阮兆文　孟干　周冬青　吳毅華

摘 要：網(wǎng)絡(luò)病毒等惡意網(wǎng)絡(luò)入侵手段的原理在于惡意代碼編程，此類代碼一旦進(jìn)入到計算機(jī)內(nèi)部，就會可能導(dǎo)致用戶無法操作計算機(jī)，之后肆意的盜取、修改計算機(jī)信息，由此說明此行為會威脅到網(wǎng)絡(luò)安全。為了避免此類行為的影響，本文將在普遍視角下，對此行為的惡意代碼機(jī)理進(jìn)行分析，同時針對惡意代碼機(jī)理提出相關(guān)的防范技術(shù)。

關(guān)鍵詞：惡意代碼；機(jī)理；防范技術(shù)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2018）23-0039-02

網(wǎng)絡(luò)是在技術(shù)發(fā)展之下出現(xiàn)的一種具有高性能、高兼容性、高效率等優(yōu)勢的虛擬平臺，因?yàn)樵撈脚_的優(yōu)異性能，所以愈發(fā)受到現(xiàn)代人群的關(guān)注，直至今日網(wǎng)絡(luò)已經(jīng)普及到全世界各個領(lǐng)域當(dāng)中，形成了虛擬的“網(wǎng)絡(luò)環(huán)境”。網(wǎng)絡(luò)環(huán)境規(guī)模龐大，其中各個結(jié)構(gòu)錯綜復(fù)雜，在此前提下，各結(jié)構(gòu)之間就會存在漏洞，這些漏洞的形態(tài)不一，但大多數(shù)都存在一個共同點(diǎn)就是可以與外界連通，此時無疑給了惡意代碼“可乘之機(jī)”。但因?yàn)槁┒葱螒B(tài)不一，同時惡意代碼的目的也不相同，所以不同的惡意代碼機(jī)理也是不同的，這也說明要保護(hù)網(wǎng)絡(luò)環(huán)境安全，需針對不同惡意代碼機(jī)理采用不同的防范技術(shù)。

1 惡意代碼傳播與觸發(fā)

在現(xiàn)代社會視角下，信息之間的交互、流通是在所難免的網(wǎng)絡(luò)行為，在此行為之下大量的信息會通過相應(yīng)的網(wǎng)絡(luò)渠道進(jìn)行傳輸，此時惡意代碼會偽裝成信息混入正常信息當(dāng)中，以此在信息交互行為之下完成傳播，這就是最常見的惡意代碼傳播方法，另外，因?yàn)榫W(wǎng)絡(luò)交互傳輸渠道的形態(tài)不一，惡意代碼的傳播形態(tài)也產(chǎn)生了許多變化，例如，惡意代碼在網(wǎng)絡(luò)環(huán)境當(dāng)中偽裝成正常的可下載信息，此時當(dāng)網(wǎng)絡(luò)用戶下載此信息時，就使得惡意代碼進(jìn)入計算機(jī)，達(dá)成傳播入侵的目的[1]。

在惡意代碼進(jìn)入目標(biāo)環(huán)境之后，就會展現(xiàn)出兩種狀態(tài)，即隱蔽狀態(tài)、運(yùn)作狀態(tài)。隱蔽狀態(tài)是指一些不會立即發(fā)作的惡意代碼，此類代碼在進(jìn)入計算機(jī)之后，并不會立刻造成破壞，而是隱藏在大量的信息文件當(dāng)中，監(jiān)控計算機(jī)資源的變化，以此來粗略判定用戶當(dāng)前行為，例如當(dāng)計算機(jī)資源集中在某一個點(diǎn)的時候，就會判定用戶注意力集中在此點(diǎn)上，此時就觸發(fā)了惡意代碼的運(yùn)作機(jī)制，開始緩緩的對計算機(jī)信息進(jìn)行盜取、篡改等；運(yùn)作狀態(tài)是指一些立即發(fā)作的惡意代碼，此類代碼省去了隱蔽階段，直接對計算機(jī)信息進(jìn)行盜取，同時此類代碼往往還具備遮擋功能，以著名的“熊貓燒香”來看，據(jù)悉當(dāng)初感染此惡意代碼的計算機(jī)屏幕上，均會顯示出“熊貓燒香”的卡通圖片，用戶無法對計算機(jī)進(jìn)行任何操作，此舉就實(shí)現(xiàn)了遮擋，在遮擋的掩護(hù)之下，此類惡意代碼就可以肆意妄為[2]。

2 惡意代碼機(jī)理分析

2.1 惡意代碼六大機(jī)理

雖然現(xiàn)代惡意代碼的形態(tài)多變，并且目的各不相同，但是大體機(jī)理框架都一樣，根據(jù)其發(fā)作過程可以分為六個部分：侵入機(jī)理、維持機(jī)理、隱蔽機(jī)理、潛伏機(jī)理、破壞機(jī)理、循環(huán)機(jī)理，下文將對此六大機(jī)理進(jìn)行逐一分析。惡意代碼6大機(jī)理模型圖1所示。

（1）侵入機(jī)理。惡意代碼要對某個計算機(jī)進(jìn)行干擾或者惡意操作時，就必須要進(jìn)入計算機(jī)內(nèi)部，這是惡意代碼運(yùn)作機(jī)理中必備的前置條件。正如上文所述，所謂的惡意代碼侵入機(jī)理，即通過不同的信息交互途徑來完成侵入（也有其他侵入手段，例如黑客惡意攻擊、惡意代碼植入等）。（2）維持機(jī)理。結(jié)合上述中惡意代碼進(jìn)入目標(biāo)內(nèi)部之后的兩個狀態(tài)可見，兩者均在一個共同的特點(diǎn)就是持續(xù)性，例如隱蔽狀態(tài)需要保持長期隱蔽，運(yùn)作狀態(tài)需要持續(xù)運(yùn)作，只有在持續(xù)狀態(tài)下，才能保障惡意代碼不會被其他技術(shù)手段干擾。（3）隱蔽機(jī)理。針對不會立即發(fā)作的惡意代碼，此類代碼在編寫時就考慮到了隱蔽性的問題，因此編寫者會在編寫內(nèi)容當(dāng)中加入一些能夠幫助代碼隱蔽的指令，例如刪除源文件，并將自身命名為源文件名字，以此來實(shí)現(xiàn)隱蔽，甚至有部分惡意代碼還能篡改計算機(jī)系統(tǒng)的安全策略來實(shí)現(xiàn)隱蔽。（4）潛伏機(jī)理。潛伏機(jī)理存在兩個部分，即在隱蔽機(jī)理之下監(jiān)控計算機(jī)資源，同時緩慢篡改計算機(jī)權(quán)限、當(dāng)權(quán)限達(dá)到一定程度之后就會開始發(fā)作。（5）破壞機(jī)理。根據(jù)代碼編寫者的目的，完成遮擋、搜尋攻擊目標(biāo)，并實(shí)質(zhì)對目標(biāo)進(jìn)行惡意操作，例如破壞目標(biāo)。（6）循環(huán)機(jī)理。大多數(shù)惡意代碼是具有傳播性的，即在不斷的運(yùn)作當(dāng)中，代碼程序還會通過侵入目標(biāo)試圖對其他計算機(jī)進(jìn)行侵入，當(dāng)侵入一個新的目標(biāo)時，惡意代碼會依照循環(huán)指令重新執(zhí)行1～5的機(jī)理。

2.2 惡意代碼的關(guān)鍵技術(shù)

目前，惡意代碼中常見的生存類技術(shù)有：反跟蹤技術(shù)、加密技術(shù)、模糊變換技術(shù)，下文將對此進(jìn)行逐一分析。

（1）反跟蹤技術(shù)主要能夠提高惡意代碼的偽裝能力以及防護(hù)能力，因?yàn)楫?dāng)某個代碼進(jìn)入計算機(jī)之后，可能會受到一些防護(hù)措施的阻攔，之后防護(hù)措施會嘗試對代碼進(jìn)行破譯，確認(rèn)代碼是否屬于惡意代碼，此時為了能夠順利進(jìn)入計算機(jī)，就需要通過反跟蹤技術(shù)來欺騙防護(hù)措施或躲避防護(hù)措施的破譯行為。根據(jù)現(xiàn)代防護(hù)計算的種類，反跟蹤技術(shù)可以分為兩個類型，即反動態(tài)跟蹤技術(shù)、反靜態(tài)分析技術(shù)，反動態(tài)跟蹤技術(shù)可以直接封鎖鍵盤輸入或屏幕顯示功能，在此兩項功能被封鎖之后，大多數(shù)防護(hù)措施的運(yùn)行就失去了支撐，使防護(hù)措施無法繼續(xù)工作；反靜態(tài)分析技術(shù)，主要在指令流當(dāng)中輸入偽裝指令，這些指令雖然不具備實(shí)質(zhì)作用，但是能夠阻隔靜態(tài)反匯編獲得全部的指令，此時靜態(tài)反匯編就無法運(yùn)作。（2）加密技術(shù)是完全作用于惡意代碼本身的一種技術(shù)，其主要功能為：加密惡意代碼，阻隔外部分析軟件以及分析人員對惡意代碼的解讀，使其無法針對惡意代碼的原理制定相應(yīng)的防護(hù)措施。常見的惡意代碼加密技術(shù)分為三類，即信息加密技術(shù)、數(shù)據(jù)加密技術(shù)、程序代碼加密技術(shù)，此三類加密技術(shù)往往可以同時使用，全方位封鎖外部分析對惡意代碼的解讀。此外，加密技術(shù)會與反跟蹤技術(shù)一同使用，提高惡意代碼運(yùn)作的“安全性”。（3）模糊變換技術(shù)。如果惡意代碼的內(nèi)容完全固定，那么在使用之下很可能短期就被人所破解，對于攻擊者而言其利益無法達(dá)到最大化，而通過模糊變換技術(shù)，則能夠使惡意代碼不斷的產(chǎn)生變動，機(jī)理上即當(dāng)惡意代碼每感染一個目標(biāo)時，其在目標(biāo)內(nèi)隱蔽或潛伏的狀態(tài)都會不一樣，以此來防止針對性的識別、破譯，并且如果不能及時對此代碼進(jìn)行處理，那么隨著變化此時的增加，處理惡意代碼的難度也會逐漸增加。

3 惡意代碼防范技術(shù)

3.1 MCDF防范技術(shù)

MCDF防范技術(shù)是一種結(jié)合了傳統(tǒng)主機(jī)防范技術(shù)以及網(wǎng)絡(luò)防范技術(shù)特點(diǎn)之后，所產(chǎn)生的綜合性防范技術(shù)，其優(yōu)點(diǎn)在于全覆蓋防護(hù)，能夠有效阻止惡意代碼的入侵[3]。

此項技術(shù)主要原理是檢測每一個新進(jìn)代碼，同時根據(jù)代碼來源分為兩個不同的檢測路徑，即如果是來源于網(wǎng)絡(luò)的代碼，例如網(wǎng)頁下載代碼，該代碼就需要通過MCDF-NS、MCDF-HS檢測模塊，檢測當(dāng)中根據(jù)MCDF防范技術(shù)的安全防護(hù)策略，首先會排除無法識別、確認(rèn)為惡意代碼、存在疑問的代碼，其次針對部分具有欺詐性的代碼，在檢測時會統(tǒng)計計算機(jī)所有文件名，并將代碼與文件名比對，如果出現(xiàn)大量相似的問題，那么就認(rèn)定該代碼是存在疑問的代碼，之后激發(fā)預(yù)警系統(tǒng)，通過人工協(xié)助來對代碼進(jìn)行識別。如果代碼來源于主機(jī)，那么MCDF防范技術(shù)會通常會采用誤用檢測方法來進(jìn)行檢測，此項技術(shù)原理上能夠?qū)碓从谥鳈C(jī)的所有代碼進(jìn)行掃描，得出代碼的特征，依照代碼特征再與惡意代碼特征庫進(jìn)行比對，根據(jù)安全策略，一般特征相似度超過30%就會被初步判定為惡意代碼，之后根據(jù)用戶自身的操作，來決定該代碼的“去留”，誤用檢測方法流程款框架圖2所示。

3.2 惡意代碼防范策略

惡意代碼的防范策略主要圍繞防范技術(shù)本身與用戶意識，在防范技術(shù)本身上，其必須具備了解惡意代碼特征、破譯代碼內(nèi)容、控制代碼運(yùn)作、預(yù)警等功能，以此才能完成與用戶之間的交互，在用戶意識上，用戶應(yīng)當(dāng)深刻人知道惡意代碼的威脅性，認(rèn)真對待防范技術(shù)提供的代碼信息，如無完全的把握建議刪除代碼。

4 結(jié)語

本文主要分析了惡意代碼機(jī)理與防范技術(shù)，分析當(dāng)中首先對惡意代碼傳播與觸發(fā)進(jìn)行了闡述，了解了惡意代碼的威脅、原理等，之后針對常見的惡意代碼6大機(jī)理、關(guān)鍵技術(shù)進(jìn)行了分析，最終介紹了MCDF防范技術(shù)，并提出了相關(guān)的防范策略。

參考文獻(xiàn)

[1]亓慧喬.人防通信系統(tǒng)中的惡意代碼分析與防范[J].電腦知識與技術(shù)，2017，（7）：47.

[2]李健.人民防空指揮應(yīng)急通信系統(tǒng)建設(shè)研究[J].黑龍江科學(xué)，2017，（6）：88-89.

[3]劉威.試論計算機(jī)網(wǎng)絡(luò)維護(hù)策略及病毒防治技術(shù)應(yīng)用[J].中國管理信息化，2016，（12）：161-162.