点），这种针对性充分说明了恶意代码正是利用软件的脆弱性实就是利用
邮件系统的脆弱性作为其入侵的最初突破点的。
11.2 恶意代码机理
1. 恶意代码的相关定义
恶意代码类型 计算机病毒 定义 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏 数据，影响计算机使用，并能自我复制的一组计算机指令或 者程序代码。 指通过计算机网络自我复制，消耗系统资源和网络资源的程 序 指一种与远程计算机建立连接，使远程计算机能够通过网络 控制本地计算机的程序。 指一段嵌入计算机系统程序的，通过特殊的数据或时间作为 条件触发，试图完成一定破坏功能的程序。 指不依赖于系统软件，能够自我复制和传播，以消耗系统资 源为目的的程序。 指通过替代或者修改被系统管理员或普通用户执行的程序进 入系统，从而实现隐藏和创建后门的程序。 特点 潜伏、传染和 破坏 扫描、攻击和扩 散 欺骗、隐蔽和信 息窃取 潜伏和破坏 传染和拒绝服务 隐蔽，潜伏 隐蔽，潜伏
11
第11章 恶意代码检测与防范技术
11.1 11.2
常见的恶意代码 恶意代码机理 恶意代码分析
11.3 11.4
恶意代码预防
11.1 常见的恶意代码
1. 恶意代码概述
代码是指计算机程序代码，可以被执行完成特定功能。任何事 物都有正反两面，人类发明的所有工具既可造福也可作孽，这完全 取决于使用工具的人。
计算机蠕虫 特洛伊木马
逻辑炸弹
病菌 用户级RootKit
核心级RootKit 指嵌入操作系统内核进行隐藏和创建后门的程序
11.1 常见的恶意代码
–2001年，国信安办与公安部共同主办了我国首次计算机病毒 疫情网上调查工作。结果感染过计算机病毒的用户高达63％， 其中感染三次以上的用户占59％多，网络安全存在大量隐患。 –2001年 8 月，“红色代码”蠕虫利用微软 Web 服务器 IIS4.0 或 5.0 中 Index 服务的安全漏洞，攻破目标机器，并通过自 动扫描方式传播蠕虫，在互联网上大规模泛滥。 –2003年，SLammer蠕虫在10 分钟内导致互联网90％脆弱主机 受到感染。同年8月，“冲击波”蠕虫爆发，8天内导致全球 电脑用户损失高达20亿美元之多。 –2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶意 代码利用电子邮件和系统漏洞对网络主机进行疯狂传播，给 国家和社会造成了巨大的经济损失。请见图11.1。
11.1 常见的恶意代码
5. 恶意代码长期存在的原因 （1）计算机技术飞速发展的同时并未使系统的安全性得到增强。 计算机技术进步带来的安全增强能力最多只能弥补由应用环境的复 杂性带来的安全威胁的增长程度。不但如此，计算机新技术的出现 还很有可能使计算机系统的安全变得比以往更加脆弱。
（ 2 ）恶意代码的一个主要特征是其针对性（针对特定的脆弱
11.1 常见的恶意代码
图11.1 恶意代码的发展图示
11.1 常见的恶意代码
4. 恶意代码的主要特征(从80 年代发展至今) 1）恶意代码日趋复杂和完善 从非常简单的，感染游戏的Apple II 病毒发展到复杂的操作系 统内核病毒和今天主动式传播和破坏性极强的蠕虫。恶意代码在快 速传播机制和生存性技术研究取得了很大的成功。 2）恶意代码编制方法及发布速度更快 恶意代码刚出现时发展较慢，但是随着网络飞速发展， Internet 成为恶意代码发布并快速蔓延的平台。特别是过去5 年， 不断涌现的恶意代码，证实了这一点。 3）从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码 恶意代码的早期，大多数攻击行为是由病毒和受感染的可执行 文件引起的。然而，在过去 5 年，利用系统和网络的脆弱性进行传 播和感染开创了恶意代码的新纪元。
11.1 常见的恶意代码
2. 研究恶意代码的必要性 在 Internet 安全事件中，恶意代码造成的经济损失占有最大 的比例。恶意代码主要包括计算机病毒（Virus）、蠕虫(Worm)、 木马程序（ Trojan Horse ）、后门程序（ Backdoor ）、逻辑炸弹 （ Logic Bomb ）等。与此同时，恶意代码成为信息战、网络战的 重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受了 巨大经济损失，而且使国家的安全面临着严重威胁。 恶意代码攻击成为信息战、网络战最重要的入侵手段之一。 一个典型的例子是在电影《独立日》中，美国空军对外星飞船进 行核轰炸没有效果，最后给敌人飞船系统注入恶意代码，使敌人 飞船的保护层失效，从而拯救了地球，从中可以看出恶意代码研 究的重要性。 恶意代码问题已成为信息安全需要解决的、迫在眉睫的、刻 不容缓的问题。
计算机程序也不例外，软件工程师们编写了大量的有用软件 （如操作系统、应用系统和数据库系统等）的同时，黑客们在编写 扰乱社会和他人的计算机程序，这些代码统称为恶意代码 （Malicious Codes）。
90 年代末，恶意代码的定义随着计算机网络技术的发展逐渐 丰富， Grimes 将恶意代码定义为，经过存储介质和网络进行传播， 从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算 机系统完整性的程序或代码。
11.1 常见的恶意代码
3. 恶意代码的发展史 –恶意代码经过 20多年的发展，破坏性、种类和感染性都得到 了增强，对人们日常生活影响越来越大。 –1988 年11月，Morris顷刻之间使得6000多台计算机（占当时 Internet上计算机总数的10%多）瘫痪，造成严重的后果，并 因此引起世界范围内关注。 –1998 年 CIH 病毒造成数十万台计算机受到破坏。 1999 年， Happy 99、Melissa 病毒爆发，Melissa 病毒通过E-mail 附 件快速传播而使 E-mail服务器和网络负载过重，它还将敏感 的文档在用户不知情的情况下按地址簿中的地址发出。 –2000年， “爱虫”病毒及其后出现的 50 多个变种病毒，仅 一年时间共感染了 4000 多万台计算机，造成大约 86 亿美元 的经济损失。