计算机网络信息安全理论与实践教程第12章

第 12章 恶意代码防范技术的原理 第 12章 恶意代码防范技术的原理 12.1 恶意代码概述 12.2 计算机病毒 12.3 特洛伊木马 12.4 网络蠕虫 12.5 其他恶意代码 12.6 本章小结 本章思考与练习 第 12章 恶意代码防范技术的原理 12.1 恶意代码概述 12.1.1 恶意代码的定义与分类恶意代码的英文是 Malicious Code， 它是一种违背目标系统安全策略的程序代码，可造成目标系统信息泄露和资源滥用，破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播，未经授权认证访问或破坏计算机系统。通常许多人认为“ 病毒 ” 代表了所有感染计算机并造成破坏的程序。事实上，恶意代码更为通用，病毒只是一种类型的恶意代码而已。恶意代码的种类主要包括计算机病毒 (Computer Virus)、 蠕虫(Worms)、 特洛伊木马 (Trojan Horse)、 逻辑炸弹 (Logic Bombs)、 细菌 (Bacteria)、 恶意脚本 (Malicious Scripts)和恶意 ActiveX控件、间谍软件 (Spyware)等。根据恶意代码的传播特性，可以将恶意代码分成两大类，如图 12-1所示。 第 12章 恶意代码防范技术的原理 图 12-1 恶意代码的分类 第 12章 恶意代码防范技术的原理 恶意代码也是一个不断变化的概念。 20世纪 80年代，恶意代码的早期形式主要是计算机病毒。 1984年， Cohen在美国国家计算机安全会议上演示了病毒的实验。人们普遍认为，世界上首例病毒是由他创造的。 1988年，美国康奈尔大学的学生 Morris 制造了世界上首例 “ 网络蠕虫 ” ，称为 “ 小莫里斯蠕虫” 。该蠕虫一夜之间攻击了网上约 6200台计算机。美国政府为此成立了世界上第一个计算机安全应急响应组织 (CERT)。1989年 4月，中国首次发现小球病毒。从此后，国外发现的其他计算机病毒纷纷走进国门，迅速地蔓延全国。 20世纪 90年代，恶意代码的定义随着计算机网络技术的发展逐渐丰富起来。1995年出现了 Word宏病毒， 1998年出现了 CIH病毒，特洛伊木马已达到数万种。 第 12章 恶意代码防范技术的原理 12.1.2 恶意代码防范整体策略恶意代码防范已经成为用户、网管的日常安全工作。要做好恶意代码的防范，一方面组织管理上必须加强恶意代码的安全防范意识。因为，恶意代码具有隐蔽性、潜伏性和传染性，用户在使用计算机过程中会不知不觉地将恶意代码引入到所使用的计算机中，所以防范恶意代码应从安全意识上着手，明确安全责任、义务和注意事项。另一方面，通过技术手段来实现恶意代码防范。防范恶意代码的总体框架如图 12-2所示。 第 12章 恶意代码防范技术的原理 图 12-2 恶意代码防范框架结构图 第 12章 恶意代码防范技术的原理 12.2 计 算 机 病 毒 12.2. 计算机病毒的概念与特性计算机病毒的名称由来借用了生物学上的病毒概念，它是一组具有自我复制、传播能力的程序代码。它常依附在计算机的文件中，如可执行文件或 Word文档中。高级的计算机病毒具有变种和进化能力，可以对付反病毒程序。计算机病毒编制者将病毒插入到正常程序或文档中，以达到破坏计算机功能、毁坏数据、影响计算机使用的目的。计算机病毒传染和发作表现的症状各不相同，这取决于计算机病毒程序设计人员和感染的对象，其表现的主要症状如下：第 12章 恶意代码防范技术的原理 计算机屏幕显示异常、机器不能引导启动、磁盘存储容量异常减少、磁盘读写异常、出现异常的声音、执行程序文件无法执行、文件长度和日期发生变化、系统死机频繁、系统不承认硬盘、中断向量表发生异常变化、内存可用空间异常变化或减少、系统运行速度下降、系统配置文件改变、系统参数改变。据统计，目前的计算机病毒数量已达到数万种，但所有计算机病毒都具有四个基本特点： 第 12章 恶意代码防范技术的原理 (1) 隐蔽性。计算机病毒附加在正常软件或文档中，例如可执行程序、电子邮件、 Word文档等，一旦用户未察觉，病毒就触发执行，潜入到受害用户的计算机中。目前，计算机病毒常利用电子邮件的附件作为隐蔽载体，许多病毒通过邮件进行传播，例如 Melissa病毒、 “ I Love You” 病毒和 “ 求职信 ”病毒。病毒的隐蔽性使得受害用户在不知不觉中感染病毒，对受害计算机造成系列危害操作。正因如此，计算机病毒才能迅速扩散与传播。 第 12章 恶意代码防范技术的原理 (2) 传染性。计算机病毒的传染性是指计算机病毒具有自我复制能力，并能把复制的病毒附加到无病毒的程序中，或者去替换磁盘引导区的记录，使得附加了病毒的程序或者磁盘变成新的病毒源，又能进行病毒复制，重复原先的传染过程。计算机病毒与其他程序最本质的区别在于计算机病毒能传染，而其他的程序则不能。没有传染性的程序就不是计算机病毒。生物病毒的传播载体是水、实物和空气，而计算机病毒的传染载体是传递计算机信息的实体。计算机病毒通过传染载体向周围的计算机系统扩散。目前，计算机病毒的传染载体主要是磁性介质、光盘和计算机网络。计算机病毒常见于免费软件、共享软件、电子邮件、磁盘压缩程序和游戏软件中。特别是在今天，计算机病毒通过网络传播，其扩散速度明显加快。 第 12章 恶意代码防范技术的原理 (3) 潜伏性。计算机病毒感染正常的计算机之后，一般不会立即发作，而是等到触发条件满足时，才执行病毒的恶意功能，从而产生破坏作用。计算机病毒的触发条件常见的是特定日期。例如 CIH计算机病毒的发作时间是 4月 26日。 第 12章 恶意代码防范技术的原理 (4) 破坏性。计算机病毒对系统的危害程度，取决于病毒设计者的设计意图。有的仅仅是恶作剧，有的要破坏系统数据。简而言之，病毒的破坏后果是不可知的。由于计算机病毒是一段恶意的程序，因此凡是常规程序操作使用的计算机资源，计算机病毒均有可能对其进行破坏。据统计，病毒发作后，造成的破坏主要有数据部分丢失、系统无法使用、浏览器配置被修改、网络无法使用、使用受限、受到远程控制、数据全部丢失等。据统计分析，浏览器配置被修改、数据丢失、网络无法使用最为常见，如图 12-3所示。 第 12章 恶意代码防范技术的原理 图 12-3 病毒破坏的情况 第 12章 恶意代码防范技术的原理 12.2.2 计算机病毒的组成与运行机制计算机病毒由三部分组成：复制传染部件 (replicator)、 隐藏部件 (concealer)和破坏部件 (bomb)。 复制传染部件的功能是控制病毒向其他文件的传染，隐藏部件的功能是防止病毒被检测到，破坏部件则用于在当病毒符合激活条件后，执行破坏操作。计算机病毒实现者将上述三个部分综合在一起，使用当前反病毒软件不能检测到的病毒感染系统，使病毒逐渐开始传播。 第 12章 恶意代码防范技术的原理 计算机病毒的生命周期主要有两个阶段：* 第一阶段，计算机病毒的复制传播阶段。这一阶段有可能持续一个星期到几年。计算机病毒在这个阶段尽可能隐蔽其行为，不干扰正常系统的功能。计算机病毒主动搜寻新的主机进行感染，如将病毒附在其他的软件程序中，或者渗透操作系统。同时，可执行程序中的计算机病毒获取程序控制权。在这一阶段，发现计算机病毒特别困难，这主要因为计算机病毒只感染了少量的文件，难以引起用户警觉。* 第二阶段，计算机病毒的激活阶段。计算机病毒在该阶段根据数学公式判断激活条件是否满足，然后再开始逐渐或突然破坏系统。 第 12章 恶意代码防范技术的原理 12.2.3 计算机病毒常见类型与技术1引导型病毒引导型病毒通过感染计算机系统的引导区而控制系统，病毒将真实的引导区内容修改或替换，当病毒程序执行后，才启动操作系统。因此，感染引导型病毒的计算机系统看似正常运转，而实际上病毒已在系统中隐藏，等待时机传染和发作。引导型病毒通常都是内存驻留的，典型的引导型病毒有磁盘杀手病毒、 AntiExe病毒等。 第 12章 恶意代码防范技术的原理 2宏病毒 (Macro Viruses)宏是 1995年出现的应用程序编程语言，它使得文档处理中的繁复的敲键操作自动化。所谓宏病毒，就是指利用宏语言来实现的计算机病毒。宏病毒的出现改变了病毒的载体模式。以前病毒的载体主要是可执行文件，而现在文档或数据也可作为病毒的载体。微软规定宏代码保存在文档或数据文件的内部，这样一来就给宏病毒传播提供了方便。同时，宏病毒的出现也实现了病毒的跨平台传播，它能够感染任何运行 Office的计算机。例如， Office病毒就是第一种既能感染运行 Windows 98的IBM PC又能感染运行 Macintosh的机器的病毒。第 12章 恶意代码防范技术的原理 根据统计，宏病毒已经出现在 Word、 Excel、 Access、PowerPoint、 Project、 Lotus、 AutoCAD和 Corel Draw当中。宏病毒的触发过程是：用户打开一个被感染的文件并让宏程序执行，宏病毒将自身复制到全局模板，然后通过全局模板把宏病毒传染到新打开的文件中，如图 12-4所示。 第 12章 恶意代码防范技术的原理 图 12-4 宏病毒感染示意图 第 12章 恶意代码防范技术的原理 Word宏病毒是宏病毒的典型代表，其他的宏病毒的传染过程与它类似。下面以 Word宏病毒为例，分析宏病毒的传染过程。微软为了使 Word更易用，在 Word中集成了许多模板，如典雅型传真、典雅型报告等。这些模板不仅包含了相应类型文档的一般格式，而且还允许用户在模板内添加宏，使得用户在制作自己的特定格式文件时，可减少重复劳动。在所有这些模板中，最常用的就是 Normal.dot模板，它是启动 Word时载入的缺省模板。任何一个 Word文件，其背后都有相应的模板，当打开或创建 Word文档时，系统都会自动装入 Normal.dot模板并执行其中的宏。 Word处理文档时，需要进行各种不同的操作，如打开文件、关闭文件、读取数据资料以及储存和打印等。 第 12章 恶意代码防范技术的原理 每一种动作其实都对应着特定的宏命令，如存文件与 File Save相对应、改名存文件对应着 File Save AS等。这些宏命令集合在一起构成了通用宏。通用宏保存在模板文件中，以使得Word启动后可以有效地工作。 Word打开文件时，它首先要检查文件内包含的宏是否有自动执行的宏 (AutoOpen宏 )存在，假如有这样的宏， Word就启动它。通常， Word宏病毒至少会包含一个以上的自动宏，当 Word运行这类自动宏时，实际上就是在运行病毒代码。宏病毒的内部都具有把带病毒的宏复制到通用宏的代码段的功能，也就是说，当病毒代码被执行过后，它就会将自身复制到通用宏集合内。第 12章 恶意代码防范技术的原理 当 Word系统退出时，它会自动地把所有通用宏和传染进来的病毒宏一起保存到模板文件中，通常是 Normal.dot模板。这样，一旦 Word系统遭受感染，则以后每当系统进行初始化时，系统都会随着 Normal.dot的装入而成为带病毒的 Word系统，继而在打开和创建任何文档时感染该文档。 第 12章 恶意代码防范技术的原理 3多态病毒 (Polymorphic Viruses)多态病毒有三个主要组成部分：杂乱的病毒体、解密例程(decryption routine)和变化引擎 (mutation engine)。 在一个多态病毒中，变化引擎和病毒体都被加密。一旦用户执行被多态病毒感染过的程序，则解密例程首先获取计算机的控制权，然后将病毒体和变化引擎进行解密。接下来，解密例程把控制权转让给病毒，重新开始感染新的程序。此时，病毒进行自我复制，变化引擎随机访问内存 (RAM)。第 12章 恶意代码防范技术的原理 4隐蔽病毒 (Stealth Viruses)隐蔽病毒试图将自身的存在形式进行隐藏，使得操作系统和反病毒软件不能发现。隐蔽病毒使用的技术有许多，主要包括：* 隐藏文件的日期、时间的变化；* 隐藏文件大小的变化；* 病毒加密。 第 12章 恶意代码防范技术的原理 12.2.4 计算机病毒防范策略与技术 1防范计算机病毒策略之一：病毒检测检测的原理主要基于下列四种方法：(1)比较法。(2)(2) 搜索法。 (3)(3) 特征字识别法。 第 12章 恶意代码防范技术的原理 (4) 分析法。一般使用分析法的人不是普通用户，而是反病毒技术人员。他们详细分析病毒代码，为采取相应的反病毒措施制定方案。使用分析法的目的在于：* 确认被观察的磁盘引导区和程序中是否含有病毒；* 确认病毒的类型和种类，判定其是否是一种新病毒；* 搞清楚病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到病毒代码库供病毒扫描和识别程序用。 第 12章 恶意代码防范技术的原理 2防范计算机病毒策略之二：病毒防范由于计算机病毒的危害性是不可预见性，因此对于病毒的防范只能以防为主。具体要做的防范措施有：(1) 掌握计算机病毒知识，培养安全防范意识。例如，用户不要轻易运行未知的可执行软件，特别是不要轻易打开电子邮件的附件。(2) 切断病毒传播途径和消除病毒载体。例如，对于关键的计算机，做到尽量专机