论文部分内容阅读
[摘要]随着计算机在社会生活各个领域的广泛运用,因为恶意软件所造成的软件故障与防护方法也在不断拓展。据实践分析,计算机系统、计算机软件出现故障,除了应用软件本身存在的bug之外,病毒感染、攻击,恶意软件、恶意插件的攻击层出不穷,严重地影响了人们日常工作,给计算机网络和系统带来了巨大的潜在威胁和破坏。2006年11月30日是微软发布Windows Vista的一个里程碑,然而对于Windows Vista的第一个病毒竟是传统的恶意软件。可以预见,随着计算机、网络运用的不断普及、深入,防范恶意软件将越来越受到各国的高度重视。
[关键词]恶意软件 防护
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0520014-02
一、恶意软件的类型及特点
恶意软件是介于病毒和正规软件之间的软件,具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门)等,既有一定的实用价值,也会给用户带来种种干扰。这些程序未经用户许强行潜伏到用户电脑中,而且此类程序无卸载程序,无法正常卸载和删除,强行删除后还会自动生成。此外,像广告程序会强迫用户接受阅读广告信息,间谍软件搜集用敏感信息并向外发送,严重侵犯了用户的选择权和知情权。在最近几年,产生了以下几种主要的恶意软件:
(一)广告软件(Adware)
广告软件是指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。例如:用户安装了某下载软件后,会一直弹出带有广告内容的窗口,干扰正常使用。还有一些软件安装后,会在IE浏览器的工具栏位置添加与其功能不相干的广告图标,普通用户很难清除。
(二)间谍软件(Spyware)
间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵,组成庞大的“僵尸网络”,这是目前网络安全的重要隐患之一。例如:某些软件会获取用户的软硬件配置,并发送出去用于商业目的。
(三)浏览器劫持
浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。用户在浏览网站时会被强行安装此类插件,普通用户根本无法将其卸载,被劫持后,用户只要上网就会被强行引导到其指定的网站,严重影响正常上网浏览。例如:一些不良站点会频繁弹出安装窗口,迫使用户安装某浏览器插件,甚至根本不征求用户意见,利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术(此技术通常被病毒使用)来逃避用户卸载,往往会造成浏览器错误、系统异常重启等。
(四)行为记录软件(Track Ware)
行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。危及用户隐私,可能被黑客利用来进行网络诈骗。例如:一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动
(五)恶意共享软件(malicious shareware)
恶意共享软件是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。使用“试用陷阱”强迫用户进行注册,否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。例如:用户安装某款媒体播放软件后,会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示;并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。
(六)行为记录软件(track ware)
行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。行为记录软件危及用户隐私,可能被黑客利用来进行网络诈骗。例如,一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动。
(七)恶作剧程序
恶作剧程序通常都是执行程序,本身没有过激危害,但影响正常工作的一类程序。恶作剧程序改变系统中部分文件的编码格式,运行没有任何提示,支持文件改名,支持文件合并器。恶作剧程序如果不是刻意散播,通常没有自我散播能力。例如,“涂改者234496”(Win32.Troj.Hider.i.234496)
这是一个恶作剧程序,复制自身到系统目录,设置自身为系统隐藏文件,并通过添加到系统服务方式随系统启动。该程序会修改系统文件夹选项中的“显示隐藏文件”部分来保护自身,并且修改exe文件的关联方式。
归纳起来,恶意软件有两大特点:一是编写病毒化。不少恶意软件为了防止被杀毒软件或恶意软件卸载工具发现,采用了病毒常用的Rootkit技术进行自我保护。Rootkit可以对自身及指定的文件进行隐藏或锁定,防止被发现和删除。更有一些恶意软件,采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件,便运行恶意代码,直接造成计算机死机、蓝屏,让用户误以为是杀毒软件存在问题。二是传播病毒化。为了达到更好的传播效果,并减小成本,不少中小厂商直接使用病毒进行“恶意推广”。用户的计算机感染病毒后,病毒会自动在后台运行,下载并安装恶意软件。同时,恶意软件安装后也会去从互联网自动下载运行病毒。大量的恶意软件开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等,这些行为严重危害到用户的信息安全和利益。恶意软件和病毒之间的界限已变得越来越模糊。随着恶意软件不断朝着病毒的方向发展,要想彻底杀灭恶意软件就必须采用反病毒技术。
二、恶意软件的技术分析
长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则重视不够。计算机系统的各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑,软件方面也更易存在隐患和潜在威胁。对计算机系统的测试,目前尚缺乏自动化检测工具和系统软件的完整检验手段,计算机系统的脆弱性,为恶意软件的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,为恶意软件创造了实施的空间;新的计算机技术在电子系统中不断应用,为恶意软件的实现提供了客观条件。实施恶意软件入侵的技术是五花八门,用好了可以伸张正义,用歪了却成为罪恶的帮凶。
(一)隐藏技术
隐藏是流氓软件的天性,也是病毒的一个特征,任何流氓软件都希望在用户的电脑中隐藏起来不被发现,由于隐藏的目的,衍生出隐藏的技术。可能的途径有:①窗口隐藏。恶意软件的目的就是不想为人所知,因此它们在运行的过程会将自己的程序窗口的属性设为“不可见”,这样用户就看不到程序的窗口了。②进程隐藏。恶意软件通过调用微软的一个未公开函数,将本身注册为服务,这样系统的任务管理器就无法显示这类程序的进程了,从而达到了隐藏自己的目的。③文件隐藏。恶意软件在安装时将自身拷贝到系统目录,然后将文件的属性设置为隐藏,这样,用户如果采用的是默认系统设置,则就无法看到他们。
(二)线程插入技术
线程是Windows系统为程序提供的并行处理机制,它允许一个程序在同一时间建立不同的线程,完成不同的操作。另外,由于Windows操作系统为了提高软件的复用性,减少重复开发的开销,采用了动态链接库机制,即将一些公用的程序放在DLL文件中,程序不用包括这些代码,只要在运行时对这些DLL文件直接进行调用就可以完成各种功能,而恶意软件正是利用了这一点。他们的可执行程序并不是EXE形式的,而是DLL形式,这类文件一般是存在于系统中,由可执行程序进行调用。
(三)RootKit技术
有些恶意软件绕过操作系统的API调用,直接利用更底层的调用,然后接管系统的高级API调用,当有程序试图查找它们时,便返回假信息,从而得以保护自己的技术。
(四)关联技术
①文件关联。恶意软件在进入用户系统的同时,在系统的不同地方产生多个相同或不同的相关联文件,一旦一个文件被删除了,另一个文件就会重新将这个文件恢复。②注册表关联。恶意软件在用户系统发作的时候,修改注册表,在run、winlogon、appinst等注册项中添加相关联键值。③网络关联。
三、恶意软件防范的对策和方法
(一)建立安全的防护体系意识
防范恶意软件的第一步,就是要有安全的多层意识,一是数据层;二是应用程序层;三是主机层;四是内部网络层;五是外围网络层;六是物理安全层;七是策略、过程和意识层。将安全的多层意识作用在计算机网络体系中,我们就可以逐层进行分析、进行有效的防范。
(二)安装防护软件和清除工具
防护软件和清除工具是查找和清除恶意软件的辅助手段。比如Grisoft公司出品的AVG Anti-Spyware是一款致力于确保数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁的防护软件,它的恶意软件查杀能力根据微软官方网站杀毒评测居世界第4位。
(三)软件产品的安全原则
软件开发商为了保证用户安全,软件产品的编写与设计应满足以下原则:用户可控制原则;用户环境安全原则;用户可操作原则;用户可移除原则;安装提示原则。
总的来说,恶意软件重在防范,大家只要对它有着警惕性,有着安全的上网意识,恶意软件即使长盛不衰,也不会对我们的工作、生活带来多大影响。要有不要轻易登陆不了解的网站,因为这样很有可能会中网页脚本病毒,从而使系统中上恶意软件。不要随便下载不熟 悉的软件,如果用户不了解这些软件,当这些软件中捆绑一些恶意软件时,用户也无法察觉。安装软件时应仔细阅读软件附带的用户协议及使用说明,有些软件在安装的过程中会以不引起用户注意的方式提示用户要安装恶意软件,这时如果用户不认真看提示的话,就会安装上恶意软件。
参考文献:
[1]黑客的攻击手段及用户对策》余建斌, 北京人民邮电出版社1998. .
[2]《计算机网络安全技术》 蔡立军,中国水利水电出版社2002.
[3]《2006年度中国网络安全分析报告》 张经伟、林潇,北京国卫博达科技网.
[4]《计算机病毒及防范的措施》杨剑、张友华、王霞,合智情报工作网.
[关键词]恶意软件 防护
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0520014-02
一、恶意软件的类型及特点
恶意软件是介于病毒和正规软件之间的软件,具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门)等,既有一定的实用价值,也会给用户带来种种干扰。这些程序未经用户许强行潜伏到用户电脑中,而且此类程序无卸载程序,无法正常卸载和删除,强行删除后还会自动生成。此外,像广告程序会强迫用户接受阅读广告信息,间谍软件搜集用敏感信息并向外发送,严重侵犯了用户的选择权和知情权。在最近几年,产生了以下几种主要的恶意软件:
(一)广告软件(Adware)
广告软件是指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。例如:用户安装了某下载软件后,会一直弹出带有广告内容的窗口,干扰正常使用。还有一些软件安装后,会在IE浏览器的工具栏位置添加与其功能不相干的广告图标,普通用户很难清除。
(二)间谍软件(Spyware)
间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵,组成庞大的“僵尸网络”,这是目前网络安全的重要隐患之一。例如:某些软件会获取用户的软硬件配置,并发送出去用于商业目的。
(三)浏览器劫持
浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。用户在浏览网站时会被强行安装此类插件,普通用户根本无法将其卸载,被劫持后,用户只要上网就会被强行引导到其指定的网站,严重影响正常上网浏览。例如:一些不良站点会频繁弹出安装窗口,迫使用户安装某浏览器插件,甚至根本不征求用户意见,利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术(此技术通常被病毒使用)来逃避用户卸载,往往会造成浏览器错误、系统异常重启等。
(四)行为记录软件(Track Ware)
行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。危及用户隐私,可能被黑客利用来进行网络诈骗。例如:一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动
(五)恶意共享软件(malicious shareware)
恶意共享软件是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。使用“试用陷阱”强迫用户进行注册,否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。例如:用户安装某款媒体播放软件后,会被强迫安装与播放功能毫不相干的软件(搜索插件、下载软件)而不给出明确提示;并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。
(六)行为记录软件(track ware)
行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。行为记录软件危及用户隐私,可能被黑客利用来进行网络诈骗。例如,一些软件会在后台记录用户访问过的网站并加以分析,有的甚至会发送给专门的商业公司或机构,此类机构会据此窥测用户的爱好,并进行相应的广告推广或商业活动。
(七)恶作剧程序
恶作剧程序通常都是执行程序,本身没有过激危害,但影响正常工作的一类程序。恶作剧程序改变系统中部分文件的编码格式,运行没有任何提示,支持文件改名,支持文件合并器。恶作剧程序如果不是刻意散播,通常没有自我散播能力。例如,“涂改者234496”(Win32.Troj.Hider.i.234496)
这是一个恶作剧程序,复制自身到系统目录,设置自身为系统隐藏文件,并通过添加到系统服务方式随系统启动。该程序会修改系统文件夹选项中的“显示隐藏文件”部分来保护自身,并且修改exe文件的关联方式。
归纳起来,恶意软件有两大特点:一是编写病毒化。不少恶意软件为了防止被杀毒软件或恶意软件卸载工具发现,采用了病毒常用的Rootkit技术进行自我保护。Rootkit可以对自身及指定的文件进行隐藏或锁定,防止被发现和删除。更有一些恶意软件,采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件,便运行恶意代码,直接造成计算机死机、蓝屏,让用户误以为是杀毒软件存在问题。二是传播病毒化。为了达到更好的传播效果,并减小成本,不少中小厂商直接使用病毒进行“恶意推广”。用户的计算机感染病毒后,病毒会自动在后台运行,下载并安装恶意软件。同时,恶意软件安装后也会去从互联网自动下载运行病毒。大量的恶意软件开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等,这些行为严重危害到用户的信息安全和利益。恶意软件和病毒之间的界限已变得越来越模糊。随着恶意软件不断朝着病毒的方向发展,要想彻底杀灭恶意软件就必须采用反病毒技术。
二、恶意软件的技术分析
长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则重视不够。计算机系统的各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑,软件方面也更易存在隐患和潜在威胁。对计算机系统的测试,目前尚缺乏自动化检测工具和系统软件的完整检验手段,计算机系统的脆弱性,为恶意软件的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,为恶意软件创造了实施的空间;新的计算机技术在电子系统中不断应用,为恶意软件的实现提供了客观条件。实施恶意软件入侵的技术是五花八门,用好了可以伸张正义,用歪了却成为罪恶的帮凶。
(一)隐藏技术
隐藏是流氓软件的天性,也是病毒的一个特征,任何流氓软件都希望在用户的电脑中隐藏起来不被发现,由于隐藏的目的,衍生出隐藏的技术。可能的途径有:①窗口隐藏。恶意软件的目的就是不想为人所知,因此它们在运行的过程会将自己的程序窗口的属性设为“不可见”,这样用户就看不到程序的窗口了。②进程隐藏。恶意软件通过调用微软的一个未公开函数,将本身注册为服务,这样系统的任务管理器就无法显示这类程序的进程了,从而达到了隐藏自己的目的。③文件隐藏。恶意软件在安装时将自身拷贝到系统目录,然后将文件的属性设置为隐藏,这样,用户如果采用的是默认系统设置,则就无法看到他们。
(二)线程插入技术
线程是Windows系统为程序提供的并行处理机制,它允许一个程序在同一时间建立不同的线程,完成不同的操作。另外,由于Windows操作系统为了提高软件的复用性,减少重复开发的开销,采用了动态链接库机制,即将一些公用的程序放在DLL文件中,程序不用包括这些代码,只要在运行时对这些DLL文件直接进行调用就可以完成各种功能,而恶意软件正是利用了这一点。他们的可执行程序并不是EXE形式的,而是DLL形式,这类文件一般是存在于系统中,由可执行程序进行调用。
(三)RootKit技术
有些恶意软件绕过操作系统的API调用,直接利用更底层的调用,然后接管系统的高级API调用,当有程序试图查找它们时,便返回假信息,从而得以保护自己的技术。
(四)关联技术
①文件关联。恶意软件在进入用户系统的同时,在系统的不同地方产生多个相同或不同的相关联文件,一旦一个文件被删除了,另一个文件就会重新将这个文件恢复。②注册表关联。恶意软件在用户系统发作的时候,修改注册表,在run、winlogon、appinst等注册项中添加相关联键值。③网络关联。
三、恶意软件防范的对策和方法
(一)建立安全的防护体系意识
防范恶意软件的第一步,就是要有安全的多层意识,一是数据层;二是应用程序层;三是主机层;四是内部网络层;五是外围网络层;六是物理安全层;七是策略、过程和意识层。将安全的多层意识作用在计算机网络体系中,我们就可以逐层进行分析、进行有效的防范。
(二)安装防护软件和清除工具
防护软件和清除工具是查找和清除恶意软件的辅助手段。比如Grisoft公司出品的AVG Anti-Spyware是一款致力于确保数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁的防护软件,它的恶意软件查杀能力根据微软官方网站杀毒评测居世界第4位。
(三)软件产品的安全原则
软件开发商为了保证用户安全,软件产品的编写与设计应满足以下原则:用户可控制原则;用户环境安全原则;用户可操作原则;用户可移除原则;安装提示原则。
总的来说,恶意软件重在防范,大家只要对它有着警惕性,有着安全的上网意识,恶意软件即使长盛不衰,也不会对我们的工作、生活带来多大影响。要有不要轻易登陆不了解的网站,因为这样很有可能会中网页脚本病毒,从而使系统中上恶意软件。不要随便下载不熟 悉的软件,如果用户不了解这些软件,当这些软件中捆绑一些恶意软件时,用户也无法察觉。安装软件时应仔细阅读软件附带的用户协议及使用说明,有些软件在安装的过程中会以不引起用户注意的方式提示用户要安装恶意软件,这时如果用户不认真看提示的话,就会安装上恶意软件。
参考文献:
[1]黑客的攻击手段及用户对策》余建斌, 北京人民邮电出版社1998. .
[2]《计算机网络安全技术》 蔡立军,中国水利水电出版社2002.
[3]《2006年度中国网络安全分析报告》 张经伟、林潇,北京国卫博达科技网.
[4]《计算机病毒及防范的措施》杨剑、张友华、王霞,合智情报工作网.