惡意軟件防護

惡意軟件防護

隨著計算機在社會生活各個領域的廣泛運用，因為惡意軟件所造成的軟件故障和防護方法也在不斷拓展。據實踐分析，計算機系統(tǒng)、計算機軟件出現(xiàn)故障，除了應用軟件本身存在的bug之外，病毒感染、攻擊，惡意軟件、惡意插件的攻擊層出不窮，嚴重地影響了人們日常工作，給計算機網絡和系統(tǒng)帶來了巨大的潛在威脅和破壞。2006年11月30日是微軟發(fā)布WindowsVista的一個里程碑，然而對于WindowsVista的第一個病毒竟是傳統(tǒng)的惡意軟件?？梢灶A見，隨著計算機、網絡運用的不斷普及、深入，防范惡意軟件將越來越受到各國的高度重視。

一、惡意軟件的類型及特征

惡意軟件是介于病毒和正規(guī)軟件之間的軟件，具備正常功能和惡意行為等，既有一定的實用價值，也會給用戶帶來種種干擾。這些程序未經用戶許強行潛伏到用戶電腦中，而且此類程序無卸載程序，無法正常卸載和刪除，強行刪除后還會自動生成。此外，像廣告程序會強迫用戶接受閱讀廣告信息，間諜軟件搜集用敏感信息并向外發(fā)送，嚴重侵犯了用戶的選擇權和知情權。在最近幾年，產生了以下幾種主要的惡意軟件摘要：

廣告軟件

廣告軟件是指未經用戶答應，下載并安裝在用戶電腦上；或和其他軟件捆綁，通過彈出式廣告等形式牟取商業(yè)利益的程序。此類軟件往往會強制安裝并無法卸載；在后臺收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運行變慢等。例如摘要：用戶安裝了某下載軟件后，會一直彈出帶有廣告內容的窗口，干擾正常使用。還有一些軟件安裝后，會在IE瀏覽器的工具欄位置添加和其功能不相干的廣告圖標，普通用戶很難清除。

間諜軟件

間諜軟件是一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件。用戶的隱私數據和重要信息會被“后門程序”捕捉，并被發(fā)送給黑客、商業(yè)公司等。這些“后門程序”甚至能使用戶的電腦被遠程操縱，組成龐大的“僵尸網絡”，這是目前網絡平安的重要隱患之一。例如摘要：某些軟件會獲取用戶的軟硬件配置，并發(fā)送出去用于商業(yè)目的。

瀏覽器劫持

瀏覽器劫持是一種惡意程序，通過瀏覽器插件、BHO、WinsockLSP等形式對用戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被強行引導到商業(yè)網站。用戶在瀏覽網站時會被強行安裝此類插件，普通用戶根本無法將其卸載，被劫持后，用戶只要上網就會被強行引導到其指定的網站，嚴重影響正常上網瀏覽。例如摘要：一些不良站點會頻繁彈出安裝窗口，迫使用戶安裝某瀏覽器插件，甚至根本不征求用戶意見，利用系統(tǒng)漏洞在后臺強制安裝到用戶電腦中。這種插件還采用了不規(guī)范的軟件編寫技術來逃避用戶卸載，往往會造成瀏覽器錯誤、系統(tǒng)異常重啟等。

行為記錄軟件

行為記錄軟件是指未經用戶許可，竊取并分析用戶隱私數據，記錄用戶電腦使用習慣、網絡瀏覽習慣等個人行為的軟件。危及用戶隱私，可能被黑客利用來進行網絡詐騙。例如摘要：一些軟件會在后臺記錄用戶訪問過的網站并加以分析，有的甚至會發(fā)送給專門的商業(yè)公司或機構，此類機構會據此窺測用戶的喜好，并進行相應的廣告推廣或商業(yè)活動

惡意共享軟件

惡意共享軟件是指某些共享軟件為了獲取利益，采用誘騙手段、試用陷阱等方式強迫用戶注冊，或在軟件體內捆綁各類惡意插件，未經答應即將其安裝到用戶機器里。使用“試用陷阱”強迫用戶進行注冊，否則可能會丟失個人資料等數據。軟件集成的插件可能會造成用戶瀏覽器被劫持、隱私被竊取等。例如摘要：用戶安裝某款媒體播放軟件后，會被強迫安裝和播放功能毫不相干的軟件而不給出明確提示；并且用戶卸載播放器軟件時不會自動卸載這些附加安裝的軟件。

行為記錄軟件

行為記錄軟件是指未經用戶許可，竊取并分析用戶隱私數據，記錄用戶電腦使用習慣、網絡瀏覽習慣等個人行為的軟件。行為記錄軟件危及用戶隱私，可能被黑客利用來進行網絡詐騙。例如，一些軟件會在后臺記錄用戶訪問過的網站并加以分析，有的甚至會發(fā)送給專門的商業(yè)公司或機構，此類機構會據此窺測用戶的喜好，并進行相應的廣告推廣或商業(yè)活動。

惡作劇程序

惡作劇程序通常都是執(zhí)行程序，本身沒有過激危害，但影響正常工作的一類程序。惡作劇程序改變系統(tǒng)中部分文件的編碼格式，運行沒有任何提示，支持文件改名,支持文件合并器。惡作劇程序假如不是刻意散播，通常沒有自我散播能力。例如，“涂改者234496”

這是一個惡作劇程序，復制自身到系統(tǒng)目錄，設置自身為系統(tǒng)隱藏文件，并通過添加到系統(tǒng)服務方式隨系統(tǒng)啟動。該程序會修改系統(tǒng)文件夾選項中的“顯示隱藏文件”部分來保護自身，并且修改exe文件的關聯(lián)方式。

歸納起來，惡意軟件有兩大特征摘要：一是編寫病毒化。不少惡意軟件為了防止被殺毒軟件或惡意軟件卸載工具發(fā)現(xiàn)，采用了病毒常用的Rootkit技術進行自我保護。Rootkit可以對自身及指定的文件進行隱藏或鎖定，防止被發(fā)現(xiàn)和刪除。更有一些惡意軟件，采用“自殺式”技術攻擊殺毒軟件。一旦發(fā)現(xiàn)用戶安裝或運行殺毒軟件，便運行惡意代碼，直接造成計算機死機、藍屏，讓用戶誤以為是殺毒軟件存在新問題。二是傳播病毒化。為了達到更好的傳播效果，并減小成本，不少中小廠商直接使用病毒進行“惡意推廣”。用戶的計算機感染病毒后，病毒會自動在后臺運行，下載并安裝惡意軟件。同時，惡意軟件安裝后也會去從互聯(lián)網自動下載運行病毒。大量的惡意軟件開始使用電腦病毒來隱藏自身、進行快速傳播、并對抗用戶的清除等，這些行為嚴重危害到用戶的信息平安和利益。惡意軟件和病毒之間的界限已變得越來越模糊。隨著惡意軟件不斷朝著病毒的方向發(fā)展，要想徹底殺滅惡意軟件就必須采用反病毒技術。

二、惡意軟件的技術分析

長期以來，人們設計計算機的目標主要是追求信息處理功能的提高和生產成本的降低，而對于平安新問題則重視不夠。計算機系統(tǒng)的各個組成部分，接口界面，各個層次的相互轉換，都存在著不少漏洞和薄弱環(huán)節(jié)。硬件設計缺乏整體平安性考慮，軟件方面也更易存在隱患和潛在威脅。對計算機系統(tǒng)的測試，目前尚缺乏自動化檢測工具和系統(tǒng)軟件的完整檢驗手段，計算機系統(tǒng)的脆弱性，為惡意軟件的產生和傳播提供了可乘之機；全球萬維網使“地球一村化”，為惡意軟件創(chuàng)造了實施的空間；新的計算機技術在電子系統(tǒng)中不斷應用，為惡意軟件的實現(xiàn)提供了客觀條件。實施惡意軟件入侵的技術是五花八門，用好了可以伸張正義，用歪了卻成為罪惡的幫兇。

隱藏技術

隱藏是流氓軟件的天性，也是病毒的一個特征，任何流氓軟件都希望在用戶的電腦中隱藏起來不被發(fā)現(xiàn)，由于隱藏的目的，衍生出隱藏的技術。可能的途徑有摘要：①窗口隱藏。惡意軟件的目的就是不想為人所知，因此它們在運行的過程會將自己的程序窗口的屬性設為“不可見”，這樣用戶就看不到程序的窗口了。②進程隱藏。惡意軟件通過調用微軟的一個未公開函數，將本身注冊為服務，這樣系統(tǒng)的任務管理器就無法顯示這類程序的進程了，從而達到了隱藏自己的目的。③文件隱藏。惡意軟件在安裝時將自身拷貝到系統(tǒng)目錄，然后將文件的屬性設置為隱藏，這樣，用戶假如采用的是默認系統(tǒng)設置，則就無法看到他們。

線程插入技術

線程是Windows系統(tǒng)為程序提供的并行處理機制，它答應一個程序在同一時間建立不同的線程，完成不同的操作。另外，由于Windows操作系統(tǒng)為了提高軟件的復用性，減少重復開發(fā)的開銷，采用了動態(tài)鏈接庫機制，即將一些公用的程序放在DLL文件中，程序不用包括這些代碼，只要在運行時對這些DLL文件直接進行調用就可以完成各種功能，而惡意軟件正是利用了這一點。他們的可執(zhí)行程序并不是EXE形式的，而是DLL形式，這類文件一般是存在于系統(tǒng)中，由可執(zhí)行程序進行調用。

RootKit技術

有些惡意軟件繞過操作系統(tǒng)的API調用，直接利用更底層的調用，然后接管系統(tǒng)的高級API調用，當有程序試圖查找它們時，便返回假信息，從而得以保護自己的技術。

關聯(lián)技術

①文件關聯(lián)。惡意軟件在進入用戶系統(tǒng)的同時，在系統(tǒng)的不同地方產生多個相同或不同的相關聯(lián)文件，一旦一個文件被刪除了，另一個文件就會重新將這個文件恢復。②注冊表關聯(lián)。惡意軟件在用戶系統(tǒng)發(fā)作的時候，修改注冊表，在run、winlogon、appinst等注冊項中添加相關聯(lián)鍵值。③網絡關聯(lián)。

三、惡意軟件防范的策略和方法

建立平安的防護體系意識

防范惡意軟件的第一步，就是要有平安的多層意識，一是數據層；二是應用程序層；三是主機層；四是內部網絡層；五是外圍網絡層；六是物理平安層；七是策略、過程和意識層。將平安的多層意識功能在計算機網絡體系中，我們就可以逐層進行分析、進行有效的防范。

安裝防護軟件和清除工具

防護軟件和清除工具是查找和清除惡意軟件的輔助手段。比如Grisoft公司出品的AVGAnti-Spyware是一款致力于確保數據平安,保護您的隱私,抵御間諜軟件,廣告軟件,木馬,撥號程序,鍵盤記錄程序和蠕蟲的威脅的防護軟件，它的惡意軟件查殺能力根據微軟官方網站殺毒評測居世界第4位。

軟件產品的平安原則

軟件開發(fā)商為了保證用戶平安，軟件產品的編寫和設計應滿足以下原則摘要：用戶可控制原則；用戶環(huán)境平安原則；用戶可操作原則；用戶可移除原則；安裝提示原則。

總的來說，惡意軟件重在防范，大家只要對它有著警惕性，有著平安的上網意識，惡意軟件即使長盛不衰，也