简析恶意代码特征及防范措施.docVIP

简析恶意代码特征及防范措施 　　摘 要：在计算机网络飞速发展的今天也给其安全性带来了新的挑战。在Internet安全事件中恶意代码造成的损失所占比重最大。目前，恶意代码问题已成为全球信息安全需要解决的，迫在眉睫的安全问题。本文将简析恶意代码的特征并针对其特征提出几点防范措施。 　　关键词：恶意代码防范措施 　　中图分类号：TP335+.2文献标识码：A 　　 “恶意代码”通俗来讲是指凡是自身可执行恶意任务，并能破坏目标系统的代码。具体可分为计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等几类。 　　每类恶意软件所表现出的特征通常都非常类似，以下将从几个方面说明恶意软件的一些典型特征。 1、攻击环境组件：一般情况下，恶意代码在攻击宿主系统时所需的组件包括：宿主系统、运行平台和攻击目标三个。2、携带者对象：如??恶意代码是病毒，它会试图将携带者对象作为攻击对象（也称为宿主）。可使用的目标携带者对象数量和类型因恶意软件的不同而不同，最常见的恶意代码目标携带者包括：可执行文件、脚本和控件、宏、启动扇区和内存等。 　　3、传播途径：在恶意代码传播中主要存在：可移动媒体、网络共享、网络扫描、对等（P2P）网络、电子邮件和安全漏洞几种途经。4、入侵和攻击方式：一旦恶意软件通过传输到达了宿主计算机，它通常会执行相应的入侵和攻击，在专业上称之为“负载”操作。入侵和攻击方式可以有许多类型，通常包括：后门非法访问、破坏或删除数据、信息窃取、拒绝服务（DOS）和分布式拒绝服务（DDOS）等。5、触发机制：恶意软件使用此机制启动复制或负载传递。典型的触发机制包括：手动执行、社会工程、半自动执、自动执行、定时炸弹和条件执行等几种。6、防护机制：恶意软件要实现他们的目的，当然首要要做的就是先保护好自己不被用户发现，所采取了许多防护措施包括：装甲、窃取、加密、寡态和多态等几种方式。 　　下面简单介绍几种防范措施： 　　一、木马的手工检测、清除与防范措施 　　手工检测木马的方法有多种，但通常可采用以下几种方式： 　　查看开放端口：通常使用一些专门的工具软件进行，如Windows系统自带的netstat命 　　令；还有一款Fport软件，与netstat工具类似，但功能更加强大，是一款非常流行的端口检测软件；还有图形化界面工具Active Ports，则是一款可以在图形界面中操作的端口检测软件。 　　2、查看win.ini和system.ini系统配置文件因为木马程序会经常修改win.ini和system.ini这两个文件，以达到隐藏、并随系统启动而自动启动的目的，所以我们通过查看这两个文件是否有被修改过来判别是否中了木马。当然也并不是所有木马程序都会修改这两个文件，而且要想从这两个文件中发现是否被修改也是有相当难度的，至少要知道相应木马修改这两个文件的一般特征，才能有针对性地去查看。 　　3、查看启动程序和系统进程要查看系统启动文件，可以通过系统配置程序进行，在“运行”窗口输入msconfig命令，在打开的对话框中选择“启动”选项卡查看系统进程 。通常也可以通过查看系统进程来推断木马是否存在，只是由于我们不是对所有正常进程的名称和用途完全了解，所以难以区分哪个进程是木马程序进程而已。 　　4、木马的软件自动清除和端口关闭方法 　　对于已发现的木马程序我们可以通过上述方法进行清除，但对于未发现的木马，则需要通过专门的木马清除工具软件来进行了，如杀毒软件、木马专杀工具等。另外，为了使那些已知使用特定端口的木马，我们可以采取关闭所使用的端口，这样可以达到预防木马入侵的目的。关闭端口的常用方法包括：利用“本地安全策略”关闭端口和利用“本地连接”属性关闭端口两种。 　　二、拒绝IE浏览器中的恶意代码 　　1、IE浏览器Internet安全选项设置一般恶意网页都是因为加入了编写的恶意代码才有破坏力的。这些恶意代码通常是一些VBScript、JavaScript脚本和ActiveX控件之类的小程序，只要打开含有这类代码的网页就会被运行。为了避免攻击，我们必须禁止包含这类恶意代码的网页被打开，办法就是在浏览器中进行相应的安全设置。2、IE浏览器本地Intranet安全选项设置除了设定本地Intranet、受信任的站点、受限制的站点的安全级别外，每台主机本身的安全性也是非常重要的，可微软的IE中并没有提供“我的电脑”安全性设定。其实是有的，只不过微软通常情况下是把它隐藏了，可以通过修改注册表把该选项打开，再进行其相应的设置。 　　三、网络蠕虫的深度防护 　　由于网络蠕虫和计算机病毒都具有传染性和复制功能，导致二者之间很难区分。尤其是目前，越来