惡意代碼防治本講要點1.惡意代碼機理分析2.惡意代碼涉及的法律問題與防治管理3.面向惡意代碼檢測的軟件可信驗證4.應用案例1.惡意代碼機理分析（1）計算機病毒：計算機病毒（ComputerVirus）的概念在我國1994年2月28日頒布的《計算機信息系統(tǒng)安全保護條例》中是這樣定義計算機病毒的：“指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，且能自我復制的一組計算機指令或者程序代碼。”計算機病毒的基本結(jié)構(gòu)及其工作機制計算機病毒的典型組成包括3個部分：引導模塊、傳染模塊和表現(xiàn)模塊。1.惡意代碼機理分析（2）蠕蟲：蠕蟲（Worm）的概念網(wǎng)絡(luò)蠕蟲是一種智能化、自動化，綜合網(wǎng)絡(luò)攻擊、密碼學和計算機病毒技術(shù)，不需要計算機使用者干預即可運行的攻擊程序或代碼，它會主動掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網(wǎng)或者因特網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點。蠕蟲的基本結(jié)構(gòu)及工作機制結(jié)構(gòu)網(wǎng)絡(luò)蠕蟲的攻擊行為通常可以分為4個階段：信息收集、掃描探測、攻擊滲透和自我推進。網(wǎng)絡(luò)蠕蟲的一個功能結(jié)構(gòu)框架包括主體功能模塊和輔助功能模塊兩大部分。1.惡意代碼機理分析（3）木馬：木馬（Trojan）的概念木馬的定義一個有用的、或者表面上有用的程序或者命令過程，但是實際上包含了一段隱藏的、激活時會運行某種有害功能的代碼，它使得非法用戶達到進入系統(tǒng)、控制系統(tǒng)甚至破壞系統(tǒng)的目的。1.惡意代碼機理分析（3）木馬：木馬（Trojan）的概念木馬的類型按照木馬的應用性功能：

①控制類木馬②信息竊取類木馬③下載者類木馬。按照木馬的網(wǎng)絡(luò)架構(gòu)劃分：

①C/S結(jié)構(gòu)②B/S結(jié)構(gòu)③P2P結(jié)構(gòu)1.惡意代碼機理分析（3）木馬：木馬（Trojan）的概念木馬的特點破壞性。非授權(quán)性。隱蔽性。木馬和蠕蟲的區(qū)別蠕蟲和木馬的共性是自我傳播，都不感染其他文件。在傳播特性上，它們的微小區(qū)別是：木馬需要誘騙用戶上當后進行傳播，而蠕蟲不是。蠕蟲包含自我復制程序，它利用所在的系統(tǒng)進行主動傳播。一般認為，蠕蟲的破壞性更多的體現(xiàn)在耗費系統(tǒng)資源的拒絕服務攻擊上，而木馬更多體現(xiàn)在秘密竊取用戶信息上。1.惡意代碼機理分析（3）木馬：木馬的基本結(jié)構(gòu)及工作機制結(jié)構(gòu)用木馬進行網(wǎng)絡(luò)入侵大致可分為6個步驟：配置木馬、傳播木馬、運行木馬、信息反饋、建立連接和遠程控制。1.惡意代碼機理分析（4）后門：后門（Backdoor）的概念后門是指繞過安全控制而獲取對程序或系統(tǒng)訪問權(quán)的方法。后門僅僅是一個訪問系統(tǒng)或控制系統(tǒng)的通道，其本身并不具有其他惡意代碼的直接攻擊行為。后門的產(chǎn)生開發(fā)者用于軟件開發(fā)調(diào)試產(chǎn)生的后門攻擊者在軟件中設(shè)置的后門1.惡意代碼機理分析（5）Rootkit：Rootkit的概念目前通常所說的Rootkit是指：一類木馬后門工具，通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)限并隱藏在計算機中。Rootkit的分類及工作機制Rootkit在計算機系統(tǒng)所處的層次及工作原理Rootkit技術(shù)的發(fā)展演化1.惡意代碼機理分析（6）勒索軟件：勒索軟件（Ransomware）的概念勒索軟件是黑客用來劫持用戶資產(chǎn)或資源并以此為條件向用戶勒索錢財?shù)囊环N惡意軟件。勒索軟件的發(fā)展演化勒索軟件的發(fā)展勒索軟件的傳播1.惡意代碼機理分析（7）惡意代碼技術(shù)的發(fā)展：攻擊手段綜合化攻擊目標擴大化攻擊平臺多樣化攻擊通道隱蔽化攻擊技術(shù)縱深化2.惡意代碼涉及的法律問題與防治管理（1）惡意代碼涉及的法律問題：自20世紀90年代起，我國先后制定了若干防治計算機病毒等惡意代碼的法律規(guī)章，如《計算機信息系統(tǒng)安全保護條例》《計算機病毒防治管理辦法》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》，以及2017年6月1日起施行的《網(wǎng)絡(luò)安全法》等。這些法律法規(guī)都強調(diào)了以下兩點。制作、傳播惡意代碼是一種違法犯罪行為。疏于防治惡意代碼也是一種違法犯罪行為。2.惡意代碼涉及的法律問題與防治管理（1）惡意代碼涉及的法律問題：對惡意代碼違法行為的法律制裁對計算機病毒違法行為的行政制裁對計算機病毒違法行為的刑事制裁惡意代碼違法行為的民事制裁2.惡意代碼涉及的法律問題與防治管理（2）惡意代碼防治管理：增強法律意識，自覺履行惡意代碼防治責任健全管理制度，嚴格執(zhí)行惡意代碼防治規(guī)定3.面向惡意代碼檢測的軟件可信驗證軟件可信驗證模型：可信驗證可從以下4個方面進行:軟件特征（Feature）可信。軟件身份（Identity）可信。軟件能力（Capability）可信。軟件運行環(huán)境（Environment）可信。17惡意代碼檢測的傳統(tǒng)方法主要有特征碼方法、基于程序完整性的方法、基于程序行為的方法以及基于程序語義的方法等。近年來又出現(xiàn)了許多新型的檢測方法，如基于數(shù)據(jù)挖掘和機器學習的方法、基于生物免疫的檢測方法以及基于人工智能的方法等。各種檢測方法都有一定的側(cè)重點，有的側(cè)重于提取判定依據(jù)，有的側(cè)重于設(shè)計判定模型。面對惡意代碼攻擊手段的綜合化、攻擊目標的擴大化、攻擊平臺的多樣化、攻擊通道的隱蔽化、攻擊技術(shù)的縱深化，采用單一技術(shù)的惡意代碼檢測變得越來越困難。為此，本講從一個系統(tǒng)化、宏觀的角度來探討惡意代碼的防范問題。3.面向惡意代碼檢測的軟件可信驗證18在網(wǎng)絡(luò)空間環(huán)境中，攻擊者可以肆意傳播惡意代碼，或是對正常軟件進行非法篡改，或捆綁上惡意軟件，以達到非法目的。可以說惡意軟件的泛濫及其產(chǎn)生嚴重危害的根源是軟件的可信問題。在網(wǎng)絡(luò)空間環(huán)境中，計算機系統(tǒng)，包括硬件及其驅(qū)動程序、網(wǎng)絡(luò)、操作系統(tǒng)、中間件、應用軟件、信息系統(tǒng)使用者以及系統(tǒng)啟動時的初始化操作等形成的鏈條上的任何一個環(huán)節(jié)出現(xiàn)問題，都會導致計算機系統(tǒng)的不可信，其中各種應用軟件的可信性問題是一個重要環(huán)節(jié)。3.面向惡意代碼檢測的軟件可信驗證19由于網(wǎng)絡(luò)的應用規(guī)模不斷擴展，應用復雜度不斷提高，所涉及的資源種類和范圍不斷擴大，各類資源具有開放性、動態(tài)性、多樣性、不可控性和不確定性等特性，這都對網(wǎng)絡(luò)空間環(huán)境下軟件的可信保障提出了更高的要求。人們?nèi)找嬲J識到，在網(wǎng)絡(luò)空間環(huán)境下軟件的可信性已經(jīng)成為一個亟待解決的問題。影響軟件可信的因素包括：軟件危機、軟件缺陷、軟件錯誤、軟件故障、軟件失效以及惡意代碼的威脅等。我們這里所關(guān)注的是惡意代碼所帶來的軟件可信問題。3.面向惡意代碼檢測的軟件可信驗證20對于軟件可信問題的討論由來已久。Anderson于1972年首次提出了可信系統(tǒng)的概念，自此，應用軟件的可信性問題就一直受到廣泛關(guān)注。多年來，人們對于可信的概念提出了很多不同的表述，3.面向惡意代碼檢測的軟件可信驗證21思路：ISO/IEC15408標準和可信計算組織（TrustedComputingGroup）將可信定義為：一個可信的組件、操作或過程的行為在任意操作條件下是可預測的，并能很好地抵抗應用軟件、病毒以及一定的物理干擾造成的破壞。從可信軟件這樣一個更宏觀的角度探討惡意代碼的防范問題。3.面向惡意代碼檢測的軟件可信驗證22可信驗證可從4個方面進行，建立的軟件可信驗證FICE模型如圖所示。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證23（1）特征可信驗證軟件的可信性要求其獨有的特征指令序列總是處于惡意軟件特征碼庫之外，或其Hash值總是保持不變。其技術(shù)核心是特征碼的獲取和Hash值的比對。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證241）特征碼掃描技術(shù)，首先提取新惡意軟件的獨有特征指令序列，并將其更新至病毒特征碼庫，在檢測時將當前文件與特征庫進行對比，判斷是否存在某一文件片段與已知樣本相吻合，從而驗證文件的可信性。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證252）完整性驗證方法無需提取軟件的獨有特征指令序列，首先計算正常文件的哈希值（校驗和），并將其保存起來，當需要驗證該文件的可信性時，只需再次計算其哈希值，并與之前保存起來的值比較，若存在差異，則說明該文件已被修改，成為不可信軟件。例如，完整性驗證法常用于驗證下載軟件的可信性。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證263）動態(tài)污點跟蹤分析法是一種比較新穎的技術(shù)，其技術(shù)路線是：將來自于網(wǎng)絡(luò)等不可信渠道的數(shù)據(jù)都標記為“被污染”的，且經(jīng)過一系列算術(shù)和邏輯操作之后產(chǎn)生的新數(shù)據(jù)也會繼承源數(shù)據(jù)的“是否被污染”的屬性，這樣一旦檢測到已被污染的數(shù)據(jù)有危險操作時，都會被視為非法操作，此后系統(tǒng)便會報警。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證27（2）身份可信驗證通常，用戶獲得的軟件程序不是購自供應商，就是來自網(wǎng)絡(luò)的共享軟件，用戶對這些軟件往往非常信賴，殊不知正是由于這種盲目的信任，將可能招致重大的損失。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證28傳統(tǒng)的基于身份的信任機制主要提供面向同一組織或管理域的授權(quán)認證。如PKI和PMI等技術(shù)依賴于全局命名體系和集中可信權(quán)威，對于解決單域環(huán)境的安全可信問題具有良好效果。然而，隨著軟件應用向開放和跨組織的方向發(fā)展，如何在不可確知系統(tǒng)邊界的前提下實現(xiàn)有效的身份認證，如何對跨組織和管理域的協(xié)同提供身份可信保障已成為新的問題。因此，代碼簽名技術(shù)應運而生。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證29代碼簽名技術(shù)可以用來進行代碼來源（身份）可信性的判斷，即通過軟件附帶的數(shù)字證書進行合法性、完整性的驗證，以免受惡意軟件的侵害。從用戶角度，可以通過代碼簽名服務鑒別軟件的發(fā)布者及軟件在傳輸過程中是否被篡改。如果某軟件在用戶計算機上執(zhí)行后造成惡性后果，由于代碼簽名服務的可審計性，用戶可依法向軟件發(fā)布者索取賠償，將很好的制止軟件開發(fā)者發(fā)布攻擊性代碼的行為。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證303.面向惡意代碼檢測的軟件可信驗證證書頒發(fā)機構(gòu)CA驗證申請者身份后頒發(fā)驗證證書是否可信選擇同樣哈希函數(shù)計算二者比對相同不同公鑰證書軟件開發(fā)者軟件代碼軟件哈希值計算代碼哈希代碼簽名（密文）具有數(shù)字簽名的軟件（軟件代碼+代碼簽名+公鑰證書）申請公鑰證書用私鑰簽名代碼簽名公鑰證書具有數(shù)字簽名的軟件（軟件代碼+代碼簽名+公鑰證書）軟件傳播軟件原哈希值驗證通過后公鑰解密軟件哈希值軟件代碼軟件不可信軟件可信代碼簽名過程簽名驗證過程3.面向惡意代碼檢測的軟件可信驗證31本機系統(tǒng)軟件代碼簽名驗證：依次點擊“開始”→“所有程序”→“附件”，點擊“運行”（或者使用組合鍵win+r）。在“運行”對話框中，輸入sigverif。然后點擊“確定”按鈕。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證32在彈出的“文件簽名驗證”窗口下，點擊“開始”按鈕。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證33進入文件簽名的系統(tǒng)驗證過程。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證34返回到“文件簽名驗證”窗口下，點擊圖中“高級”按鈕。在彈出的“高級文件簽名驗證設(shè)置”窗口下，點擊“查看日志”按鈕，查看簽名驗證的記錄。軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證35IE中軟件簽名驗證設(shè)置：首先打開IE瀏覽器Internet選項對話框，進入“高級”頁框，去掉“允許運行或安裝軟件，即使簽名無效”選項前面的勾。“下載未簽名的ActiveX控件”選項選擇“禁用（推薦）”“下載已簽名的ActiveX控件”選擇選擇“提示（推薦）”軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證36軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment3.面向惡意代碼檢測的軟件可信驗證37（3）能力可信驗證可以從分析軟件的靜態(tài)行為和動態(tài)行為兩大方面進行軟件的能力可信驗證。所謂“靜態(tài)分析”，是指在不運行可執(zhí)行文件的前提下，對可執(zhí)行文件進行分析，收集其中所包含信息的方法。在程序加載前，首先利用反匯編工具掃描其代碼，查看其模塊組成和系統(tǒng)函數(shù)調(diào)用情況，然后與預先設(shè)置好的一系列惡意程序特征函數(shù)集作交集運算，這樣可確定待驗證軟件的危險系統(tǒng)函數(shù)調(diào)用情況，并大致估計其功能和類型，從而判斷出該軟件的可信性。3.面向惡意代碼檢測的軟件可信驗證38鑒于源代碼靜態(tài)分析法在直接分析相應軟件源代碼方面的困難，動態(tài)行為可信驗證技術(shù)誕生了。動態(tài)分析是在一個可以控制和檢測的環(huán)境下運行可執(zhí)行文件，然后觀察并記錄其對系統(tǒng)的影響。有可分為系統(tǒng)狀態(tài)建模、系統(tǒng)關(guān)鍵位置監(jiān)測軟件行為、內(nèi)核狀態(tài)監(jiān)測等關(guān)鍵技術(shù)。3.面向惡意代碼檢測的軟件可信驗證39例如，ESETNod32查毒軟件和360查毒軟件中都有類似技術(shù)的應用軟件可信驗證模型FICE特征可信驗證Feature身份可信驗