1、惡意代碼及其檢測(cè)技術(shù)惡意代碼及其檢測(cè)技術(shù)1.1.惡意代碼概述惡意代碼概述1.11.1定義定義惡意代碼也可以稱為Malware，目前已經(jīng)有許多定義。例如EdSkoudis將Malware定義為運(yùn)行在計(jì)算機(jī)上，使系統(tǒng)按照攻擊者的意愿執(zhí)行任務(wù)的一組指令。微軟“計(jì)算機(jī)病毒防護(hù)指南”中獎(jiǎng)術(shù)語(yǔ)“惡意軟件”用作一個(gè)集合名詞，指代故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬。隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的快速發(fā)展，惡意代碼的傳播速度也已超出人們想象，

2、特別是人們可以直接從網(wǎng)站獲得惡意代碼源碼或通過(guò)網(wǎng)絡(luò)交流代碼。很多編程愛(ài)好者把自己編寫的惡意代碼放在網(wǎng)上公開(kāi)討論，發(fā)布自己的研究成果，直接推動(dòng)了惡意代碼編寫技術(shù)發(fā)展。所以目前網(wǎng)絡(luò)上流行的惡意代碼及其變種層出不窮，攻擊特點(diǎn)多樣化。1.21.2類型類型按照惡意代碼的運(yùn)行特點(diǎn)，可以將其分為兩類：需要宿主的程序和獨(dú)立運(yùn)行的程序。前者實(shí)際上是程序片段，他們不能脫離某些特定的應(yīng)用程序或系統(tǒng)環(huán)境而獨(dú)立存在；而獨(dú)立程序是完整的程序，操作系統(tǒng)能夠調(diào)度和運(yùn)行

3、他們；按照惡意代碼的傳播特點(diǎn)，還可以把惡意程序分成不能自我復(fù)制和能夠自我復(fù)制的兩類。不能自我復(fù)制的是程序片段，當(dāng)調(diào)用主程序完成特定功能時(shí)，就會(huì)激活它們；能夠自我復(fù)制的可能是程序片段（如病毒），也可能是一個(gè)獨(dú)立是指惡意代碼執(zhí)行的情況下利用程序調(diào)試工具對(duì)惡意代碼實(shí)施跟蹤和觀察，確定惡意代碼的工作過(guò)程對(duì)靜態(tài)分析結(jié)果進(jìn)行驗(yàn)證。（1）系統(tǒng)調(diào)用行為分析方法正常行為分析常被應(yīng)用于異常檢測(cè)之中，是指對(duì)程序的正常行為輪廓進(jìn)行分析和表示，為程序建立一個(gè)安全

4、行為庫(kù)，當(dāng)被監(jiān)測(cè)程序的實(shí)際行為與其安全行為庫(kù)中的正常行為不一致或存在一定差異時(shí)，即認(rèn)為該程序中有一個(gè)異常行為，存在潛在的惡意性。惡意行為分析則常被誤用檢測(cè)所采用，是通過(guò)對(duì)惡意程序的危害行為或攻擊行為進(jìn)行分析，從中抽取程序的惡意行為特征，以此來(lái)表示程序的惡意性。（2）啟發(fā)式掃描技術(shù)啟發(fā)式掃描技術(shù)是為了彌補(bǔ)被廣泛應(yīng)用的特征碼掃面技術(shù)的局限性而提出來(lái)的.其中啟發(fā)式是指“自我發(fā)現(xiàn)能力或運(yùn)用某種方式或方法去判定事物的知識(shí)和技能”。2.22.2惡意