【正文】 自身保護的重要機制。 ? ④潛伏。跟垃圾郵件一樣煩人，且有些具有破壞性。安裝廣告軟件之后，往往造成系統(tǒng)運行緩慢或系統(tǒng)異常。 欺騙、隱蔽和 信息竊取 邏輯炸彈 指一段嵌入計算機系統(tǒng)程序的，通過特殊的數(shù)據(jù)或時間 作為條件觸發(fā)，試圖完成一定破壞功能的程序。隨后， Adleman把病毒定義為一個具有相同性質(zhì)的程序集合，只要程序具有破壞、傳染或模仿的特點，就可認(rèn)為是計算機病毒。技術(shù)進步帶來的安全增強能力最多只能彌補由應(yīng)用環(huán)境的復(fù)雜性帶來的安全威脅的增長程度。圖 71顯示了過去 20 多年主要惡意代碼事件。 ? 2023 年 5 月爆發(fā)的“愛蟲”病毒及其以后出現(xiàn)的 50 多個變種病毒，是近年來讓計算機信息界付出極大代價的病毒，僅一年時間共感染了 4000 多萬臺計算機，造成大約 87 億美元的經(jīng)濟損失。惡意代碼問題無論從政治上、經(jīng)濟上，還是軍事上，都成為信息安全面臨的首要問題。 ? 惡意代碼主要包括計算機病毒（ Virus）、蠕蟲（ Worm）、木馬程序（ Trojan Horse）、后門程序（ Backdoor）、邏輯炸彈（ Logic Bomb）等等。 研究惡意代碼的必要性 ? 在 Inter安全事件中，惡意代碼造成的經(jīng)濟損失占有最大的比例。惡意代碼的機理研究成為解決惡意代碼問題的必需途徑，只有掌握當(dāng)前惡意代碼的實現(xiàn)機理，加強對未來惡意代碼趨勢的研究，才能在惡意代碼問題上取得先決之機。 惡意代碼的發(fā)展史 (自學(xué)了解） ? 2023 年，國信安辦與公安部共同主辦了我國首次計算機病毒疫情網(wǎng)上調(diào)查工作。 惡意代碼從 80 年代發(fā)展至今體現(xiàn)出來的 3個主要特征 ? ①惡意代碼日趨復(fù)雜和完善：從非常簡單的，感染游戲的 Apple II 病毒發(fā)展到復(fù)雜的操作系統(tǒng)內(nèi)核病毒和今天主動式傳播和破壞性極強的蠕蟲。不但如此，計算機新技術(shù)的出現(xiàn)還很有可能使計算機系統(tǒng)的安全變得比以往更加脆弱。這種定義有將病毒內(nèi)涵擴大化的傾向，將任何具有破壞作用的程序都認(rèn)為是病毒，掩蓋了病毒潛伏、傳染等其它重要特征。 潛伏和破壞 病菌 指不依賴于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。此類軟件往往會強制安裝并無法卸載；在后臺收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運行變慢等。 惡意代碼攻擊機制 ? 惡意代碼的行為表現(xiàn)各異，破壞程度千差萬別，但基本作用機制大體相同，其整個作用過程分為 6個部分： ? ①侵入系統(tǒng)。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權(quán)限時，就發(fā)作并進行破壞活動。 1. 反跟蹤技術(shù) ? 惡意代碼采用反跟蹤技術(shù)可以提高自身的偽裝能力和破譯能力，增加檢測與清除的難度。如指令流隊列法和逆指令流法等。 ? 大多數(shù)惡意代碼對程序體自身加密，另有少數(shù)惡意代碼對被感染的文件加密。 （ 5）重編譯技術(shù)采用重編譯技術(shù)的而已代碼中攜帶惡意代碼的源碼，需要自帶編譯器后者操作系統(tǒng)提供編譯器進行重新編譯，這種技術(shù)既實現(xiàn)了變形的目的，也為跨平臺的而已代碼出現(xiàn)打下了基礎(chǔ)。進程注入技術(shù)就是將這些與服務(wù)相關(guān)的可執(zhí)行代碼作為載體，惡意代碼程序?qū)⒆陨砬度氲竭@些可執(zhí)行代碼之中，實現(xiàn)自身隱藏和啟動的目的。例如，“中國黑客”等就是采用這種技術(shù)的惡意代碼。 端口反向連接技術(shù)，系指令惡意代碼攻擊的服務(wù)端（被控制端）主動連接客戶端（控制端）。“尼姆達蠕蟲”利用 IIS ，以及紅色代碼 II 所留下的后門，完成其傳播過程。 （ 2）進程隱蔽。 （ 2）進程隱蔽 ? 惡意代碼可以通過附著或者替換系統(tǒng)進程，使惡意代碼以合法服務(wù)的身份運行，這樣可以很好地隱蔽惡意代碼。 ? 用戶模式的 RootKit修改二進制文件，或者修改內(nèi)存中的一些進程。隱蔽通信內(nèi)容雖然可以保護通信內(nèi)容，但無法隱蔽通信狀態(tài)，因此傳輸信道的隱蔽也具有重要的意義。 網(wǎng)絡(luò)蠕蟲的定義 ? 網(wǎng)絡(luò)蠕蟲是一種智能化、自動化的計算機程序，綜合了網(wǎng)絡(luò)攻擊、密碼學(xué)和計算機病毒等技術(shù)，是一種無需計算機使用者干預(yù)即可運行的攻擊程序或代碼，它會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點。例如“ Nimda”會生成多種文件格式和名稱的蠕蟲副本；“ ”利用系統(tǒng)程序（例如 TFTP）來完成推進模塊的功能等等。 基于主機的惡意代碼防范方法 ? 主要包括：基于特征的掃描技術(shù)、校驗和、沙箱技術(shù)和安全操作系統(tǒng)對惡意代碼的防范，等等。運用校驗和法檢查惡意代碼有 3 種方法： ? （ 1）在惡意代碼檢測軟件中設(shè)置校驗和法。 ? 其次，惡意代碼可以采用多種手段欺騙校驗和法，使之認(rèn)為文件沒有改變。 基于網(wǎng)絡(luò)的惡意代碼防范方法 ? 由于惡意代碼具有相當(dāng)?shù)膹?fù)雜性和行為不確定性，惡意代碼的防范需要多種技術(shù)綜合應(yīng)用，包括惡意代碼監(jiān)測與預(yù)警、惡意代碼傳播抑制、惡意代碼漏洞自動修復(fù)、惡意代碼阻斷等。惡意代碼大規(guī)模入侵時，系統(tǒng)管理員首先把該惡意代碼的特征添加到 CMS的特征數(shù)據(jù)庫中， DED掃描到相應(yīng)特征才會請求 RTP做出放行還是阻斷等響應(yīng)。但 CCDC也存在一些問題：① CCDC是一個規(guī)模龐大的防范體系，要考慮體系運轉(zhuǎn)的代價；②由于 CCDC體系的開放性， CCDC自身的安全問題不容忽視；③在 CCDC 防范體系中，攻擊者能夠監(jiān)測惡意代碼攻擊的全過程，深入理解 CCDC防范惡意代碼的工作機制，因此可能導(dǎo)致突破 CCDC 防范體系的惡意代碼出現(xiàn)。 ? A. 加密技術(shù) B. 三線程技術(shù) ? C. 模糊變換技術(shù) D. 本地隱藏技術(shù) ? 5. 下面不屬于惡意代碼攻擊技術(shù)是 ___________。 ? 2. 簡述惡意代碼長期存在的原因。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 2023年 3月 8日星期三 11時 19分 36秒 23:19:368 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 。勝人者有力，自勝者強。 2023年 3月 8日星期三 下午 11時 19分 36秒 23:19: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 3月 8日星期三 11時 19分 36秒 23:19:368 March 2023 ? 1空山新雨后，天氣晚來秋。 , March 8, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :19:3623:19Mar238Mar23 ? 1故人江海別，幾度隔山川。 ? 5. 簡述惡意代碼的生存技術(shù)是如何實現(xiàn)的。 ? 2. 惡意代碼 80 年代發(fā)展至今體現(xiàn)出來的 3個主要特征：___________、 ___________和從病毒到電子郵件蠕蟲，再到利用系統(tǒng)漏洞主動攻擊的惡意代碼。介紹了惡意代碼的實現(xiàn)機理，重點介紹了實現(xiàn)的關(guān)鍵技術(shù)：惡意代碼的生存技術(shù)、惡意代碼攻擊技術(shù)以及惡意代碼的隱藏技術(shù)。ReVirt是能夠檢測網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)異常行為的HoneyPot系統(tǒng)。 ? 其中常見的惡意代碼檢測防御包括：基于GrIDS的惡意代碼檢測、基于 PLD硬件的檢測防御、基于 HoneyPot的檢測防御和基于 CCDC的檢測防御。每個應(yīng)用程序都運行在自己的且受保護的“沙箱”之中，不能影響其它程序的運行。 ? （ 2）在應(yīng)用程序中嵌入校驗和法。掃描程序工作之前，必須先建立惡意代碼的特征文件，根據(jù)特征文件中的特征串，在掃描文件中進行匹配查找。包括對蠕蟲各個實體組成部分的隱藏、變形、加密以及進程的隱藏，主要提高蠕蟲的生存能力；②宿主破壞模塊。 蠕蟲的結(jié)構(gòu) ? 網(wǎng)絡(luò)蠕蟲的功能模塊可以分為主體功能模塊和輔助功能模塊。美國國防部可信操作系統(tǒng)評測標(biāo)準(zhǔn)對隱蔽通道進行了如下定義： ? 隱蔽通道是允許進程違反系統(tǒng)安全策略傳輸信息的通道。例如，修改 ，使之不能顯示惡意代碼使用的網(wǎng)絡(luò)連接。 ? 也可以借助 RootKit技術(shù)實現(xiàn)進程隱藏。 （ 4）編譯器隱蔽。