【正文】 ，不僅使企業(yè)和用戶蒙受了巨大的經(jīng)濟損失，而且使國家的安全面臨著嚴重威脅。隨著計算機的網(wǎng)絡化程度逐步提高，網(wǎng)絡傳播的惡意代碼對人們日常生活影響越來越大。 ? 2023 年， SLammer 蠕蟲在 10 分鐘內導致互聯(lián)網(wǎng) 90％脆弱主機受到感染。特別是過去 5 年，不斷涌現(xiàn)的惡意代碼，證實了這一點?；ヂ?lián)網(wǎng)具有開放性的特點，缺乏中心控制和全局視圖能力，無法保證網(wǎng)絡主機都處于統(tǒng)一的保護之中。 ? 它包括計算機病毒 (Computer Virus)、蠕蟲 (Worms)、特洛伊木馬 (Trojan Horse)、邏輯炸彈 (Logic Bombs)、病菌 (Bacteria)、用戶級 RootKit、核心級 RootKit、腳本惡意代碼 (Malicious Scripts)和惡意 ActiveX 控件等。 ? Computer Viruses 計算機病毒 ? Computer Worms 計算機蠕蟲 ? Trojan Horses 特洛伊木馬 ? Logic Bombs 邏輯炸彈 ? Spyware 間諜軟件 ? Adware 廣告軟件 ? Spam 垃圾郵件 ? Popups 彈出 ? 間諜軟件（ Spyware） ? 間諜軟件是一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件。良性垃圾郵件是各種宣傳廣告等對收件人影響不大的信息郵件。 ? ②維持或提升現(xiàn)有特權。 ? ⑥重復①至⑤對新的目標實施攻擊過程?！?1575”計算機病毒采用該方法將堆棧指針指向處于中斷向量表中的INT 0至 INT 3區(qū)域，阻止調試工具對其代碼進行跟蹤。 偽指令法系指在指令流中插入“廢指令”，使靜態(tài)反匯編無法得到全部正常的指令，不能有效地進行靜態(tài)分析。此外，“中國炸彈” (Chinese bomb)和“幽靈病毒”也是這一類惡意代碼?！岸鄳B(tài)性發(fā)生器”可將普通病毒編譯成復雜多變的多態(tài)性病毒。比如惡意代碼“ WinEggDropShell”可以注入 Windows 下的大部分服務程序。例如，特洛伊木馬“ Executor”利用 80 端口傳遞控制信息和數(shù)據(jù)，實現(xiàn)其遠程控制的目的?！盎银澴印眲t是這項技術的集大成者，它內置 FTP、域名、服務端主動連接這 3 種服務端在線通知功能。 ? 網(wǎng)絡隱藏主要包括：通信內容隱藏和傳輸通道隱藏。 （ 5） RootKit 隱蔽。 （ 3）網(wǎng)絡連接隱蔽 ? 借用現(xiàn)有的服務端口實現(xiàn)網(wǎng)絡連接隱蔽 （ 4）編譯器隱蔽 此種惡意代碼的植入者是編譯器開發(fā)人員，主要思路如下： 修改編譯器源代碼 A，植入惡意代碼，包括針對特定程序的惡意代碼和針對編譯器的惡意代碼。 ? 內核模式下的 RootKit直接修改底層系統(tǒng)功能，如系統(tǒng)服務調用表，使自己的系統(tǒng)服務調用函數(shù)替代原來的函數(shù)，或者修改一些系統(tǒng)內部數(shù)據(jù)結構比如活動進程鏈表等，從而可以更加可靠的隱藏自己。隱蔽通道分為兩種類型：存儲隱蔽通道和時間隱蔽通道。實現(xiàn)了主體功能模塊的蠕蟲能夠完成復制傳播流程，而包含輔助功能模塊的蠕蟲程序則具有更強的生存能力和破壞能力 1. 主體功能模塊 ? 主體功能模塊由四個模塊構成：①信息搜集模塊。該模塊用于摧毀或破壞被感染主機，破壞網(wǎng)絡正常運行，在被感染主機上留下后門等；③信息通信模塊。用戶通過更新特征文件更新掃描軟件，查找最新的惡意代碼版本。將文件正常狀態(tài)的校驗和寫入文件本身中，每當應用程序啟動時，比較現(xiàn)行校驗和與原始校驗和，實現(xiàn)應用程序的自我檢測功能。同樣，這些程序的運行也不能影響操作系統(tǒng)的正常運行，操作系統(tǒng)與驅動程序也存活在自己的“沙箱”之中。 1. 基于 GrIDS的惡意代碼檢測 ? 著名的 GrIDS 主要針對大規(guī)模網(wǎng)絡攻擊和自動化入侵設計的，它收集計算機和網(wǎng)絡活動的數(shù)據(jù)以及它們之間的連接，在預先定義的模式庫的驅動下，將這些數(shù)據(jù)構建成網(wǎng)絡活動行為來表征網(wǎng)絡活動結構上的因果關系。 Spitzner首次運用 HoneyPot防御惡意代碼攻擊。作為研究的重點，介紹了蠕蟲的定義以及流行蠕蟲的結構，最后指出了惡意代碼的防范方法。 ? 3. 早期惡意代碼的主要形式是 ___________。 ? 6. 簡述惡意代碼如何實現(xiàn)攻擊技術。 23:19:3623:19:3623:19Wednesday, March 8, 2023 ? 1乍見翻疑夢，相悲各問年。 23:19:3623:19:3623:193/8/2023 11:19:36 PM ? 1成功就是日復一日那一點點小小努力的積累。 下午 11時 19分 36秒 下午 11時 19分 23:19: ? 楊柳散和風，青山澹吾慮。 2023年 3月 下午 11時 19分 :19March 8, 2023 ? 1業(yè)余生活要有意義，不要越軌。 23:19:3623:19:3623:19Wednesday, March 8, 2023 ? 1知人者智，自知者明。 2023年 3月 8日星期三 下午 11時 19分 36秒 23:19: ? 1楚塞三湘接，荊門九派通。 2023年 3月 下午 11時 19分 :19March 8, 2023 ? 1行動出成果，工作出財富。 ? 靜夜四無鄰，荒居舊業(yè)貧。 本章習題 ? 三、簡答題 ? 1. 簡述研究惡意代碼的必要性。 ? A. 利用操作系統(tǒng)脆弱性 B. 利用系統(tǒng)后門 ? C. 利用郵件系統(tǒng)的脆弱性 D. 利用緩沖區(qū)溢出的脆弱性 ? 4. 下面是惡意代碼生存技術是 ___________。 CCDC 能夠實現(xiàn)對大規(guī)模惡意代碼入侵的預警、防御和阻斷。 ? DED負責捕獲流經(jīng)網(wǎng)絡出入口的所有數(shù)據(jù)包，根據(jù) CMS提供的特征串或規(guī)則表達式對數(shù)據(jù)包進行掃描匹配并把結果傳遞給 RTP；CMS負責從后臺的 MYSQL數(shù)據(jù)庫中讀取已經(jīng)存在的惡意代碼特征，編譯綜合成 DED設備可以利用特征串或規(guī)則表達式； RTP根據(jù)匹配結果決定 DED采取何種操作。沒有足夠的權限，惡意代碼不可能實現(xiàn)其預定的惡意目標，或者僅能夠實現(xiàn)其部分惡意目標。即使發(fā)現(xiàn)惡意代碼造成了文件的改變，校驗和法也無法將惡意代碼消除，也不能判斷究竟被那種惡意代碼感染。未被惡意代碼感染的系統(tǒng)首先會生成檢測數(shù)據(jù)，然后周期性地使用校驗和法檢測文件的改變情況。 惡意代碼防范方法 ? 目前，惡意代碼防范方法主要分為兩方面：基于主機的惡意代碼防范方法和基于網(wǎng)絡的惡意代碼防范方法。該模塊可以采用各種形式生成各種形態(tài)的蠕蟲副本，在不同主機間完成蠕蟲副本傳遞。在網(wǎng)絡環(huán)境下，多樣化的傳播途徑和復雜的應用環(huán)境使網(wǎng)絡蠕蟲的發(fā)生頻率增高、潛伏性變強、覆蓋面更廣，網(wǎng)絡蠕蟲成為惡意代碼研究中重中之重。 ? 使用加密算法對所傳輸?shù)膬热葸M行加密能夠隱蔽通信內容。 （ 5） RootKit 隱蔽 ? 用戶模式的 RootKit和內核模式下的 RootKit。 4. 惡意代碼可以將文件放在引導扇區(qū)中避免一般合法用戶發(fā)現(xiàn)。 本地隱藏包括 5個方面 （ 1）文件隱蔽。例如，“紅色代碼”利用 IIS Server 上 Indexing Service 的緩沖區(qū)溢出漏洞完成攻擊、傳播和破壞等惡意目的。 5. 端口反向連接技術 ? 防火墻對于外部網(wǎng)絡進入內部網(wǎng)絡的數(shù)據(jù)流有嚴格的訪問控制策略，但對于從內網(wǎng)到外網(wǎng)的數(shù)據(jù)卻疏于防范。守護線程注入其它可執(zhí)行文件內，與惡意代碼進程同步，一旦進程被停止，它就會重新啟動該進程，并向主線程提供必要的數(shù)據(jù)，這樣就能保證惡意代碼運行的可持續(xù)性。 1. 進程注入技術 ? 當前操作系統(tǒng)中都有 系統(tǒng)服務和網(wǎng)絡服務 ，它們都在系統(tǒng)啟動時自動加載。 （ 4）偽指令技術對惡意代碼程序體中插入無效指令，如空指令等。從加密的內容上劃分，加密手段分為信息加密、數(shù)據(jù)加密和程序代碼加密 三種。 （ 4）其它反跟蹤技術。 ? 反跟蹤技術可以減少被發(fā)現(xiàn)的可能性，加密技術是惡意代碼