目前恶意软件技术综述.docVIP

目前恶意软件技术综述 计算机科学与教育软件 网络工程092 尹韵 0923010028 摘要： 随着网络通讯技术的飞速发展,计算机已逐渐渗透到人们社会生活的各个领域,与此同时出现的问题是的产生和迅速蔓延使计算机系统的安全受到极大的威胁。随着采用的新技术不断出现,计算机的防护手段也不断更新和发展。从的定义入手,的特点及其防护措施。或者从不安全的站点下载游戏或其它程序时，往往会连合恶意程序一并带入自己的电脑，而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时，用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间，用户网上的所有敏感资料都有可能被盗走，比如银行帐户信息，信用卡密码等病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿主程序，以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，有时还会传递额外负载。Anubis观测到的样本的文件、注册表、网络行为以及僵尸网络特征，来提取不同来源的众多恶意程序的一般性行为。包括：安装windows驱动软件、安装windows服务、修改hosts文件、新建文件、删除文件、修改文件、安装ie bho、安装ie工具条、显示图形窗口、网络通讯、写入标准错误、写入标准输出、修改注册表值、新建注册表键、新建进程等等。 详细分析新建文件的时候，我们发现这些文件主要分为两种类型。一种是可执行文件，典型的原因是恶意程序需要复制或移动它的二进制文件到另一个位置（比如Windows系统文件夹），这个二进制文件常常是一个变异后的新文件。经统计，37.2%的的样本会创建至少一个可执行文件，然而有趣的是，样本中只有23.3%（创建可执行文件的样本的62%）选择Windows目录或其子目录作为目标文件夹。一个很大的比例——15.1%会在用户文件夹（Document and Settings目录下）创建可执行文件。这很有趣，并且我们可以推断，今后这种在普通用户权限下（不能修改系统文件夹）能够成功执行的恶意程序将日益增多。 ?? ? ?第二种类型的文件包括非可执行文件，样本中有63.8%创建了至少一个这种文件。这些文件有临时文件、必要的库文件（DLLs）和批处理脚本，它们中的多数在Windows文件夹（所有样本中的53%）或用户文件夹（可以在不同位置产生多个文件的样本中的61.3%）。值得注意的是，会有相当数量的临时Internet文件被IE生成（事实上，21.3%的样本的执行会产生至少一个这样的文件）。由于IE（更精确地说，ierturil.dll里的导出函数）在下载数据时会产生这些文件，而恶意程序这经常用IE下载额外组件。而大多数DLLs会被放入Windows系统文件夹。除了文件系统行为，还有注册表行为。最常见的就是关闭windows防火墙。网络行为就比较多了，包括：监听端口、TCP通讯、UDP通讯、DNS请求、ICMP通讯、HTTP通讯、IRC通讯、SMTP通讯、SSL、地址扫描、端口扫描。每类恶意软件可以表现出来的各种特征通常非常类似。例如，病毒和蠕虫可能都会使用网络作为传输机制。然而，病毒会寻找文件以进行感染，而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。 因为恶意软件由多种威胁组成，所以需要采取多处方法和技术来保卫系统。如采用防火墙来过滤潜在的破坏性代码，采用垃圾邮件过滤器、入侵检测系统、入侵防御系统等来加固网络，加强对破坏性代码的防御能力。正确使用电子邮件和Web系统和服务器上安装必威体育精装版的浏览器、操作系统、应用程序补丁，并确保垃圾邮件和浏览器的安全设置达到适当水平确保安装所有的安全软件，并及时更新并且使用必威体育精装版的威胁数据库。恶意软件威胁经过几年的发展已经成为一种强大的势力，更确切地说它已经成为一种受经济利益驱使的商业活动；而反恶意软件厂商由于受到各种因素的制约，应对和反击措施相对被动。并且前者在暗处，后者在明处，形式对反恶意软件的开发者不利。但两种力量的斗争将持续下去。尽管如此，这么多年以来恶意软件的制造技术没有太大的变化。20世纪80年代恶意软件的技术跟现在开发恶意软件的技术差不多。变化的只是恶意软件的开发和执行的速度，原因是自动化工具的出现。以前制作的时候只能一个接一个，现在就是流水线的大规模生产。专家称，传统的病毒库保护方式根本就难以应对恶意软件的攻击。恶意软件一直在变化，即使是侦察到，它们也会自动调整和变化。依靠单独的技术根本就难以防范危险。 恶意软件威胁网络和系统漏洞的方式也在改变。例如过去依靠邮件附件到现在转向网络使用社交网络引诱下载感染的文件和应用程序，或是直接让人们点击恶意网站下载恶意软件到用户的系统中。这一问题可能会变得越来越糟糕。有机构曾预测，恶意软件将会无所不至，包括智能手机，