恶意代码的分析及防治研究

• 前言

恶意代码是指有意识的程序设计者用于攻击计算机系统、获取用户隐私数据或造成破坏的一种计算机程序。其中最常见的两种恶意代码是病毒和木马。病毒可以自我复制并感染其他可执行文件，而木马则会在计算机上开启一个后门，让黑客可以远程控制受害者的电脑。其被设计用来破坏计算机系统、窃取用户信息、盗取秘密数据，包括但不限于敏感信息、个人信息、商业机密等，造成巨大的经济损失和隐私泄露风险。另外，在政府和军队领域，恶意代码也可能被用于寻找重要数据、入侵内网系统、窃取密码等，导致严重影响和后果。

恶意代码以其隐秘性和迅速性给互联网安全带来了巨大威胁。因此，恶意代码分析及防治研究是保持计算机和网络安全的必要措施。通过深入分析和了解恶意代码，研究防错技术手段，积极探索防范技术，以主动应对潜在和已知的攻击行为，保障用户和企业的财产利益，并促进国家信息化建设。其主要的意义在于创建和提供更加安全稳定的网络环境，实现更具信任合规性的信息化建设和科技发展。

关于恶意代码的防治手段应基于有效的分析结果而制订，并在不断发展，使之更具威慑力，并能针对日益复杂化的威胁作出回应。防治措施可以包括常规系统更新、安全补丁修复、数据备份恢复等常规建议措施上，也可涉及到先进的安全技术，例如加密技术、网络安全防火墙、入侵检测和预防系统等。这就给未来防治恶意代码提供了一种新思路——通过研究最前沿的技术并将其组合，可以在未来对日益增长的网络威胁发起更有效、更全面和更快速的控制，并提供管理更多样化的消除恶意代码系统。

所有这些都是从积极预防到灰度审查再到红蓝对抗阶段中必不可少的工序，最终，来确保社会网络安全。我们将通过介绍恶意代码的分类、组成部分、分析方法来有目的有针对性的提出几条防治策略

• 恶意代码介绍

2.1恶意代码的分类

通常情况下，可以将恶意代码根据其传播方式、行为特征和工作原理等多个方面进行如下分类：

（1）病毒(Viruses)：病毒是一种经典的恶意代码形式，它会通过复制自己的方式感染其他文件或计算机系统。感染后的病毒可以对系统数据、资源进行修改、删除或操控。

（2）蠕虫(Worms)：蠕虫是一种独立运行的恶意程序，不需要其他程序的帮助来复制和传播。一旦感染计算机，蠕虫会利用该计算机的网络功能和自身复制能力，远程感染其他计算机系统，轻易造成大面积传播感染。

（3）木马(Trojan Horse)：木马是指伪装成无害程序但实际上包含恶意代码的软件，通过欺骗用户安装、运行及提供技术支持等手段攻击并掌控系统，开启漏洞隙缝逐步窃取、毁坏关键数据，甚至给攻击者反向控制的权限。

（4）后门(Backdoor)：后门指的是通过特定的服务器连接弱化系统安全认证来解锁系统并获取“管理者”权限的恶意代码。当系统被后门侵入时，攻击者将有效规避攻击检测和程序保护，获得许多的机密信息。

（5）间谍软件(Spyware)：间谍软件是一种意在通过网络间谍或窃取更多隐私、收集资料的恶意代码，常夹杂广告惑家中用户其与误导人们点击红色余额提醒等等，实际上间谍软件将跟踪用户信息包括敏感数据，并被利用营销推荐或者其他未授权的行业营销使用途径。

（6）勒索软件（Ransomware）：通过加密文件或整个系统使目标用户无法访问其数据并要求赎金以获得解密密钥。

（7）DDoS攻击代码：称作分布式拒绝服务攻击(DDoS)的这类代码专门用于向特定的网站或服务发送大量恶意请求，通常由数千台或数万台已被感染的僵尸网络攻击起点进行。

这些恶意代码形式均可以通过不合规安装下载软件下发、电子邮件附件、不受控制的网站、P2P共享文件、公共Wi-Fi网络等方式进行传播。无论是哪种恶意代码，覆盖范围越来越广、传播渠道越来越隐蔽。解决此问题最好的方法是加强安全意识培训、提高人员技能水平进行合规部署，并且定期更新防病毒程序和更新修补漏洞。因此，及时更新防火墙、杀毒软件、加强密码策略、谨慎打开邮件附件、不轻易连接外部存储器等防范方法是必要的。

2.2恶意代码的组成以及如何感染计算机

恶意代码通常包含以下几个方面的组成部分：

程序代码：这是最基本的组成部分，也是恶意代码运行的核心。

加密算法：这是保护程序代码不被检测到的重要手段。

自启动程序：这是使恶意代码能够自启动并随着计算机启动运行的特殊程序。

远程管理员接口：这是允许远程攻击者控制受感染系统的特殊接口。

早期恶意代码的主要形式是计算机病毒。80年代，Cohen 设计出一种在运行过程中可以复制自身的破坏性程序，Adleman将它命名为计算机病毒，它是早期恶意代码的主要内容。随后，Adleman把病毒定义为一个具有相同性质的程序集合，只要程序具有破坏、传染或模仿的特点，就可认为是计算机病毒。这种定义有将病毒内涵扩大化的倾向，将任何具有破坏作用的程序都认为是病毒，掩盖了病毒潜伏、传染等其它重要特征。它感染计算机的作用过程由下列几个部分：

1. 侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多，如：从互联网下载的程序本身就可能含有恶意代码；接收已经感染恶意代码的电子邮件；从光盘或软盘往系统上安装软件；黑客或者攻击者故意将恶意代码植入系统等。
2. 维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
3. 隐蔽策略。为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
4. 潜伏。恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。
5. 破坏。恶意代码的本质具有破坏性，其目的是造成信息丢失、泄密，破坏系统完整性等。
6. 重复（1）至（5）对新的目标实施攻击过程。