恶意代码防范技术与原理（二）

接上篇文章

1、网络蠕虫

（1）网络蠕虫具有自我复制和传播能力、可独立自带运行的恶意程序

（2）蠕虫有四大功能模块

        ①探测模块：对特定主机的脆弱性检测；该模式在攻击上是开放的、可扩充的

        ②传播模块：采用各种形式生产各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递

        ③蠕虫引擎模块：对本地或者目标网络进行信息搜集

        ④负载模块：网络蠕虫内部的实现伪代码

（3）网络蠕虫的运行机制主要分为搜索、传送、感染

        ①搜索：已感染的主机在网络上搜索易感染目标主机

        ②传送：已感染的主机把蠕虫代码传送到易感染主机

        ③感染：易感染目标主机执行蠕虫代码

（4）网络蠕虫常用的技术：扫描技术、漏洞利用技术

扫描技术：

·随机扫描：对整个IP空间随机扫描，感染下一个目标具有非确定性

·顺序扫描：按照本地优先原则，选择它所在网络内的IP地址进行传播

·选择性扫描：事先获知一定信息的条件下，有选择地搜索下一个感染目标主机

漏洞利用技术：

·主机之间信息关系漏洞

·目标主机的程序漏洞

·目标主机的默认用户和口令漏洞

·目标主机的用户安全意识薄弱漏洞

·目标主机的客户端程序配置漏洞

（5）网络蠕虫的防范技术有网络蠕虫监测与预警技术、网络蠕虫传播抑制技术、网络系统漏洞检测与系统加固技术、网络蠕虫免疫技术、网络蠕虫阻断与隔离技术、网络蠕虫清除技术

2、僵尸网络

（1）僵尸网络：是指攻击者利用入侵手段将僵尸程序植入目标计算机上，进而操纵受害机执行恶意活动的网络

（2）僵尸网络的构建主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等

（3）僵尸网络运行机制与技术

        ①僵尸程序的传播

        ②对僵尸程序进行远程命令操作和控制，将受害目标机组成一个网络

        ③攻击者通过僵尸网络的控制服务器，给僵尸程序发送攻击者指令，执行攻击活动

（4）僵尸网络防范技术

        ①僵尸网络威胁监测：通常利用蜜罐技术获取僵尸网络威胁信息

        ②僵尸网络检测：根据僵尸网络的通信内容和行为特征，检测网络中的异常网络流量

        ③僵尸网络主动遏制：通过路由和DNS黑名单等方式屏蔽恶意的IP地址或域名

        ④僵尸程序查杀：在受害的目标机上，安装专用安全工具，清除僵尸程序

3、病毒、木马与蠕虫的相同与不同之处

（1）相同点：会对计算机信息的保密性和完整性造成损害

（2）不同点

        ①病毒：自我复制、传播、对主机造成破坏的可执行程序

        ②木马：伪造成正常应用骗取用户信任而入侵

        ③蠕虫：不断自我复制，消耗占用计算机性能和操作系统资源，通过可移动介质以及内网传播

        ④木马属于后门间谍恶意软件，蠕虫属于病毒

（3）僵尸网络与木马的区别

木马分为本地木马和网络木马，僵尸网络本质是大量感染网络木马组成的主机组成的网络

4、其他恶意代码

（1）逻辑炸弹：一般依附在其他软件中，并具有触发执行破坏能力的程序代码。满足触发条件，才开始执行逻辑炸弹的破坏功能。包括计数器触发、时间触发、文件触发、特定用户访问触发等

（2）陷门（后门）：软件系统里的一段代码，允许用户避开系统安全机制而访问系统。后门不具有自动传播和自我复制功能

（3）细菌：具有自我复制功能的独立程序。但是她通过复制本身来消耗系统资源

（4）间谍软件：在用户不知情的情况下被安装在计算机中的备用软件，执行用户非期望的功能。同时间谍软件还具有收集信息的能力。

5、恶意代码防护技术应用

（1）终端防护：终端防护通常是在终端上安装一个恶意代码防护代理程序，该代理程序按照终端管理中心下发的安全策略进行安全控制

（2）APT防护：高级持续威胁（简称APT）通常利用电子邮件作为攻击目标系统。攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档或单击某个指向恶意站点的链接。一旦收件人就范，恶意代码就会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图

（3）针对高级持续威胁攻击的特点，部署APT检测系统，检测电子文档和电子邮件是否存在恶意代码，以防止攻击者通过电子邮件和电子文档渗透入侵网络