惡意代碼泛指所有不懷好意的程序代碼���,包括計算機病毒�、“蠕蟲”病毒、特洛伊木馬和黑客后門。
1、惡意代碼的演化
計算機惡意代碼有一個演化過程�����,這一過程與全球計算機操作系統(tǒng)的發(fā)展有密切關(guān)系�。Microsoft的操作系統(tǒng)一直是惡意代碼發(fā)展的主要平臺��,這里以時間為主線對在該平臺上惡意代碼的演化進行分析�����。在過去的10多年中Microsoft主要推出了4大操作系統(tǒng):MS-DOS、16位的Windows 3.1、32位的Windows 9x/NT/2000及64位的Windows XP����。
1987~1993:這時����,個人計算機盛行及網(wǎng)絡(luò)處于萌芽階段�,磁盤是主要的交換媒介。計算機則是采用8086/8088CPU的XT及80286的AT機為主。處于這個信息爆炸年代���,加上版權(quán)保護觀念尚未普及,一套計算機軟件往往一傳十、十傳百����,這也是造成開機型及DOS文件格式病毒快速蔓延的主要原因。
1993~1995:繼MS-DOS之后��,16位的操作系統(tǒng)Windows 3.1占領(lǐng)了市場�,由于Windows 3.1操作系統(tǒng)需要在MS-DOS環(huán)境下激活�����,所以除了原有開機型及DOS文件型病毒仍具威脅外,專門針對Windows 3.1操作系統(tǒng)設(shè)計的NE格式的計算機病毒也在這個時期問世。
1996~2001:隨著Microsoft 32位操作系統(tǒng)的推出,宏病毒���、PE格式的32位病毒、VBScript等惡意代碼紛紛出籠,而且這些惡意代碼大都具有編寫容易���、影響普遍的特點。計算機病毒的作者還大量使用了“變體引擎”、壓縮和加密等技術(shù),以使程序很難被破解和偵察���。
2002至今:隨著Microsoft 64位操作系統(tǒng)的推出,操作系統(tǒng)的網(wǎng)絡(luò)功能大大增強,Web服務(wù)器和網(wǎng)絡(luò)瀏覽器普及很快�����,公共網(wǎng)關(guān)接口(CGI�����,common gateway interface)腳本使用機會大大增多��,而CGI腳本經(jīng)常是安全漏洞的來源。因為CGI腳本的功能是很強的�����,能夠做以下事情:在主機上進行讀和寫���、使用用戶設(shè)置的權(quán)限執(zhí)行等�����。
從以上分析,我們可以看出惡意代碼的進化過程和操作系統(tǒng)有著密切關(guān)系�����。隨著操作平臺的發(fā)展�����,惡意代碼的功能及影響層面與日俱增���。
2���、惡意代碼的傳播趨勢
在計算機惡意代碼造成的危害中�,“傳播媒介”一直起著推波助瀾的作用�����。PE_CIH的危害再大�����,也只能通過單部計算機進行傳播,影響較小�。而借助于電子郵件傳播的W97M_MALISSA.A和TROJ_SIRCAM.A惡意代碼可以在一周內(nèi)侵害全球數(shù)以萬計的計算機�。就傳播的速度而言����,電子郵件快于局域網(wǎng),而局域網(wǎng)快于磁盤���。目前DOS文件型和開機型病毒幾乎已經(jīng)絕跡����,以局域網(wǎng)為傳播媒介的惡意代碼也逐漸減少,取而代之的是借助于網(wǎng)絡(luò)進行傳播的電子郵件類型的惡意代碼����。除了郵件以外�,點對點的傳播方式也值得引起人們的重視�。由于網(wǎng)絡(luò)的普及,許多人的計算機已經(jīng)處于隨時聯(lián)機的狀態(tài),未來惡意代碼的傳播可能不必通過第三者(如文件服務(wù)器�、郵件服務(wù)器)而直接傳播至各主機���。
3��、惡意代碼類型
在因特網(wǎng)上的計算機�����,除了容易遭受黑客攻擊外,還存在如表1所示的4種惡意代碼的入侵威脅����,它們的主要特性分別敘述如下���。
表1:4種惡意代碼的特征
1)計算機病毒:它是一個自復(fù)制的計算機程序���,能夠把自身添加到可執(zhí)行文件或磁盤上的系統(tǒng)區(qū)域中��。當使用者執(zhí)行已感染病毒的文件或者啟動帶有病毒的磁盤時,病毒就會傳播出去�。計算機病毒是否會在某一特定日期發(fā)作破壞系統(tǒng)�����,這要看該病毒是如何編寫的����。
2)“蠕蟲”:它并不是另一個程序的一部分,它自身由一對獨立的程序組成,分別稱作主程序和矢量程序�����。一旦它們在因特網(wǎng)上的一個或更多個主機上被激活���,主程序就自動收集主機�����、網(wǎng)絡(luò)和用戶信息����,并使用這些信息和利用主機的系統(tǒng)軟件存在的缺陷����,首先通過局域網(wǎng)、互聯(lián)網(wǎng)或者電子郵件派遣矢量程序進入其他機器,在矢量程序探明情況并成功完成入侵以后����,再通過網(wǎng)絡(luò)傳播主程序���,然后復(fù)制的新“蠕蟲”(包括主程序和矢量程序)將采用同樣的方法嘗試感染其他機器�。
3)特洛伊木馬:偽裝型木馬是隱藏在執(zhí)行合法功能的大型程序中一段惡意程序��。網(wǎng)絡(luò)傳播型木馬由兩個程序組成����,分別稱作服務(wù)器端程序和客戶端程序�����。其中服務(wù)器端程序是安裝在入侵的計算機上,而客戶端程序是安裝在攻擊者的計算機上�����。
4)黑客后門:是攻擊者創(chuàng)建能迅速重新獲取訪問權(quán)的機制��。它通常采用遠程shell 訪問��,即攻擊者在目標系統(tǒng)緩沖區(qū)建立執(zhí)行代碼,并能遠程控制它并執(zhí)行�����。
