惡意代碼機理與防范技術解析

阮兆文　孟干　周冬青　吳毅華

摘 要：網絡病毒等惡意網絡入侵手段的原理在于惡意代碼編程，此類代碼一旦進入到計算機內部，就會可能導致用戶無法操作計算機，之后肆意的盜取、修改計算機信息，由此說明此行為會威脅到網絡安全。為了避免此類行為的影響，本文將在普遍視角下，對此行為的惡意代碼機理進行分析，同時針對惡意代碼機理提出相關的防范技術。

關鍵詞：惡意代碼；機理；防范技術

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2018）23-0039-02

網絡是在技術發展之下出現的一種具有高性能、高兼容性、高效率等優勢的虛擬平臺，因為該平臺的優異性能，所以愈發受到現代人群的關注，直至今日網絡已經普及到全世界各個領域當中，形成了虛擬的“網絡環境”。網絡環境規模龐大，其中各個結構錯綜復雜，在此前提下，各結構之間就會存在漏洞，這些漏洞的形態不一，但大多數都存在一個共同點就是可以與外界連通，此時無疑給了惡意代碼“可乘之機”。但因為漏洞形態不一，同時惡意代碼的目的也不相同，所以不同的惡意代碼機理也是不同的，這也說明要保護網絡環境安全，需針對不同惡意代碼機理采用不同的防范技術。

1 惡意代碼傳播與觸發

在現代社會視角下，信息之間的交互、流通是在所難免的網絡行為，在此行為之下大量的信息會通過相應的網絡渠道進行傳輸，此時惡意代碼會偽裝成信息混入正常信息當中，以此在信息交互行為之下完成傳播，這就是最常見的惡意代碼傳播方法，另外，因為網絡交互傳輸渠道的形態不一，惡意代碼的傳播形態也產生了許多變化，例如，惡意代碼在網絡環境當中偽裝成正常的可下載信息，此時當網絡用戶下載此信息時，就使得惡意代碼進入計算機，達成傳播入侵的目的[1]。

在惡意代碼進入目標環境之后，就會展現出兩種狀態，即隱蔽狀態、運作狀態。隱蔽狀態是指一些不會立即發作的惡意代碼，此類代碼在進入計算機之后，并不會立刻造成破壞，而是隱藏在大量的信息文件當中，監控計算機資源的變化，以此來粗略判定用戶當前行為，例如當計算機資源集中在某一個點的時候，就會判定用戶注意力集中在此點上，此時就觸發了惡意代碼的運作機制，開始緩緩的對計算機信息進行盜取、篡改等；運作狀態是指一些立即發作的惡意代碼，此類代碼省去了隱蔽階段，直接對計算機信息進行盜取，同時此類代碼往往還具備遮擋功能，以著名的“熊貓燒香”來看，據悉當初感染此惡意代碼的計算機屏幕上，均會顯示出“熊貓燒香”的卡通圖片，用戶無法對計算機進行任何操作，此舉就實現了遮擋，在遮擋的掩護之下，此類惡意代碼就可以肆意妄為[2]。

2 惡意代碼機理分析

2.1 惡意代碼六大機理

雖然現代惡意代碼的形態多變，并且目的各不相同，但是大體機理框架都一樣，根據其發作過程可以分為六個部分：侵入機理、維持機理、隱蔽機理、潛伏機理、破壞機理、循環機理，下文將對此六大機理進行逐一分析。惡意代碼6大機理模型圖1所示。

（1）侵入機理。惡意代碼要對某個計算機進行干擾或者惡意操作時，就必須要進入計算機內部，這是惡意代碼運作機理中必備的前置條件。正如上文所述，所謂的惡意代碼侵入機理，即通過不同的信息交互途徑來完成侵入（也有其他侵入手段，例如黑客惡意攻擊、惡意代碼植入等）。（2）維持機理。結合上述中惡意代碼進入目標內部之后的兩個狀態可見，兩者均在一個共同的特點就是持續性，例如隱蔽狀態需要保持長期隱蔽，運作狀態需要持續運作，只有在持續狀態下，才能保障惡意代碼不會被其他技術手段干擾。（3）隱蔽機理。針對不會立即發作的惡意代碼，此類代碼在編寫時就考慮到了隱蔽性的問題，因此編寫者會在編寫內容當中加入一些能夠幫助代碼隱蔽的指令，例如刪除源文件，并將自身命名為源文件名字，以此來實現隱蔽，甚至有部分惡意代碼還能篡改計算機系統的安全策略來實現隱蔽。（4）潛伏機理。潛伏機理存在兩個部分，即在隱蔽機理之下監控計算機資源，同時緩慢篡改計算機權限、當權限達到一定程度之后就會開始發作。（5）破壞機理。根據代碼編寫者的目的，完成遮擋、搜尋攻擊目標，并實質對目標進行惡意操作，例如破壞目標。（6）循環機理。大多數惡意代碼是具有傳播性的，即在不斷的運作當中，代碼程序還會通過侵入目標試圖對其他計算機進行侵入，當侵入一個新的目標時，惡意代碼會依照循環指令重新執行1～5的機理。

2.2 惡意代碼的關鍵技術

目前，惡意代碼中常見的生存類技術有：反跟蹤技術、加密技術、模糊變換技術，下文將對此進行逐一分析。

（1）反跟蹤技術主要能夠提高惡意代碼的偽裝能力以及防護能力，因為當某個代碼進入計算機之后，可能會受到一些防護措施的阻攔，之后防護措施會嘗試對代碼進行破譯，確認代碼是否屬于惡意代碼，此時為了能夠順利進入計算機，就需要通過反跟蹤技術來欺騙防護措施或躲避防護措施的破譯行為。根據現代防護計算的種類，反跟蹤技術可以分為兩個類型，即反動態跟蹤技術、反靜態分析技術，反動態跟蹤技術可以直接封鎖鍵盤輸入或屏幕顯示功能，在此兩項功能被封鎖之后，大多數防護措施的運行就失去了支撐，使防護措施無法繼續工作；反靜態分析技術，主要在指令流當中輸入偽裝指令，這些指令雖然不具備實質作用，但是能夠阻隔靜態反匯編獲得全部的指令，此時靜態反匯編就無法運作。（2）加密技術是完全作用于惡意代碼本身的一種技術，其主要功能為：加密惡意代碼，阻隔外部分析軟件以及分析人員對惡意代碼的解讀，使其無法針對惡意代碼的原理制定相應的防護措施。常見的惡意代碼加密技術分為三類，即信息加密技術、數據加密技術、程序代碼加密技術，此三類加密技術往往可以同時使用，全方位封鎖外部分析對惡意代碼的解讀。此外，加密技術會與反跟蹤技術一同使用，提高惡意代碼運作的“安全性”。（3）模糊變換技術。如果惡意代碼的內容完全固定，那么在使用之下很可能短期就被人所破解，對于攻擊者而言其利益無法達到最大化，而通過模糊變換技術，則能夠使惡意代碼不斷的產生變動，機理上即當惡意代碼每感染一個目標時，其在目標內隱蔽或潛伏的狀態都會不一樣，以此來防止針對性的識別、破譯，并且如果不能及時對此代碼進行處理，那么隨著變化此時的增加，處理惡意代碼的難度也會逐漸增加。

3 惡意代碼防范技術

3.1 MCDF防范技術

MCDF防范技術是一種結合了傳統主機防范技術以及網絡防范技術特點之后，所產生的綜合性防范技術，其優點在于全覆蓋防護，能夠有效阻止惡意代碼的入侵[3]。

此項技術主要原理是檢測每一個新進代碼，同時根據代碼來源分為兩個不同的檢測路徑，即如果是來源于網絡的代碼，例如網頁下載代碼，該代碼就需要通過MCDF-NS、MCDF-HS檢測模塊，檢測當中根據MCDF防范技術的安全防護策略，首先會排除無法識別、確認為惡意代碼、存在疑問的代碼，其次針對部分具有欺詐性的代碼，在檢測時會統計計算機所有文件名，并將代碼與文件名比對，如果出現大量相似的問題，那么就認定該代碼是存在疑問的代碼，之后激發預警系統，通過人工協助來對代碼進行識別。如果代碼來源于主機，那么MCDF防范技術會通常會采用誤用檢測方法來進行檢測，此項技術原理上能夠對來源于主機的所有代碼進行掃描，得出代碼的特征，依照代碼特征再與惡意代碼特征庫進行比對，根據安全策略，一般特征相似度超過30%就會被初步判定為惡意代碼，之后根據用戶自身的操作，來決定該代碼的“去留”，誤用檢測方法流程款框架圖2所示。

3.2 惡意代碼防范策略

惡意代碼的防范策略主要圍繞防范技術本身與用戶意識，在防范技術本身上，其必須具備了解惡意代碼特征、破譯代碼內容、控制代碼運作、預警等功能，以此才能完成與用戶之間的交互，在用戶意識上，用戶應當深刻人知道惡意代碼的威脅性，認真對待防范技術提供的代碼信息，如無完全的把握建議刪除代碼。

4 結語

本文主要分析了惡意代碼機理與防范技術，分析當中首先對惡意代碼傳播與觸發進行了闡述，了解了惡意代碼的威脅、原理等，之后針對常見的惡意代碼6大機理、關鍵技術進行了分析，最終介紹了MCDF防范技術，并提出了相關的防范策略。

參考文獻

[1]亓慧喬.人防通信系統中的惡意代碼分析與防范[J].電腦知識與技術，2017，（7）：47.

[2]李健.人民防空指揮應急通信系統建設研究[J].黑龍江科學，2017，（6）：88-89.

[3]劉威.試論計算機網絡維護策略及病毒防治技術應用[J].中國管理信息化，2016，（12）：161-162.