【正文】 好地控制蠕蟲行為；④遠(yuǎn)程控制模塊。 基于主機(jī)的惡意代碼防范方法 ? 主要包括：基于特征的掃描技術(shù)、校驗(yàn)和、沙箱技術(shù)和安全操作系統(tǒng)對惡意代碼的防范，等等。這種技術(shù)廣泛地應(yīng)用于目前的反病毒引擎中 惡意代碼防范工作流程 基于特征的掃描技術(shù)主要存在兩個(gè)方面的問題 ? ①它是一種特征匹配算法，對于加密、變形和未知的惡意代碼不能很好地處理； ? ②需要用戶不斷升級(jí)更新檢測引擎和特征數(shù)據(jù)庫，不能預(yù)警惡意代碼入侵，只能做事后處理。運(yùn)用校驗(yàn)和法檢查惡意代碼有 3 種方法： ? （ 1）在惡意代碼檢測軟件中設(shè)置校驗(yàn)和法。 ? （ 3）將校驗(yàn)和程序常駐內(nèi)存。 ? 其次，惡意代碼可以采用多種手段欺騙校驗(yàn)和法，使之認(rèn)為文件沒有改變。美國加州大學(xué) Berkeley 實(shí)驗(yàn)室開發(fā)了基于 Solaris 操作系統(tǒng)的沙箱系統(tǒng)，應(yīng)用程序經(jīng)過系統(tǒng)底層調(diào)用解釋執(zhí)行，系統(tǒng)自動(dòng)判斷應(yīng)用程序調(diào)用的底層函數(shù)是否符合系統(tǒng)的安全要求，并決定是否執(zhí)行。 基于網(wǎng)絡(luò)的惡意代碼防范方法 ? 由于惡意代碼具有相當(dāng)?shù)膹?fù)雜性和行為不確定性，惡意代碼的防范需要多種技術(shù)綜合應(yīng)用，包括惡意代碼監(jiān)測與預(yù)警、惡意代碼傳播抑制、惡意代碼漏洞自動(dòng)修復(fù)、惡意代碼阻斷等。它通過建立和分析節(jié)點(diǎn)間的行為圖（ Activity Graph），通過與預(yù)定義的行為模式圖進(jìn)行匹配，檢測惡意代碼是否存在，是當(dāng)前檢測分布式惡意代碼入侵有效的工具。惡意代碼大規(guī)模入侵時(shí)，系統(tǒng)管理員首先把該惡意代碼的特征添加到 CMS的特征數(shù)據(jù)庫中， DED掃描到相應(yīng)特征才會(huì)請求 RTP做出放行還是阻斷等響應(yīng)。 HoneyPot之間可以相互共享捕獲的數(shù)據(jù)信息，采用 NIDS的規(guī)則生成器產(chǎn)生惡意代碼的匹配規(guī)則，當(dāng)惡意代碼根據(jù)一定的掃描策略掃描存在漏洞主機(jī)的地址空間時(shí)，HoneyPots可以捕獲惡意代碼掃描攻擊的數(shù)據(jù)，然后采用特征匹配來判斷是否有惡意代碼攻擊。但 CCDC也存在一些問題：① CCDC是一個(gè)規(guī)模龐大的防范體系，要考慮體系運(yùn)轉(zhuǎn)的代價(jià)；②由于 CCDC體系的開放性， CCDC自身的安全問題不容忽視；③在 CCDC 防范體系中，攻擊者能夠監(jiān)測惡意代碼攻擊的全過程，深入理解 CCDC防范惡意代碼的工作機(jī)制，因此可能導(dǎo)致突破 CCDC 防范體系的惡意代碼出現(xiàn)。 本章習(xí)題 ? 一、選擇題 ? 1. 黑客們在編寫編寫擾亂社會(huì)和他人的計(jì)算機(jī)程序，這些代碼統(tǒng)稱為 ___________。 ? A. 加密技術(shù) B. 三線程技術(shù) ? C. 模糊變換技術(shù) D. 本地隱藏技術(shù) ? 5. 下面不屬于惡意代碼攻擊技術(shù)是 ___________。 ? 4. 隱藏通常包括本地隱藏和通信隱藏，其中本地隱藏主要有文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏、編譯器隱藏等。 ? 2. 簡述惡意代碼長期存在的原因。 ? 7. 簡述惡意代碼如何實(shí)現(xiàn)隱藏技術(shù)。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 :19:3623:19:36March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 2023年 3月 8日星期三 11時(shí) 19分 36秒 23:19:368 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 :19:3623:19Mar238Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 。 , March 8, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。勝人者有力，自勝者強(qiáng)。 2023年 3月 8日星期三 11時(shí) 19分 36秒 23:19:368 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 2023年 3月 8日星期三 下午 11時(shí) 19分 36秒 23:19: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 :19:3623:19Mar238Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯(cuò)兒。 2023年 3月 8日星期三 11時(shí) 19分 36秒 23:19:368 March 2023 ? 1空山新雨后，天氣晚來秋。 :19:3623:19:36March 8, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 , March 8, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 。 :19:3623:19Mar238Mar23 ? 1故人江海別，幾度隔山川。 ? 9. 簡述目前惡意代碼的防范方法。 ? 5. 簡述惡意代碼的生存技術(shù)是如何實(shí)現(xiàn)的。 ? 5. 網(wǎng)絡(luò)蠕蟲的功能模塊可以分為 ___________和 ___________。 ? 2. 惡意代碼 80 年代發(fā)展至今體現(xiàn)出來的 3個(gè)主要特征：___________、 ___________和從病毒到電子郵件蠕蟲，再到利用系統(tǒng)漏洞主動(dòng)攻擊的惡意代碼。 ? A. 60% B. 70% ? C. 80% D. 90％ ? 3. 造成廣泛影響的 1988年 Morris蠕蟲事件，就是 ___________作為其入侵的最初突破點(diǎn)的。介紹了惡意代碼的實(shí)現(xiàn)機(jī)理，重點(diǎn)介紹了實(shí)現(xiàn)的關(guān)鍵技術(shù)：惡意代碼的生存技術(shù)、惡意代碼攻擊技術(shù)以及惡意代碼的隱藏技術(shù)。防范惡意代碼的 CCDC體系實(shí)現(xiàn)以下功能：①鑒別惡意代碼的爆發(fā)期；②惡意代碼樣本特征分析；③惡意代碼傳染對抗；④惡意代碼新的傳染途徑預(yù)測；⑤前攝性惡意代碼對抗工具研究；⑥對抗未來惡意代碼的威脅。ReVirt是能夠檢測網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)異常行為的HoneyPot系統(tǒng)。該系統(tǒng)由三個(gè)相互內(nèi)聯(lián)部件 DED（ Data Enabling Device）、 CMS（ Content Matching Server）和 RTP（ Regional Transaction Processor）組成。 ? 其中常見的惡意代碼檢測防御包括：基于GrIDS的惡意代碼檢測、基于 PLD硬件的檢測防御、基于 HoneyPot的檢測防御和基于 CCDC的檢測防御。無論哪種惡意代碼，無論要達(dá)到何種惡意目的，都必須具有相應(yīng)的權(quán)限。每個(gè)應(yīng)用程序都運(yùn)行在自己的且受保護(hù)的“沙箱”之中，不能影響其它程序的運(yùn)行。 校驗(yàn)和兩個(gè)缺點(diǎn) ? 校驗(yàn)和可以檢測未知惡意代碼對文件的修改，但也有兩個(gè)缺點(diǎn)： ? 首先，校驗(yàn)和法實(shí)際上不能檢測文件是否被惡意代碼感染，它只是查找變化。 ? （ 2）在應(yīng)用程序中嵌入校驗(yàn)和法。只要文件內(nèi)部有一個(gè)比特發(fā)生了變化，校驗(yàn)和值就會(huì)改變。掃描程序工作之前，必須先建立惡意代碼的特征文件，根據(jù)特征文件中的特征串，在掃描文件中進(jìn)行匹配查找。該模塊可以使蠕蟲編寫者隨時(shí)更新其它模塊的功能，從而實(shí)現(xiàn)不同的攻擊目的。包括對蠕蟲各個(gè)實(shí)體組成部分的隱藏、變形、加密以及進(jìn)程的隱藏，主要提高蠕蟲的生存能力；②宿主破壞模塊。該模塊利用②獲得的安全漏洞，建立傳播途徑，該模塊在攻擊方法上是開放的、可擴(kuò)充的；④自我推進(jìn)模塊。 蠕蟲的結(jié)構(gòu) ? 網(wǎng)絡(luò)蠕蟲的功能模塊可以分為主體功能模塊和輔助功能模塊。 網(wǎng)絡(luò)蠕蟲 ? 隨著網(wǎng)絡(luò)系統(tǒng)應(yīng)用及復(fù)雜性的增加，網(wǎng)絡(luò)蠕蟲成為網(wǎng)絡(luò)系統(tǒng)安全的重要威脅。美國國防部可信操作系統(tǒng)評測標(biāo)準(zhǔn)對隱蔽通道進(jìn)行了如下定義： ? 隱蔽通道是允許進(jìn)程違反系統(tǒng)安全策略傳輸信息的通道。那種使用傳統(tǒng)通信模式的惡意代碼客戶端與服務(wù)端之間的會(huì)話已不能逃避上述安全措施的檢測，惡意代碼需要使用更加隱蔽的通信方式。例如，修改 ，使之不能顯示惡意代碼使用的網(wǎng)絡(luò)連接。 刪除 B,保留 D和 A，將 D和 A同時(shí)發(fā)布。 ? 也可以借助 RootKit技術(shù)實(shí)現(xiàn)進(jìn)程隱藏。 3. 對硬盤進(jìn)行低級(jí)操作，將一些扇區(qū)標(biāo)志為壞塊，將文件隱藏在這些位置。 （ 4）編譯器隱蔽。 隱蔽手段 ? 隱蔽手段主要有三類： ? 一類方法是將惡意代碼隱蔽（附著、捆綁或替換）在合法程序中，可以避過簡單管理命令的檢查； ? 另一類方法是如果惡意代碼能夠修改或替換相應(yīng)的管理命令，也就是把相應(yīng)管理命令惡意代碼化，使