恶意代码(病毒，木马)分析及防治研究

恶意代码是指嵌入到网页或电子邮件中的一种以破坏为最终目的的脚本代码,通常是通过浏览器软件或邮件收发软件下载到用户端,只需最小限度的调用或根本不需用户介入就可以在用户端得到执行。恶意代码不同于传统意义上的病毒,不具有传染性,但它具有极强的破坏性和欺骗性。可以说几乎所有的上网用户都曾遭遇过恶意代码,具体的现象如:浏览器主页不知何时被设置为莫名网址且无法恢复;每次启动计算机会自动打开某色情网站;注册表编辑功能被禁止等。这些只是表面现象,更为严重的是有些恶意代码能盗取用卢浏览器Cookie 中的个人敏感信息,如信用卡号、用户名和密码等,造成不可估量的损失。

因此，研究恶意代码的机制，如何更好地检测恶意代码，研究如何更有效地预防和控制恶意代码，提高恶意代码的技术能力就显得越来越重要。

早期恶意软件的主要载体是有自我繁殖的能力的计算机病毒。与此同时，计算机病毒还可以将自己分发到计算机中的其他文件、程序或其他计算机。宿主程序中通常会嵌入病毒。当病毒感染的文件或程序执行病毒时，病毒将开始复制并自我复制。恶意代码主要包括以下内容：计算机病毒、特洛伊木马、逻辑炸弹、蠕虫等等。通过以上分析，我们可以看到恶意代码有两个显着的特征，即未授权和破坏性。

2.2.1移动存储设备

当电脑刚开始流行时，人们大多使用软盘作为存储工具，而软盘可能会在引导区域传播病毒。现在软盘已被淘汰，而是各种存储设备：如移动硬盘、U盘、读写光盘、DVD等存储设备相当普遍，而且这些存储设备的存储空间从几G到十几G，病毒会随着这些可移动存储设备将文件或程序从一个系统转换到另一个系统进行传播。

2.2.2电子邮件

电子邮件是交流信息最便捷、最普遍的方式。病毒可以包含在纯文本信息或电子邮件附件中，受信任的用户可以通过电子邮件将病毒感染文件发送给其他朋友，从而导致病毒传播。

2.2.3黑客

黑客或攻击者故意将恶意代码插入其他人的系统中。系统遭到黑客攻击后，黑客会将后门程序埋入系统中。只要系统已连接，病毒即使没有打开任何东西，也可以进入我们的计算机。

2.2.4恶意网页

当我们看网页时，我们不可避免地会遇到经常破坏计算机的不规则网站，例如修改浏览器的注册表。最直接和最频繁的实施方式是在未经授权的情况下更改的默认主页，锁定注册表并修改用户的鼠标右键等。当我们的预防意识不强时，比如运行其他人发送的所谓的MM图片和动画片，他们也会感染病毒。

木马的名称来源自“特洛伊木马”的故事，木马是计算机病毒的一种，它对电脑用户的危害主要是窃取信息破坏系统和绑架操作系统等。

木马病毒目前是一种比较常见的病毒，它能够突破防火墙限制入侵到计算机内部通过对系统文件进行篡改来隐藏自己。当计算机用户接入网络时木马程序监视用户的操作并且偷偷的把用户的个人信息发送给病毒植入者。木马病毒给广大互联网用户造成了个人信息泄露和巨大的损失。

木马程序可以入侵操作系统，从系统的基本功能上做手脚。因此变得十分隐蔽和难以防治。木马程序根据它的实现原理有很多不同的功能。木马病毒是一类计算机病毒的统称，但按照不同的基本功能木马程序的功能可以归纳为以下几类。

①　修改客户机操作系统实现远程控制

②　监视用户操作键盘的动作从而窃取密码

③　直接复制用户的电子资料并偷偷发送出去

④　劫持用户某些功能发布恶意信息

蠕虫病毒是自包含的程序（或是一套程序）。它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中，蠕虫可以按“指数”速度传染。

计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源，然而也给计算机蠕虫带来了更为有利的生存和传播的环境。蠕虫侵入计算机网络，可以导致计算机网络效率急刷下降、系统资源遭到严重破坏，短时间内造成网格系统的瘫痪。蠕虫具有病毒的一些共性，如传播性、隐蔽性和破坏性等。

蠕虫不同于其他的病毒，如不利用文件寄生（没有宿主程序），在IP网络中利用系统的漏洞进行扫描和入侵，导致网络被阻塞，以及和黑客技术相结合对网络进行攻击等。不同于病毒木马需要攻击者主动传播，蠕虫主要是努力通过各种途径将自身或变种传播到其他的计算机系统中。

计算机病毒是人为制造的，有破坏性，又有传染性和潜伏性的，对计算机信息或系统起破坏作用的程序。它不是独立存在的，而是隐蔽在其他可执行的程序之中。计算机中病毒后，轻则影响机器运行速度，重则死机系统破坏；因此，病毒给用户带来很大的损失，通常情况下，我们称这种具有破坏作用的程序为计算机病毒。 

计算机病毒按存在的媒体分类可分为引导型病毒、文件型病毒和混合型病毒3种；按链接方式分类可分为源码型病毒、嵌入型病毒和操作系统型病毒等3种；按计算机病毒攻击的系统分类分为攻击DOS系统病毒，攻击Windows系统病毒，攻击UNIX系统的病毒。如今的计算机病毒正在不断的推陈出新，其中包括一些独特的新型病毒暂时无法按照常规的类型进行分类，如互联网病毒（通过网络进行传播，一些携带病毒的数据越来越多）、电子邮件病毒等。 

计算机病毒被公认为数据安全的头号大敌，从1987年电脑病毒受到世界范围内的普遍重视，我国也于1989年首次发现电脑病毒。目前，新型病毒正向更具破坏性、更加隐秘、感染率更高、传播速度更快等方向发展。因此，必须深入学习电脑病毒的基本常识，加强对电脑病毒的防范

防病毒软件可识别恶意软件并保护我们的计算机免受恶意软件侵害。安装来自信誉良好的供应商的防病毒软件是预防和检测感染的重要步骤。始终直接访问供应商网站，而不是点击广告或电子邮件链接。由于攻击者不断地制造新病毒和其他形式的恶意代码，因此保持我们使用的防病毒软件保持最新非常重要。

在使用电子邮件和网络浏览器时采取适当的预防措施以降低感染风险。警惕未经请求的电子邮件附件，并在单击电子邮件链接时小心谨慎，即使它们貌似来自我们认识的人。

弹出窗口阻止程序禁用可能包含恶意代码的窗口。大多数浏览器都有一个免费功能，可以启用它来阻止弹出广告。

浏览网页时，使用权限有限的账户是一种很好的安全做法。如果我们确实受到感染，受限权限可防止恶意代码传播并升级到管理账户。

禁用自动运行和自动播放功能可防止感染恶意代码的外部媒体在我们的计算机上自动运行。

如果我们认为我们的计算机受到感染，应该及时更改我们的密码(口令)。这包括可能已缓存在我们的网络浏览器中的任何网站密码。创建和使用强密码，使攻击者难以猜测。

在我们的计算机上安装软件补丁，这样攻击者就不会利用已知漏洞。如果可用，请考虑启用自动更新。

定期将我们的文档、照片和重要电子邮件备份到云或外部硬盘驱动器。如果发生感染，我们的信息不会丢失。

防火墙可以通过在恶意流量进入我们的计算机之前阻止它来防止某些类型的感染。一些操作系统包括防火墙;如果我们使用的操作系统包含一个防火墙，请启用它。

参考文献

[1] 慈庆玉，基于 Windows 环境的计算机病毒防治技术研究及其检测设计，[学位论文]，西南交通 大学，2005@TOC