資源描述:
《目前惡意軟件技術(shù)綜述》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)���。
1����、目前惡意軟件技術(shù)綜述計(jì)算機(jī)科學(xué)與教育軟件網(wǎng)絡(luò)工程092尹韻0923010028摘要:隨著網(wǎng)絡(luò)通訊技術(shù)的飛速發(fā)展,計(jì)算機(jī)已逐漸滲透到人們社會(huì)生活的各個(gè)領(lǐng)域,與此同時(shí)出現(xiàn)的問題是惡意軟件的產(chǎn)生和迅速蔓延使計(jì)算機(jī)系統(tǒng)的安全受到極大的威脅����。隨著惡意軟件采用的新技術(shù)不斷出現(xiàn),計(jì)算機(jī)的防護(hù)手段也不斷更新和發(fā)展。從惡意軟件的定義入手,綜述惡意軟件的特點(diǎn)及其防護(hù)措施����。關(guān)鍵詞:安全,惡意軟件��,攻擊�,防護(hù)。正文:惡意軟件是一個(gè)綜合的名詞���,用來(lái)指代故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒���、蠕蟲和木馬。這些惡意軟件通常來(lái)源于一些惡意網(wǎng)站��,或者從不安全的站點(diǎn)下
2、載游戲或其它程序時(shí)����,往往會(huì)連合惡意程序一并帶入自己的電腦,而用戶本人對(duì)此絲毫不知情�。直到有惡意廣告不斷彈出或色情網(wǎng)站自動(dòng)出現(xiàn)時(shí),用戶才有可能發(fā)覺電腦已“中毒”�。在惡意軟件未被發(fā)現(xiàn)的這段時(shí)間,用戶網(wǎng)上的所有敏感資料都有可能被盜走�,比如銀行帳戶信息,信用卡密碼等等���。其中木馬也叫特洛伊木馬���,它們看上去無(wú)害�,卻包含了破壞運(yùn)行程序系統(tǒng)的隱藏代碼。木馬通過(guò)在其運(yùn)行時(shí)傳遞惡意負(fù)載或任務(wù)達(dá)到目的����。蠕蟲則是使用自行傳播的惡意代碼,它通過(guò)消耗網(wǎng)絡(luò)或者本地系統(tǒng)資源導(dǎo)致拒絕服務(wù)���,除了復(fù)制��,蠕蟲也可能傳遞負(fù)載�����。病毒代碼的明確意圖就是自行復(fù)制���。病毒嘗試將其自
3�����、身附加到宿主程序����,以便在計(jì)算機(jī)之間進(jìn)行傳播�。它可能會(huì)損害硬件、軟件或數(shù)據(jù)����。宿主程序執(zhí)行時(shí),病毒代碼也隨之運(yùn)行����,并會(huì)感染新的宿主,有時(shí)還會(huì)傳遞額外負(fù)載�����。通過(guò)Anubis觀測(cè)到的樣本的文件、注冊(cè)表��、網(wǎng)絡(luò)行為以及僵尸網(wǎng)絡(luò)特征��,來(lái)提取不同來(lái)源的眾多惡意程序的一般性行為�。包括:安裝windows驅(qū)動(dòng)軟件、安裝windows服務(wù)��、修改hosts文件�、新建文件、刪除文件�、修改文件、安裝iebho�����、安裝ie工具條����、顯示圖形窗口��、網(wǎng)絡(luò)通訊�、寫入標(biāo)準(zhǔn)錯(cuò)誤�、寫入標(biāo)準(zhǔn)輸出�、修改注冊(cè)表值、新建注冊(cè)表鍵�����、新建進(jìn)程等等���。詳細(xì)分析新建文件的時(shí)候��,我們發(fā)現(xiàn)這些文件
4��、主要分為兩種類型�����。一種是可執(zhí)行文件�����,典型的原因是惡意程序需要復(fù)制或移動(dòng)它的二進(jìn)制文件到另一個(gè)位置(比如Windows系統(tǒng)文件夾)����,這個(gè)二進(jìn)制文件常常是一個(gè)變異后的新文件。經(jīng)統(tǒng)計(jì)�,37.2%的的樣本會(huì)創(chuàng)建至少一個(gè)可執(zhí)行文件,然而有趣的是��,樣本中只有23.3%(創(chuàng)建可執(zhí)行文件的樣本的62%)選擇Windows目錄或其子目錄作為目標(biāo)文件夾���。一個(gè)很大的比例——15.1%會(huì)在用戶文件夾(DocumentandSettings目錄下)創(chuàng)建可執(zhí)行文件�。這很有趣��,并且我們可以推斷����,今后這種在普通用戶權(quán)限下(不能修改系統(tǒng)文件夾)能夠成功執(zhí)行的惡意程
5、序?qū)⑷找嬖龆唷????第二種類型的文件包括非可執(zhí)行文件�,樣本中有63.8%創(chuàng)建了至少一個(gè)這種文件。這些文件有臨時(shí)文件�、必要的庫(kù)文件(DLLs)和批處理腳本,它們中的多數(shù)在Windows文件夾(所有樣本中的53%)或用戶文件夾(可以在不同位置產(chǎn)生多個(gè)文件的樣本中的61.3%)�����。值得注意的是�����,會(huì)有相當(dāng)數(shù)量的臨時(shí)Internet文件被IE生成(事實(shí)上�,21.3%的樣本的執(zhí)行會(huì)產(chǎn)生至少一個(gè)這樣的文件)。由于IE(更精確地說(shuō)����,ierturil.dll里的導(dǎo)出函數(shù))在下載數(shù)據(jù)時(shí)會(huì)產(chǎn)生這些文件,而惡意程序這經(jīng)常用IE下載額外組件���。而大多數(shù)DLL
6�����、s會(huì)被放入Windows系統(tǒng)文件夾����。除了文件系統(tǒng)行為����,還有注冊(cè)表行為。最常見的就是關(guān)閉windows防火墻����。網(wǎng)絡(luò)行為就比較多了,包括:監(jiān)聽端口��、TCP通訊、UDP通訊�、DNS請(qǐng)求、ICMP通訊���、HTTP通訊�、IRC通訊�����、SMTP通訊����、SSL、地址掃描�、端口掃描。每類惡意軟件可以表現(xiàn)出來(lái)的各種特征通常非常類似���。例如�,病毒和蠕蟲可能都會(huì)使用網(wǎng)絡(luò)作為傳輸機(jī)制�����。然而�,病毒會(huì)尋找文件以進(jìn)行感染,而蠕蟲僅嘗試復(fù)制其自身�����。以下部分說(shuō)明了惡意軟件的典型特征。因?yàn)閻阂廛浖啥喾N威脅組成���,所以需要采取多處方法和技術(shù)來(lái)保衛(wèi)系統(tǒng)。如采用防火墻來(lái)過(guò)濾潛在的
7��、破壞性代碼�����,采用垃圾郵件過(guò)濾器、入侵檢測(cè)系統(tǒng)����、入侵防御系統(tǒng)等來(lái)加固網(wǎng)絡(luò)���,加強(qiáng)對(duì)破壞性代碼的防御能力�。一般來(lái)說(shuō)����,可以采取如下措施���。第一點(diǎn),讓用戶正確使用電子郵件和Web����。具體來(lái)說(shuō)就是不知道郵件的來(lái)源和附件的屬性��,就不要打開郵件中的附件����,不要下載和安裝未授權(quán)的程序�,提防用戶點(diǎn)擊受感染連接的伎倆���,讓用戶了解新的攻擊手段,堅(jiān)決執(zhí)行安全策略和建議�。確保所有系統(tǒng)和服務(wù)器上安裝最新的瀏覽器、操作系統(tǒng)����、應(yīng)用程序補(bǔ)丁��,并確保垃圾郵件和瀏覽器的安全設(shè)置達(dá)到適當(dāng)水平�����。確保安裝所有的安全軟件���,并及時(shí)更新并且使用最新的威脅數(shù)據(jù)庫(kù)。惡意軟件威脅經(jīng)過(guò)幾年的發(fā)展
8�、已經(jīng)成為一種強(qiáng)大的勢(shì)力�����,更確切地說(shuō)它已經(jīng)成為一種受經(jīng)濟(jì)利益驅(qū)使的商業(yè)活動(dòng);而反惡意軟件廠商由于受到各種因素的制約�����,應(yīng)對(duì)和反擊措施相對(duì)被動(dòng)��。并且前者在暗處���,后者在明處,形式對(duì)反惡意軟件的開發(fā)者不利�。但兩種力量的斗爭(zhēng)將持續(xù)下去���。盡管如此,這么多年以來(lái)惡
