阮兆文　孟干　周冬青　吳毅華

摘 要：網(wǎng)絡(luò)病毒等惡意網(wǎng)絡(luò)入侵手段的原理在于惡意代碼編程，此類代碼一旦進(jìn)入到計(jì)算機(jī)內(nèi)部，就會(huì)可能導(dǎo)致用戶無法操作計(jì)算機(jī)，之后肆意的盜取、修改計(jì)算機(jī)信息，由此說明此行為會(huì)威脅到網(wǎng)絡(luò)安全。為了避免此類行為的影響，本文將在普遍視角下，對(duì)此行為的惡意代碼機(jī)理進(jìn)行分析，同時(shí)針對(duì)惡意代碼機(jī)理提出相關(guān)的防范技術(shù)。

關(guān)鍵詞：惡意代碼；機(jī)理；防范技術(shù)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2018）23-0039-02

網(wǎng)絡(luò)是在技術(shù)發(fā)展之下出現(xiàn)的一種具有高性能、高兼容性、高效率等優(yōu)勢(shì)的虛擬平臺(tái)，因?yàn)樵撈脚_(tái)的優(yōu)異性能，所以愈發(fā)受到現(xiàn)代人群的關(guān)注，直至今日網(wǎng)絡(luò)已經(jīng)普及到全世界各個(gè)領(lǐng)域當(dāng)中，形成了虛擬的“網(wǎng)絡(luò)環(huán)境”。網(wǎng)絡(luò)環(huán)境規(guī)模龐大，其中各個(gè)結(jié)構(gòu)錯(cuò)綜復(fù)雜，在此前提下，各結(jié)構(gòu)之間就會(huì)存在漏洞，這些漏洞的形態(tài)不一，但大多數(shù)都存在一個(gè)共同點(diǎn)就是可以與外界連通，此時(shí)無疑給了惡意代碼“可乘之機(jī)”。但因?yàn)槁┒葱螒B(tài)不一，同時(shí)惡意代碼的目的也不相同，所以不同的惡意代碼機(jī)理也是不同的，這也說明要保護(hù)網(wǎng)絡(luò)環(huán)境安全，需針對(duì)不同惡意代碼機(jī)理采用不同的防范技術(shù)。

1 惡意代碼傳播與觸發(fā)

在現(xiàn)代社會(huì)視角下，信息之間的交互、流通是在所難免的網(wǎng)絡(luò)行為，在此行為之下大量的信息會(huì)通過相應(yīng)的網(wǎng)絡(luò)渠道進(jìn)行傳輸，此時(shí)惡意代碼會(huì)偽裝成信息混入正常信息當(dāng)中，以此在信息交互行為之下完成傳播，這就是最常見的惡意代碼傳播方法，另外，因?yàn)榫W(wǎng)絡(luò)交互傳輸渠道的形態(tài)不一，惡意代碼的傳播形態(tài)也產(chǎn)生了許多變化，例如，惡意代碼在網(wǎng)絡(luò)環(huán)境當(dāng)中偽裝成正常的可下載信息，此時(shí)當(dāng)網(wǎng)絡(luò)用戶下載此信息時(shí)，就使得惡意代碼進(jìn)入計(jì)算機(jī)，達(dá)成傳播入侵的目的[1]。

在惡意代碼進(jìn)入目標(biāo)環(huán)境之后，就會(huì)展現(xiàn)出兩種狀態(tài)，即隱蔽狀態(tài)、運(yùn)作狀態(tài)。隱蔽狀態(tài)是指一些不會(huì)立即發(fā)作的惡意代碼，此類代碼在進(jìn)入計(jì)算機(jī)之后，并不會(huì)立刻造成破壞，而是隱藏在大量的信息文件當(dāng)中，監(jiān)控計(jì)算機(jī)資源的變化，以此來粗略判定用戶當(dāng)前行為，例如當(dāng)計(jì)算機(jī)資源集中在某一個(gè)點(diǎn)的時(shí)候，就會(huì)判定用戶注意力集中在此點(diǎn)上，此時(shí)就觸發(fā)了惡意代碼的運(yùn)作機(jī)制，開始緩緩的對(duì)計(jì)算機(jī)信息進(jìn)行盜取、篡改等；運(yùn)作狀態(tài)是指一些立即發(fā)作的惡意代碼，此類代碼省去了隱蔽階段，直接對(duì)計(jì)算機(jī)信息進(jìn)行盜取，同時(shí)此類代碼往往還具備遮擋功能，以著名的“熊貓燒香”來看，據(jù)悉當(dāng)初感染此惡意代碼的計(jì)算機(jī)屏幕上，均會(huì)顯示出“熊貓燒香”的卡通圖片，用戶無法對(duì)計(jì)算機(jī)進(jìn)行任何操作，此舉就實(shí)現(xiàn)了遮擋，在遮擋的掩護(hù)之下，此類惡意代碼就可以肆意妄為[2]。

2 惡意代碼機(jī)理分析

2.1 惡意代碼六大機(jī)理

雖然現(xiàn)代惡意代碼的形態(tài)多變，并且目的各不相同，但是大體機(jī)理框架都一樣，根據(jù)其發(fā)作過程可以分為六個(gè)部分：侵入機(jī)理、維持機(jī)理、隱蔽機(jī)理、潛伏機(jī)理、破壞機(jī)理、循環(huán)機(jī)理，下文將對(duì)此六大機(jī)理進(jìn)行逐一分析。惡意代碼6大機(jī)理模型圖1所示。

（1）侵入機(jī)理。惡意代碼要對(duì)某個(gè)計(jì)算機(jī)進(jìn)行干擾或者惡意操作時(shí)，就必須要進(jìn)入計(jì)算機(jī)內(nèi)部，這是惡意代碼運(yùn)作機(jī)理中必備的前置條件。正如上文所述，所謂的惡意代碼侵入機(jī)理，即通過不同的信息交互途徑來完成侵入（也有其他侵入手段，例如黑客惡意攻擊、惡意代碼植入等）。（2）維持機(jī)理。結(jié)合上述中惡意代碼進(jìn)入目標(biāo)內(nèi)部之后的兩個(gè)狀態(tài)可見，兩者均在一個(gè)共同的特點(diǎn)就是持續(xù)性，例如隱蔽狀態(tài)需要保持長期隱蔽，運(yùn)作狀態(tài)需要持續(xù)運(yùn)作，只有在持續(xù)狀態(tài)下，才能保障惡意代碼不會(huì)被其他技術(shù)手段干擾。（3）隱蔽機(jī)理。針對(duì)不會(huì)立即發(fā)作的惡意代碼，此類代碼在編寫時(shí)就考慮到了隱蔽性的問題，因此編寫者會(huì)在編寫內(nèi)容當(dāng)中加入一些能夠幫助代碼隱蔽的指令，例如刪除源文件，并將自身命名為源文件名字，以此來實(shí)現(xiàn)隱蔽，甚至有部分惡意代碼還能篡改計(jì)算機(jī)系統(tǒng)的安全策略來實(shí)現(xiàn)隱蔽。（4）潛伏機(jī)理。潛伏機(jī)理存在兩個(gè)部分，即在隱蔽機(jī)理之下監(jiān)控計(jì)算機(jī)資源，同時(shí)緩慢篡改計(jì)算機(jī)權(quán)限、當(dāng)權(quán)限達(dá)到一定程度之后就會(huì)開始發(fā)作。（5）破壞機(jī)理。根據(jù)代碼編寫者的目的，完成遮擋、搜尋攻擊目標(biāo)，并實(shí)質(zhì)對(duì)目標(biāo)進(jìn)行惡意操作，例如破壞目標(biāo)。（6）循環(huán)機(jī)理。大多數(shù)惡意代碼是具有傳播性的，即在不斷的運(yùn)作當(dāng)中，代碼程序還會(huì)通過侵入目標(biāo)試圖對(duì)其他計(jì)算機(jī)進(jìn)行侵入，當(dāng)侵入一個(gè)新的目標(biāo)時(shí)，惡意代碼會(huì)依照循環(huán)指令重新執(zhí)行1～5的機(jī)理。

2.2 惡意代碼的關(guān)鍵技術(shù)

目前，惡意代碼中常見的生存類技術(shù)有：反跟蹤技術(shù)、加密技術(shù)、模糊變換技術(shù)，下文將對(duì)此進(jìn)行逐一分析。

（1）反跟蹤技術(shù)主要能夠提高惡意代碼的偽裝能力以及防護(hù)能力，因?yàn)楫?dāng)某個(gè)代碼進(jìn)入計(jì)算機(jī)之后，可能會(huì)受到一些防護(hù)措施的阻攔，之后防護(hù)措施會(huì)嘗試對(duì)代碼進(jìn)行破譯，確認(rèn)代碼是否屬于惡意代碼，此時(shí)為了能夠順利進(jìn)入計(jì)算機(jī)，就需要通過反跟蹤技術(shù)來欺騙防護(hù)措施或躲避防護(hù)措施的破譯行為。根據(jù)現(xiàn)代防護(hù)計(jì)算的種類，反跟蹤技術(shù)可以分為兩個(gè)類型，即反動(dòng)態(tài)跟蹤技術(shù)、反靜態(tài)分析技術(shù)，反動(dòng)態(tài)跟蹤技術(shù)可以直接封鎖鍵盤輸入或屏幕顯示功能，在此兩項(xiàng)功能被封鎖之后，大多數(shù)防護(hù)措施的運(yùn)行就失去了支撐，使防護(hù)措施無法繼續(xù)工作；反靜態(tài)分析技術(shù)，主要在指令流當(dāng)中輸入偽裝指令，這些指令雖然不具備實(shí)質(zhì)作用，但是能夠阻隔靜態(tài)反匯編獲得全部的指令，此時(shí)靜態(tài)反匯編就無法運(yùn)作。（2）加密技術(shù)是完全作用于惡意代碼本身的一種技術(shù)，其主要功能為：加密惡意代碼，阻隔外部分析軟件以及分析人員對(duì)惡意代碼的解讀，使其無法針對(duì)惡意代碼的原理制定相應(yīng)的防護(hù)措施。常見的惡意代碼加密技術(shù)分為三類，即信息加密技術(shù)、數(shù)據(jù)加密技術(shù)、程序代碼加密技術(shù)，此三類加密技術(shù)往往可以同時(shí)使用，全方位封鎖外部分析對(duì)惡意代碼的解讀。此外，加密技術(shù)會(huì)與反跟蹤技術(shù)一同使用，提高惡意代碼運(yùn)作的“安全性”。（3）模糊變換技術(shù)。如果惡意代碼的內(nèi)容完全固定，那么在使用之下很可能短期就被人所破解，對(duì)于攻擊者而言其利益無法達(dá)到最大化，而通過模糊變換技術(shù)，則能夠使惡意代碼不斷的產(chǎn)生變動(dòng)，機(jī)理上即當(dāng)惡意代碼每感染一個(gè)目標(biāo)時(shí)，其在目標(biāo)內(nèi)隱蔽或潛伏的狀態(tài)都會(huì)不一樣，以此來防止針對(duì)性的識(shí)別、破譯，并且如果不能及時(shí)對(duì)此代碼進(jìn)行處理，那么隨著變化此時(shí)的增加，處理惡意代碼的難度也會(huì)逐漸增加。

3 惡意代碼防范技術(shù)

3.1 MCDF防范技術(shù)

MCDF防范技術(shù)是一種結(jié)合了傳統(tǒng)主機(jī)防范技術(shù)以及網(wǎng)絡(luò)防范技術(shù)特點(diǎn)之后，所產(chǎn)生的綜合性防范技術(shù)，其優(yōu)點(diǎn)在于全覆蓋防護(hù)，能夠有效阻止惡意代碼的入侵[3]。

此項(xiàng)技術(shù)主要原理是檢測(cè)每一個(gè)新進(jìn)代碼，同時(shí)根據(jù)代碼來源分為兩個(gè)不同的檢測(cè)路徑，即如果是來源于網(wǎng)絡(luò)的代碼，例如網(wǎng)頁下載代碼，該代碼就需要通過MCDF-NS、MCDF-HS檢測(cè)模塊，檢測(cè)當(dāng)中根據(jù)MCDF防范技術(shù)的安全防護(hù)策略，首先會(huì)排除無法識(shí)別、確認(rèn)為惡意代碼、存在疑問的代碼，其次針對(duì)部分具有欺詐性的代碼，在檢測(cè)時(shí)會(huì)統(tǒng)計(jì)計(jì)算機(jī)所有文件名，并將代碼與文件名比對(duì)，如果出現(xiàn)大量相似的問題，那么就認(rèn)定該代碼是存在疑問的代碼，之后激發(fā)預(yù)警系統(tǒng)，通過人工協(xié)助來對(duì)代碼進(jìn)行識(shí)別。如果代碼來源于主機(jī)，那么MCDF防范技術(shù)會(huì)通常會(huì)采用誤用檢測(cè)方法來進(jìn)行檢測(cè)，此項(xiàng)技術(shù)原理上能夠?qū)碓从谥鳈C(jī)的所有代碼進(jìn)行掃描，得出代碼的特征，依照代碼特征再與惡意代碼特征庫進(jìn)行比對(duì)，根據(jù)安全策略，一般特征相似度超過30%就會(huì)被初步判定為惡意代碼，之后根據(jù)用戶自身的操作，來決定該代碼的“去留”，誤用檢測(cè)方法流程款框架圖2所示。

3.2 惡意代碼防范策略

惡意代碼的防范策略主要圍繞防范技術(shù)本身與用戶意識(shí)，在防范技術(shù)本身上，其必須具備了解惡意代碼特征、破譯代碼內(nèi)容、控制代碼運(yùn)作、預(yù)警等功能，以此才能完成與用戶之間的交互，在用戶意識(shí)上，用戶應(yīng)當(dāng)深刻人知道惡意代碼的威脅性，認(rèn)真對(duì)待防范技術(shù)提供的代碼信息，如無完全的把握建議刪除代碼。

4 結(jié)語

本文主要分析了惡意代碼機(jī)理與防范技術(shù)，分析當(dāng)中首先對(duì)惡意代碼傳播與觸發(fā)進(jìn)行了闡述，了解了惡意代碼的威脅、原理等，之后針對(duì)常見的惡意代碼6大機(jī)理、關(guān)鍵技術(shù)進(jìn)行了分析，最終介紹了MCDF防范技術(shù)，并提出了相關(guān)的防范策略。

參考文獻(xiàn)

[1]亓慧喬.人防通信系統(tǒng)中的惡意代碼分析與防范[J].電腦知識(shí)與技術(shù)，2017，（7）：47.

[2]李健.人民防空指揮應(yīng)急通信系統(tǒng)建設(shè)研究[J].黑龍江科學(xué)，2017，（6）：88-89.

[3]劉威.試論計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)策略及病毒防治技術(shù)應(yīng)用[J].中國管理信息化，2016，（12）：161-162.