

标记文本

删除文本

引用文本

H₂O is是液体。

2¹⁰ 运算结果是 1024.

插入链接与图片

链接: link.

图片:

带尺寸的图片:

居中的图片:

居中并且带尺寸的图片:

当然，我们为了让用户更加便捷，我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

去博客设置页面，选择一款你喜欢的代码片高亮样式，下面展示同样高亮的 代码片.

// An highlighted block
var foo = 'bar';

生成一个适合你的列表

• 项目
  • 项目
    • 项目

1. 项目1
2. 项目2
3. 项目3

• 计划任务
• 完成任务

创建一个表格

一个简单的表格是这么创建的：

项目	Value
电脑	$1600
手机	$12
导管	$1

设定内容居中、居左、居右

使用:---------:居中
使用:----------居左
使用----------:居右

第一列	第二列	第三列
第一列文本居中	第二列文本居右	第三列文本居左

SmartyPants

SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如：

TYPE	ASCII	HTML
Single backticks	'Isn't this fun?'	‘Isn’t this fun?’
Quotes	"Isn't this fun?"	“Isn’t this fun?”
Dashes	-- is en-dash, --- is em-dash	– is en-dash, — is em-dash

创建一个自定义列表

Markdown

Text-to- HTML conversion tool

Authors

John

Luke

如何创建一个注脚

一个具有注脚的文本。²

注释也是必不可少的

Markdown将文本转换为 HTML。

KaTeX数学公式

您可以使用渲染LaTeX数学表达式 KaTeX:

Gamma公式展示 $\Gamma (n)=(n-1)!\forall n\in \mathbb{N}$ 是通过欧拉积分

Γ ( z ) = ∫ 0 ∞ t z − 1 e − t d t   . \Gamma(z) = \int_0^\infty t^{z-1}e^{-t}dt\,.