惡意代碼技術及其檢測方法

1、惡意代碼及其檢測技術惡意代碼及其檢測技術1.1.惡意代碼概述惡意代碼概述1.11.1定義定義惡意代碼也可以稱為Malware，目前已經(jīng)有許多定義。例如EdSkoudis將Malware定義為運行在計算機上，使系統(tǒng)按照攻擊者的意愿執(zhí)行任務的一組指令。微軟“計算機病毒防護指南”中獎術語“惡意軟件”用作一個集合名詞，指代故意在計算機系統(tǒng)上執(zhí)行惡意任務的病毒、蠕蟲和特洛伊木馬。隨著網(wǎng)絡和計算機技術的快速發(fā)展，惡意代碼的傳播速度也已超出人們想象，

2、特別是人們可以直接從網(wǎng)站獲得惡意代碼源碼或通過網(wǎng)絡交流代碼。很多編程愛好者把自己編寫的惡意代碼放在網(wǎng)上公開討論，發(fā)布自己的研究成果，直接推動了惡意代碼編寫技術發(fā)展。所以目前網(wǎng)絡上流行的惡意代碼及其變種層出不窮，攻擊特點多樣化。1.21.2類型類型按照惡意代碼的運行特點，可以將其分為兩類：需要宿主的程序和獨立運行的程序。前者實際上是程序片段，他們不能脫離某些特定的應用程序或系統(tǒng)環(huán)境而獨立存在；而獨立程序是完整的程序，操作系統(tǒng)能夠調(diào)度和運行

3、他們；按照惡意代碼的傳播特點，還可以把惡意程序分成不能自我復制和能夠自我復制的兩類。不能自我復制的是程序片段，當調(diào)用主程序完成特定功能時，就會激活它們；能夠自我復制的可能是程序片段（如病毒），也可能是一個獨立是指惡意代碼執(zhí)行的情況下利用程序調(diào)試工具對惡意代碼實施跟蹤和觀察，確定惡意代碼的工作過程對靜態(tài)分析結果進行驗證。（1）系統(tǒng)調(diào)用行為分析方法正常行為分析常被應用于異常檢測之中，是指對程序的正常行為輪廓進行分析和表示，為程序建立一個安全

4、行為庫，當被監(jiān)測程序的實際行為與其安全行為庫中的正常行為不一致或存在一定差異時，即認為該程序中有一個異常行為，存在潛在的惡意性。惡意行為分析則常被誤用檢測所采用，是通過對惡意程序的危害行為或攻擊行為進行分析，從中抽取程序的惡意行為特征，以此來表示程序的惡意性。（2）啟發(fā)式掃描技術啟發(fā)式掃描技術是為了彌補被廣泛應用的特征碼掃面技術的局限性而提出來的.其中啟發(fā)式是指“自我發(fā)現(xiàn)能力或運用某種方式或方法去判定事物的知識和技能”。2.22.2惡意