恶意代码问题，不仅使企业和用户蒙受了巨大的经济损失，而且 使国家的安全面临着严重威胁。目前国际上一些发达国家(如美国， 德国，日本等国)均已在该领域投入大量资金和人力进行了长期的 研究，并取得了一定的技术成果。据报道，1991年的海湾战争， 美国在伊拉克从第三方国家购买的打印机里植入了可远程控制的 恶意代码，在战争打响前，使伊拉克整个计算机网络管理的雷达 预警系统全部瘫痪，这是美国第一次公开在实战中使用恶意代码 攻击技术取得的重大军事利益。
7.1.1 研究恶意代码的必要性
在Internet安全事件中，恶意代码造成的经济损失占有最大的比 例。恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、 木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹 （Logic Bomb）等等。与此同时，恶意代码成为信息战、网络战 的重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受 了巨大经济损失，而且使国家的安全面临着严重威胁。
2003 年，SLammer 蠕虫在10 分钟内导致互联网90％脆弱主机受 到感染。同年8月，“冲击波”蠕虫爆发，8天内导致全球电脑用 户损失高达20亿美元之多。
2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶意代码 利用电子邮件和系统漏洞对网络主机进行疯狂传播，给国家和社 会造成了巨大的经济损失。
7.1.2 恶意代码的发展史
2001 年，国信安办与公安部共同主办了我国首次计算机病毒疫情 网上调查工作。结果感染过计算机病毒的用户高达73％，其中， 感染三次以上的用户又占59％多，网络安全存在大量隐患。
2001 年8月，“红色代码”蠕虫利用微软Web 服务器IIS 4.0 或 5.0 中Index服务的安全漏洞，攻破目标机器，并通过自动扫描方 式传播蠕虫，在互联网上大规模泛滥。
第7章 恶意代码分析与防治
内容提要
◎ 恶意代码的发展史和恶意代码长 期存在的原因
◎ 恶意代码实现机理、定义以及攻 击方法
◎ 恶意代码生存技术、隐藏技术， 介绍网络蠕虫的定义以及结构
◎ 恶意代码防范方法：基于主机的 检测方法和基于网络的检测方法
Байду номын сангаас
7.1 恶意代码概述
代码是指计算机程序代码，可以被执行完成特 定功能。任何食物事物都有正反两面，人类发 明的所有工具既可造福也可作孽，这完全取决 于使用工具的人。计算机程序也不例外，软件 工程师们编写了大量的有用的软件（操作系统， 应用系统和数据库系统等）的同时，黑客们在 编写编写扰乱社会和他人的计算机程序，这些 代码统称为恶意代码（Malicious Codes）。
7.1.2 恶意代码的发展史
恶意代码经过20多年的发展，破坏性、种类和感染性都得到增强。 随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们 日常生活影响越来越大。
1988 年11 月泛滥的Morris蠕虫，顷刻之间使得6000 多台计算机 （占当时Internet 上计算机总数的10%多）瘫痪，造成严重的后 果，并因此引起世界范围内关注。
恶意代码的发展
目前，恶意代码问题成为信息安全需要解决的，迫在 眉睫的、刻不容缓的安全问题。图7-1显示了过去20 多年主要恶意代码事件。
恶意代码从80 年代发展至今体现 出来的3个主要特征
①恶意代码日趋复杂和完善：从非常简单的，感染游 戏的Apple II 病毒发展到复杂的操作系统内核病毒和 今天主动式传播和破坏性极强的蠕虫。恶意代码在快 速传播机制和生存性技术研究取得了很大的成功。
7.1.3 恶意代码长期存在的原因
计算机技术飞速发展的同时并未使系统的安全性得到增强。技术 进步带来的安全增强能力最多只能弥补由应用环境的复杂性带来 的安全威胁的增长程度。不但如此，计算机新技术的出现还很有 可能使计算机系统的安全变得比以往更加脆弱。
AT&T 实验室的S. Bellovin曾经对美国CERT（Computer Emergency Response Team）提供的安全报告进行过分析，分析 结果表明，大约50%的计算机网络安全问题是由软件工程中产生 的安全缺陷引起的，其中，很多问题的根源都来自于操作系统的 安全脆弱性。互联网的飞速发展为恶意代码的广泛传播提供了有 利的环境。互联网具有开放性的特点，缺乏中心控制和全局视图 能力，无法保证网络主机都处于统一的保护之中。计算机和网络 系统存在设计上的缺陷，这些缺陷会导致安全隐患。
②恶意代码编制方法及发布速度更快：恶意代码刚出 现时发展较慢，但是随着网络飞速发展，Internet 成 为恶意代码发布并快速蔓延的平台。特别是过去5 年， 不断涌现的恶意代码，证实了这一点。
③从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻 击的恶意代码：恶意代码的早期，大多数攻击行为是 由病毒和受感染的可执行文件引起的。然而，在过去5 年，利用系统和网络的脆弱性进行传播和感染开创了 恶意代码的新纪元。
1998 年CIH病毒造成数十万台计算机受到破坏。1999 年Happy 99、Melissa 病毒大爆发，Melissa 病毒通过E-mail 附件快速传播 而使E-mail 服务器和网络负载过重，它还将敏感的文档在用户不 知情的情况下按地址簿中的地址发出。
2000 年5 月爆发的“爱虫”病毒及其以后出现的50 多个变种病 毒，是近年来让计算机信息界付出极大代价的病毒，仅一年时间 共感染了4000 多万台计算机，造成大约87 亿美元的经济损失。
7.1.1 研究恶意代码的必要性
恶意代码攻击成为信息战、网络战最重要的入侵手段 之一。恶意代码问题无论从政治上、经济上，还是军 事上，都成为信息安全面临的首要问题。恶意代码的 机理研究成为解决恶意代码问题的必需途径，只有掌 握当前恶意代码的实现机理，加强对未来恶意代码趋 势的研究，才能在恶意代码问题上取得先决之机。一 个典型的例子是在电影《独立日》中，美国空军对外 星飞船进行核轰炸没有效果，最后给敌人飞船系统注 入恶意代码，使敌人飞船的保护层失效，从而拯救了 地球，从中可以看出恶意代码研究的重要性。