恶意代码的攻击与防御

刘泳仪　姚瑀哲　郑虹

摘要：随着信息化进程的推进、网络应用的普及，各行各业对计算机网络的依赖越来越高，这使得整个社会变得十分脆弱，一旦网络受到攻击，就会陷入危机。在大量的安全事件中，恶意代码攻击占很大的比例，所以加强对恶意代码的防御研究很是必要。本文根据恶意代码的攻击机制，给出了不同类型恶意代码的防御技术。

关键词：恶意代码;病毒;木马;防范方法

引言

恶意代码是计算机网络中的一种攻击方式，具有出现较早、发展较快、影响较广、传播途径较多等特点。计算机网络在为大家提供便利服务的同时也为计算机病毒的恶意攻击提供了可乘之机。许多互联网安全事件都起源于恶意代码，由此可见，了解恶意代码的攻击原理、加强对恶意代码的防御对互联网安全应对能力非常必要。

1.恶意代码分类

恶意代码实质是一种可以独立执行的指令集或嵌入其他程序的可执行代码。恶意代码通常被分为4类：病毒、蠕虫、木马、后门。

计算机病毒是具有自我复制能力的依附性恶意代码，在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机并能够自我复制的一组指令或程序代码。

蠕虫具有自我复制能力的独立性恶意代码，它通过网络连接将自身或变种发送到其他主机的程序，当进入某台主机后，它会被再次激活并开始新的传染。除了传染以外，蠕虫也经常执行破坏功能。

木马是不具有自我复制能力的独立性恶意代码。木马包括服务器程序和客户程序，服务器程序在目标主机运行，负责打开攻击通道;客户程序在攻击者主机运行，负责与目标主机建立远程连接并进行通信，发出各种攻击命令。

后门是不具有自我复制能力的依附性恶意代码。指一类能够绕开正常的安全控制机制，从而为攻击者提供访问途经的一类恶意代码，攻击者可以通过使用后门工具对目标主机进行完全控制。

病毒、木马和蠕虫之间存在很大差别。病毒侧重于破坏系统和程序的能力，木马侧重于窃取敏感信息的能力，蠕虫侧重于网络中自我复制能力和传染能力。

2.恶意代码攻击机制与防范方法

恶意代码程序结构：初始化工作、寻找传染目标、夺取系统控制权、完成传染破坏活动。尽管各种恶意代码表现行为各异，但他们的破坏机制大体相同。主要分为5个步骤。

入侵系统：可以通过远程攻击、网页木马、邮件病毒等入侵系统。

维持和提升权限：盗用用户或者进程的合法权限。

隐蔽：通过改名、删除文件或修改安全策略来躲避安全软件的检测。

潜伏：在触发条件满足前不运行。

破坏：触发条件满足时，开始运行，实施破坏。

恶意代码的防范指建立合适的防御系统，及时发现恶意代码攻击，并采取有效手段阻止攻击，恢复受影响的主机和系统。

通用的恶意代码防范方法主要有：特征代码法、校验和法、行为监测法、软件模拟法等。

除了通用的技术以外，针对不同的恶意代码的特点，使用针对性的方法和策略能更有效地阻止恶意代码的攻击。

2.1病毒的防御方法

随着反病毒技术的发展，除了通用的防御方法之外还有三种反病毒技术，即通用解密、数字免疫系统和行为阻断技术。

（1）通用解密技术包括CPU模拟器、特征码扫描器和仿真控制等组件。CPU模拟器是基于软件的虚拟机，模拟执行可执行文件中的机器指令;特征码扫描器用于扫描解密病毒代码寻找已知特征码的模块;仿真控制用于控制病毒代码的模拟执行。

（2）数字免疫系统以CPU 模拟为基础，对其进行扩展并实现了更为通用的模拟器和病毒检测系统。一旦病毒入侵，免疫系统会立即自动捕获、分析、检测、屏蔽和清除，报告该病毒信息，使得这种病毒在广泛传播前即可被检测。

（3）行为阻止技术也称为主动防御技术。行为阻止与操作系统相结合，实时监控恶意的程序行为，可以在它对系统实施攻击之前将其阻止。可阻断的行为有：打开、删除、添加或修改文件;格式化硬盘或其他不可恢复的硬盘操作;修改可执行文件或宏的执行逻辑;修改关键系统配置;初始化网络连接;使用脚本发送可执行文件等。

2.2蠕虫的防御方法

蠕虫的传播通常分三个阶段，即慢开始、快传播和慢结束。在慢开始阶段，被传染的主机呈指数增长，在一段时间后进入快速传播阶段，此时许多主机已被感染，当大部分有漏洞的主机都被感染后，蠕虫难以寻找新的目标主机，进入慢结束阶段。在慢开始阶段进行防御最有效。下面介绍两种实际的蠕虫防范方法。

（1）蠕虫提前封堵方法在慢开始阶段对蠕虫进行定位，检测每台主机单位时间内自身对外发起的连接数量。数量超过阈值时，主机会立即阻塞链接尝试向管理器发送报警。其他主机从管理器接收到报警后，阻止所有陌生外出链接，并开始阈值分析。通过安全管理器传送给防火墙以过滤该蠕虫。

（2）基于网络协作的蠕虫防范的关键在于检测软件，分别检测进入内网的报文或检测发往外网的报文。检测软件可以部署在内网和外网的交接处，可以是边界路由器，也可以是防火墙的一部分，或者是独立的检测设备。

2.3木马的防御方法

木马具有隐蔽性和非法访问的特点，其攻击原理是通过客户程序向服务器发送指令，服务器程序接收控制指令后，根据指令在本地执行相应的动作，并把执行结果返回给客户程序。除了反病毒软件查杀病毒或专门的木马查杀工具，还有几种方法防范。

（1）检查网络通信状态 在关闭所有正常网络程序的情况下，检查网络连接状态监测木马，发现不熟悉的程序或奇怪的端口运行，及时跟踪相应的进程，找到木马程序的位置。

（2）查看進程与服务 可以用“netstart”或 “services.msc”程序观察当前正在运行哪些服务，对于可疑程序停止运行。运行任务管理器，查看系统列表中是否出现可疑进程，进一步判断是否是木马服务程序。

（3）查看系统启动项 发现可疑启动项，立即修改配置删除有关启动项，系统重启后，根据启动项关联的程序位置能找到木马位置。

3.结束语

本文介绍了几种恶意代码，通过对恶意代码破坏机制的分析，简要地阐述了目前应对这种攻击的防御思想以及针对程序行为的监控思想。当前恶意代码攻防研究才刚刚起步，基于恶意代码，需要研究更多可能的攻击和防御点。

作者简介：

刘泳仪1（2002.1），女，汉族，辽宁铁岭市人，研究方向：信息安全。

姚瑀哲2（2001.4），女，汉族，辽宁铁岭市人，研究方向：信息安全。

通讯作者简介：郑虹（1967.4），女，汉族，辽宁丹东市人，硕士，副教授。

大学生创新训练项目：校级+入侵检测技术的应用研究+202110169057。