第14章惡意代碼與計算機14.1惡意代碼14.2計算機病毒14.3防治措施14.4本章小結習題代碼是指計算機程序代碼，可以被執行完成特定功能。黑客編寫的具有破壞作用的計算機程序，這就是惡意代碼。14.1惡意代碼

14.1.1惡意代碼的概念惡意代碼可以按照兩種分類標準，從兩個角度進行直交分類。一種分類標準是，惡意代碼是否需要宿主，即特定的應用程序、工具程序或系統程序。需要宿主的惡意代碼具有依附性，不能脫離宿主而獨立運行；不需宿主的惡意代碼具有獨立性，可不依賴宿主而獨立運行。另一種分類標準是，惡意代碼是否能夠自我復制。不能自我復制的惡意代碼是不感染的；能夠自我復制的惡意代碼是可感染的。14.1.2惡意代碼的分類表14-1惡意代碼的分類方法分類標準需要宿主無需宿主不能自我復制不感染的依附性惡意代碼不感染的獨立性惡意代碼能夠自我復制可感染的依附性惡意代碼可感染的獨立性惡意代碼表14-2惡意代碼的分類實例類別實例不感染的依附性惡意代碼特洛伊木馬（Trojanhorse）邏輯炸彈（Logicbomb）后門（Backdoor）或陷門（Trapdoor）不感染的獨立性惡意代碼點滴器（Dropper）繁殖器（Generator）惡作劇（Hoax）可感染的依附性惡意代碼病毒（Virus）可感染的獨立性惡意代碼蠕蟲（Worm）細菌（Germ）1.不感染的依附性惡意代碼特洛伊木馬特洛伊木馬是一段能實現有用的或必需的功能的程序，但是同時還完成一些不為人知的功能，這些額外的功能往往是有害的。特洛伊木馬經常偽裝成游戲軟件、搞笑程序、屏保、非法軟件、色情資料等，上載到電子新聞組或通過電子郵件直接傳播，很容易被不知情的用戶接收和繼續傳播。(2)邏輯炸彈邏輯炸彈（Logicbomb）是一段具有破壞性的代碼，事先預置于較大的程序中，等待某扳機事件發生觸發其破壞行為。一旦邏輯炸彈被觸發，就會造成數據或文件的改變或刪除、計算機死機等破壞性事件。(3)后門或陷門后門（backdoor）或陷門（trapdoor）是進入系統或程序的一個秘密入口，它能夠通過識別某種特定的輸入序列或特定賬戶，使訪問者繞過訪問的安全檢查，直接獲得訪問權利，并且通常高于普通用戶的特權。多年來，程序員為了調試和測試程序一直合法地使用后門，但當程序員或他所在的公司另有企圖時，后門就變成了一種威脅。2.不感染的獨立性惡意代碼(1)點滴器點滴器（dropper）是為傳送和安裝其他惡意代碼而設計的程序，它本身不具有直接的感染性和破壞性。點滴器專門對抗反病毒檢測，使用了加密手段，以阻止反病毒程序發現它們。當特定事件出現時，它便啟動，將自身包含的惡意代碼釋放出來。(2)繁殖器繁殖器（generator）是為制造惡意代碼而設計的程序，通過這個程序，把某些已經設計好的惡意代碼模塊按照使用者的選擇組合起來而已，沒有任何創造新惡意代碼的能力。因此，檢測由繁殖器產生的任何病毒都比較容易，只要通過搜索一個字符串，每種組合都可以被發現。(3)惡作劇惡作劇（hoax）是為欺騙使用者而設計的程序，它侮辱使用者或讓其做出不明智的舉動。惡作劇通過“心理破壞”達到“現實破壞”。3.可感染的依附性惡意代碼計算機病毒（viru）是一段附著在其他程序上的可以進行自我繁殖的代碼。由此可見，計算機病毒是既有依附性，又有感染性。4.可感染的獨立性惡意代碼(1)蠕蟲計算機蠕蟲（worm）是一種通過計算機網絡能夠自我復制和擴散的程序。蠕蟲與病毒的區別在于“附著”。蠕蟲不需要宿主，感染的是系統環境（如操作系統或郵件系統）。蠕蟲利用一些網絡工具復制和傳播自身，其中包括：電子郵件蠕蟲會把自身的副本郵寄到其他系統中；遠程執行蠕蟲能夠執行在其他系統中的副本；遠程登錄蠕蟲能夠像用戶一樣登錄到遠程系統中，然后使用系統命令將其自身從一個系統復制到另一個系統中。根據啟動方式可分為幾種。自動啟動蠕蟲（Self-LaunchingWorm）不需要與受害者交互而自動執行，如MorrisWorm；用戶啟動蠕蟲（User-LaunchedWorm）必須由使用者來執行，因此需要一定的偽裝，如CHRISTMAEXEC；混合啟動蠕蟲（Hybrid-LaunchWorm）包含上述兩種啟動方式。(2)細菌計算機細菌（germ）是一種在計算機系統中不斷復制自己的程序。以指數形式膨脹，最終會占用全部的處理器時間和內存或磁盤空間，從而導致計算資源耗盡無法為用戶提供服務。細菌通常發生在多用戶系統和網絡環境中，目的就是占用所有的資源。計算機病毒是一種可感染的依附性惡意代碼。計算機病毒具有純粹意義上的病毒特征外，還帶有其他類型惡意代碼的特征。蠕蟲病毒就是最典型和最常見的惡意代碼，它是蠕蟲和病毒的混合體。14.2計算機病毒《中華人民共和國計算機信息系統安全保護條例》中的定義為：“計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。”14.2.1計算機病毒的概念計算機病毒（簡稱病毒）具有以下特征：（1）傳染性病毒通過各種渠道從已被感染的計算機擴散到未被感染的計算機。所謂“感染”，就是病毒將自身嵌入到合法程序的指令序列中，致使執行合法程序的操作會招致病毒程序的共同執行或以病毒程序的執行取而代之。（2）隱蔽性病毒一般是具有很高編程技巧的、短小精悍的一段代碼，躲在合法程序當中。如果不經過代碼分析，病毒程序與正常程序是不容易區別開來的。（3）潛伏性病毒進入系統之后一般不會馬上發作，默默地進行傳染擴散而不被人發現。病毒的內部有一種觸發機制，一旦觸發條件得到滿足，病毒便開始表現，有的只是在屏幕上顯示信息、圖形或特殊標識，有的則執行破壞系統的操作。觸發條件可能是預定時間或日期、特定數據出現、特定事件發生等。（4）多態性病毒試圖在每一次感染時改變它的形態，使對它的檢測變得更困難。（5）破壞性病毒一旦被觸發而發作就會造成系統或數據的損傷甚至毀滅。病毒的破壞程度主要取決于病毒設計者的目的，如果病毒設計者的目的在于徹底破壞系統及其數據，那么這種病毒對于計算機系統進行攻擊造成的后果是難以想像的，它可以毀掉系統的部分或全部數據并使之無法恢復。計算機病毒主要由潛伏機制、傳染機制和表現機制構成。在程序結構上由實現這3種機制的模塊組成（見圖14.1）。若某程序被定義為計算機病毒，只有傳染機制是強制性的，潛伏機制和表現機制是非強制性的。14.2.2計算機病毒的結構圖14.1計算機病毒程序結構1.潛伏機制潛伏機制的功能包括初始化、隱藏和捕捉。潛伏機制模塊隨著感染的宿主程序的執行進入內存，首先，初始化其運行環境，使病毒相對獨立于宿主程序，為傳染機制做好準備。然后，利用各種可能的隱藏方式，躲避各種檢測，欺騙系統，將自己隱蔽起來。最后，不停地捕捉感染目標交給傳染機制，不停地捕捉觸發條件交給表現機制。2.傳染機制傳染機制的功能包括判斷和感染。傳染機制先是判斷候選感染目標是否已被感染，感染與否通過感染標記來判斷，感染標記是計算機系統可以識別的特定字符或字符串。一旦發現作為候選感染目標的宿主程序中沒有感染標記，就對其進行感染，也就是將病毒代碼和感染標記放入宿主程序之中。3.表現機制表現機制的功能包括判斷和表現。表現機制首先對觸發條件進行判斷，然后根據不同的條件決定什么時候表現、如何表現。表現內容多種多樣，然而不管是炫耀、玩笑、惡作劇，還是故意破壞，或輕或重都具有破壞性。表現機制反映了病毒設計者的意圖，是病毒間差異最大的部分。潛伏機制和傳染機制是為表現機制服務的。防治病毒，“防”是主動的，“治”是被動的。首先要積極地“防”，盡量避免病毒入侵。對于入侵的病毒當然要努力地“治”，以盡量減少和挽回病毒造成的損失，。因此，病毒防治應采取“以防為主、與治結合、互為補充”的策略，不可偏廢任何一方面。14.3防治措施如上所述，病毒防治技術分為“防”和“治”兩部分。“防”毒技術包括預防技術和免疫技術；“治”毒技術包括檢測技術和消除技術。14.3.1病毒防治的技術1.病毒檢測技術病毒檢測就是采用各種檢測方法將病毒識別出來。目前，對已知病毒的識別主要采用特征判定技術，即靜態判定技術，對未知病毒的識別除了特征判定技術外，還有行為判定技術，即動態判定技術。4.病毒消除技術病毒消除的目的是清除受害系統中的病毒，恢復系統的原始無毒狀態。具體來講，就是針對系統中的病毒寄生場所或感染對象進行一一殺毒。有效的病毒防治部署是采用基于網絡的多層次的病毒防御體系。該體系在整個網絡系統的各組成環節處，包括客戶端、服務器、Internet網關和防火墻，設置防線，形成多道防線。即使病毒突破了一道防線，還有第二、第三道防線攔截，因此，能夠有效地遏制病毒在網絡上的擴散。14.3.2病毒防治的部署病毒防治不僅是技術問題，更是社會問題、管理問題和教育問題。要做到以下幾點：建立和健全相應的國家法律和法規；建立和健全相應的管理制度和規章；加強和普及相應的知識宣傳和培訓。14.3.3病毒防治的管理1.病毒防治軟件的類型病毒防治軟件按其查毒殺毒機制可分為以下3種類型：(1)病毒掃描型病毒掃描型軟件采用特征掃描法。這類軟件具有檢測速度快、誤報率低和準確度高的優點，正因為能準確識別已知病毒，所以對被已知病毒感染的程序和數據一般都能恢復。要保證病毒防治的有效性，病毒特征碼庫和掃描引擎必須經常升級。14.3.4病毒防治軟件(2)完整性檢查型完整性檢查型軟件采用比較法和校驗和法，監視觀察對象（包括引導扇區和計算機文件等）的屬性（包括大小、時間、日期和校驗和等）和內容是否發生改變，如果檢測出變化，則觀察對象極有可能已遭病毒感染。(3)行為封鎖型行為封鎖型軟件采用駐留內存在后臺工作的方式，監視可能因病毒引起的異常行為，如果發現異常行為，便及時警告用戶，由用戶決定該行為是否繼續。這類軟件試圖阻止任何病毒的異常行為，因此可以防止新的未知病毒的傳播和破壞。當然，有的“可疑行為”是正常的，所以出現“誤診”總是難免的。2.病毒防治軟件的選購選購病毒防治軟件時，需要注意的指標包括檢測速度、識別率、清除效果、可管理性、操作界面友好性、升級難易度、技術支持水平等諸多方面。(1)檢測速度(2)識別率(3)清除效果惡意代碼是指黑客編寫的擾亂社會和他人甚至起著破壞作用的計算機程序，計算機病毒是惡意代碼中最常見的一種。為了保障計算機系統和網絡的正常運行，有必要懂得惡意代碼與計算機病毒的基本概念、工作原理和防止措施。14.4本章小結惡意代碼按照是否需要宿主和是否能夠自我復制分為4大類：（1）不感染的依附性惡意代碼，包括特洛伊木馬、邏輯炸彈、后門或陷門等。（2）不感染的獨立性惡意代碼，包括點滴器、繁殖器、惡作劇等。（3）可感染的依附性惡意代碼，主要是病毒。（4）可感染的獨立性惡意代碼，包括蠕蟲、細菌等。計算機病毒的基本特征有傳染性、隱蔽性、潛伏性、多態性和破壞性。計算機病毒主要由潛伏機制、傳染機制和表現機制構成。惡意代碼或計算機病毒的防治應采取“以防為主，與治結合，互為補充”的策略，不可偏廢任何一方面。病毒防治技術包括預防技術、免疫技術、檢測技術和消除技術。有效的病毒防治部署采用基于網絡的多層次的病毒防御體系。病毒防治不僅是技術問題，更是社會問題、管理問題和教育問題，應建立和健全相應的國家法律和法規，建立和健全相應的管理制度和規章，加強和普及相應的知識宣傳和培訓。病毒防治軟件按其查毒殺毒機制分為病毒掃描型、完整性檢查型和行為封鎖型。選購病毒防治軟件時，需要注意的指標包括檢測速度、識別率、清除效果、可管理性、操作界面友好性、升級難易度、技術支持水平等諸多方面。14-1畫出下面惡意代碼類別與實例的對應關系。類別A.不感染、依附性B.不感染、獨立性C.可感染、依附性D.可感染、獨立性實例習題a.后門（backdoor）b.點滴器（dropper）c.繁殖器（generator）d.細菌（germ）e.惡作劇（hoax）f.邏輯炸彈（LogicBomb）g.陷門（trapdoor）h.特洛伊木馬（TrojanHorse）i.病毒（virus）j.蠕蟲（worm）14-2計算機病毒有哪些基本特征？14-3計算機病毒主要由（）機制、（）機制和（）機制構成。14-4計算機病毒按連接方式分為（）、（）、（）和（），按破壞性質分為（）和（），按感染方式分為（）、（）和（）。A.良性病毒B.源碼型病毒C.惡性病毒D.嵌入型病毒E.引導型病毒F.外殼型病毒G.文