恶意代码的分析与防治的研究.doc

PAGE PAGE 1 目 录 恶意代码概述 1.1恶意代码的概念2 1.2恶意代码的发展史2 1.3恶意代码的特征3 1.4恶意代码传播途径3 1.5感染恶意代码的症状4 典型恶意代码 2.1传统计算机病毒8 2.2蠕虫8 2.3特洛伊木马8 2.4恶意脚本9 2.5流氓软件9 2.6逻辑炸弹10 2.7后门10 2.8僵尸网络11 2.9网络钓鱼12 3. 恶意代码分析方法 3.1 静态分析方法13 3.2动态分析方法13 4.恶意代码防范 4.1恶意代码的检测14 4.2恶意代码的防治手段 4.2.1基于主机的恶意代码检测方法15 4.2.1基于网络的恶意代码检测方法15 1.恶意代码概述 1.1恶意代码的概念 定义一：恶意代码又称恶意软件。这些软件也可称为广告软件（adware）、间谍软件（spyware）、恶意共享软件（malicious shareware）。是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。与病毒或蠕虫不同，这些软件很多不是小团体或者个人秘密地编写和散播，反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。 定义二：恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒（简称病毒）、特洛伊木马（简称木马）、计算机蠕虫（简称蠕虫）、后门、逻辑炸弹等。 具有如下共同特征： （1） 恶意的目的 （2） 本身是计算机程序 （3） 通过执行发生作用 有些恶作剧程序或者游戏程序不能看作是恶意代码。对滤过性病毒的特征进行讨论的文献很多，尽管它们数量很多，但是机理比较近似，在防病毒程序的防护范围之内，更值得注意的是非滤过性病毒。 1.2恶意代码的发展史 恶意代码经过20多年的发展，其破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。 1988年11月泛滥的Morris蠕虫，顷刻之间使得6000多台计算机(占当时Internet上计算机总数的10%多)瘫痪，造成了严重的后果，并因此引起世界范围内关注。 1998年CIH病毒造成数十万台计算机受到破坏。1999年Happy99、Melissa病毒大爆发，Melissa病毒通过E-mail附件快速传播而使E-mail服务器和网络负载过重，它还将敏感的文档在用户不知情的情况下按地址簿中的地址发出。 2000年5月爆发的“爱虫”病毒及其以后出现的50多个变种病毒，是近年来让计算机信息界付出极大代价的病毒，仅一年时间共感染了4000多万台计算机，造成大约87亿美元的经济损失。 2001午，国信安办与公%安部共同主办乐我国首次计算机病毒疫情网上调查工作。结果感染过计算机病毒的用户高达73%，其中，感染三次以上的用户又占59%多，所以说网络安全存在大量隐患。 2001年8月，“红色代码”蠕虫利用微软Web服务器IIS4.0和5.0中Index服务的安全漏洞，攻破目标机器，并通过自动扫描方式传播蠕虫，这种现象在互联网上大规模泛滥。 2003年，Slammer蠕虫在10分钟内导致互联网90%的脆弱主机受到感染。同年8月，“冲力波”蠕虫爆发，8天内导致全球计算机用户损失高达20亿美元之多。 2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播，给国家和社会造成了巨大的经济损失。 CNCERT/CC提供的数据显示，2006年接收到26476件非扫描类网络安全事件报告，比2005年增长了近两倍，与2005年相比，2006年的网页篡改事件也由8130件增加至24477件(3倍)，网络仿冒事件则由475件增加至563件，网页恶意代码事件由25件增加至320件。 在2007年1月，出现了暴风蠕虫，那时候它还是一种传统的计算机蠕虫病毒。然而仅仅过了不到一年，暴风蠕虫已经成为构建当前流行的大型僵尸网络中的关键一环。 2008年的“扫荡波(Worm.SaodangBo.a.94208)”病毒实为一个新型蠕虫。该病毒造成大量企业用户局域网瘫痪，数十万用户网络崩溃 报告指出，2010年全年，我国互联网上新增病毒750万个，比去年下降56%；新增钓鱼网站175万个，比去年增加1186%；其中，钓鱼网站的受害网民高达4411万人次，损失超过200亿元。 2011年磁碟机、鬼影2、灰鸽子、蝗虫军团、扫荡波依然非常强悍，随着网上购物发展迅速，钓鱼网站也频繁出现，网民要提高警惕了。 1.3恶意代码传播途径 恶意代码编