1、简析恶意代码的特征及防范措施摘 要:在计算机网络飞速发展的今天也给其安全性带来了新的挑战。在 Internet 安全事件中恶意代码造成的损失所占比重最大。目前,恶意代码问题已成为全球信息安全需要解决的,迫在眉睫的安全问题。本文将简析恶意代码的特征并针对其特征提出几点防范措施。 关键词:恶意代码防范措施 中图分类号:TP335+.2 文献标识码:A “恶意代码”通俗来讲是指凡是自身可执行恶意任务,并能破坏目标系统的代码。具体可分为计算机病毒(Virus) 、蠕虫(Worm) 、木马程序(Trojan Horse) 、后门程序(Backdoor) 、逻辑炸弹(Logic Bomb)等几类。 每类恶
2、意软件所表现出的特征通常都非常类似,以下将从几个方面说明恶意软件的一些典型特征。 1、攻击环境组件:一般情况下,恶意代码在攻击宿主系统时所需的组件包括:宿主系统、运行平台和攻击目标三个。2、携带者对象:如果恶意代码是病毒,它会试图将携带者对象作为攻击对象(也称为宿主) 。可使用的目标携带者对象数量和类型因恶意软件的不同而不同,最常见的恶意代码目标携带者包括:可执行文件、脚本和控件、宏、启动扇区和内存等。 3、传播途径:在恶意代码传播中主要存在:可移动媒体、网络共享、网络扫描、对等(P2P)网络、电子邮件和安全漏洞几种途经。4、入侵和攻击方式:一旦恶意软件通过传输到达了宿主计算机,它通常会执行相
3、应的入侵和攻击,在专业上称之为“负载”操作。入侵和攻击方式可以有许多类型,通常包括:后门非法访问、破坏或删除数据、信息窃取、拒绝服务(DOS)和分布式拒绝服务(DDOS)等。5、触发机制:恶意软件使用此机制启动复制或负载传递。典型的触发机制包括:手动执行、社会工程、半自动执、自动执行、定时炸弹和条件执行等几种。6、防护机制:恶意软件要实现他们的目的,当然首要要做的就是先保护好自己不被用户发现,所采取了许多防护措施包括:装甲、窃取、加密、寡态和多态等几种方式。 下面简单介绍几种防范措施: 一、木马的手工检测、清除与防范措施 手工检测木马的方法有多种,但通常可采用以下几种方式: 查看开放端口:通常
4、使用一些专门的工具软件进行,如 Windows 系统自带的 netstat 命 令;还有一款 Fport 软件,与 netstat 工具类似,但功能更加强大,是一款非常流行的端口检测软件;还有图形化界面工具 Active Ports,则是一款可以在图形界面中操作的端口检测软件。 2、查看 win.ini 和 system.ini 系统配置文件因为木马程序会经常修改 win.ini 和 system.ini 这两个文件,以达到隐藏、并随系统启动而自动启动的目的,所以我们通过查看这两个文件是否有被修改过来判别是否中了木马。当然也并不是所有木马程序都会修改这两个文件,而且要想从这两个文件中发现是否被
5、修改也是有相当难度的,至少要知道相应木马修改这两个文件的一般特征,才能有针对性地去查看。 3、查看启动程序和系统进程要查看系统启动文件,可以通过系统配置程序进行,在“运行”窗口输入 msconfig 命令,在打开的对话框中选择“启动”选项卡查看系统进程 。通常也可以通过查看系统进程来推断木马是否存在,只是由于我们不是对所有正常进程的名称和用途完全了解,所以难以区分哪个进程是木马程序进程而已。 4、木马的软件自动清除和端口关闭方法 对于已发现的木马程序我们可以通过上述方法进行清除,但对于未发现的木马,则需要通过专门的木马清除工具软件来进行了,如杀毒软件、木马专杀工具等。另外,为了使那些已知使用特
6、定端口的木马,我们可以采取关闭所使用的端口,这样可以达到预防木马入侵的目的。关闭端口的常用方法包括:利用“本地安全策略”关闭端口和利用“本地连接”属性关闭端口两种。 二、拒绝 IE 浏览器中的恶意代码 1、IE 浏览器 Internet 安全选项设置一般恶意网页都是因为加入了编写的恶意代码才有破坏力的。这些恶意代码通常是一些VBScript、JavaScript 脚本和 ActiveX 控件之类的小程序,只要打开含有这类代码的网页就会被运行。为了避免攻击,我们必须禁止包含这类恶意代码的网页被打开,办法就是在浏览器中进行相应的安全设置。2、IE 浏览器本地 Intranet 安全选项设置除了设定
7、本地 Intranet、受信任的站点、受限制的站点的安全级别外,每台主机本身的安全性也是非常重要的,可微软的 IE 中并没有提供“我的电脑”安全性设定。其实是有的,只不过微软通常情况下是把它隐藏了,可以通过修改注册表把该选项打开,再进行其相应的设置。 三、网络蠕虫的深度防护 由于网络蠕虫和计算机病毒都具有传染性和复制功能,导致二者之间很难区分。尤其是目前,越来越多的病毒采取了部分蠕虫的技术。另一方面具有破坏性的蠕虫也采取了部分病毒的技术。目前对蠕虫也给出了新的定义:蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。由此新定义上来
8、说的话,以前一些认为是蠕虫的则只是病毒,尽管它们的名称上都有“蠕虫”二字。如 Happy99 蠕虫病毒等。网络蠕虫是目前危害最大的恶意代码,几乎每次蠕虫发作都会造成巨大的经济损失,自 1998 年以来,几乎每年都有给全时间计算机用户带来巨大损失的典型蠕虫出现。它是目前计算机病毒领域中,危害性最大、最难杜绝和出现频率最高的种类之一。 但如果我们在平常的计算机使用中注意以下一些安全事项,可以在一定程度上预防蠕虫的感染:(一)选择可靠的防毒软件;(二)不要把邮件存放于系统分区;(三)认真的分析邮件:打开邮件前认真的分析邮件特征,如发信人地址,拒收陌生人的邮件,特别是国外的;(四)谨慎使用邮件预览功能:现在一些高危的蠕虫,往往是在进行邮件预览时就感染给系统了;(五) 警惕可执行文件:包括.com、.exe、.bat 和带宏的.doc 文件;6、定期升级病毒库,及时升级系统或应用程序安全补丁。 当然恶意代码随时可能发生,不能真正意义上的杜绝,但我们可以增强网络安全意识,将损失降到最低。 参考文献: 段冬燕;基于主机的恶意代码防范方法;科技信息;2010 年 24 期 武佳宁;网页恶意代码入侵的修复与防范;知识经济;2009 年 15 期 蔡艳辉;计算机病毒及恶意代码防范;内蒙古电力技术;2006 年 54期