傳統的做法是——下載更新包自行更新。不過現在是一個網路普及的時代,版更新包什麼的,幾乎權不可能。而且病毒也幾乎無法抵擋。
主流的殺毒軟體,就算每日更新也基本是馬後炮——即你無意中下載了含有木馬的EXE文件並運行後都不能給與阻止和任何有效提示,必須你自己殺毒才能解決。
那麼其實提升下與否意義也就不夠大了,你說呢?
至於非要升級,可以定期在殺軟,比如360,比如QQ管家一般都是半月又一次版本更新,你下那個更新下,也會順手提高本身的殺毒版本
Ⅱ 如何查找網頁惡意代碼
Linux伺服器上怎麼用iScanner刪除網頁惡意代碼?這篇文章主要介紹了Linux伺服器上用iScanner刪除網頁惡意代碼的方法,iScanner為Ruby編寫,所以伺服器上要首先安裝Ruby解釋器,需要的朋友可以參考下 第一步:安裝 首先要確保伺服器上已經安裝了Ruby 代碼如下: #ruby -v //查看ruby的版本信息 如果伺服器上沒有安裝,可以通過yum或者apt-get安裝ruby(根據自己伺服器系統選擇對應的方法安裝) 代碼如下: #yum install ruby //centos用yum安裝 #apt-get install ruby //ubantu用apt-get安裝 iScanner不需要額外的庫,且不需要安裝,但是作者還是做了個安裝和卸載腳本,讓我們可以可以通過下面的命令安裝和卸載 iScanner 代碼如下: # -F 用這個參數掃描指定的文件。 # iscanner -F /home/user/file -o 這個參數允許你將掃描的日誌文件保存為特定的地方和特定的文件名,如果未指定這個參數,默認感染日誌文件的格式為"infected-[TIME]-[DATE] -c 用這個參數,可以刪除受感染文件中的惡意代碼,而不刪除受感染的文件。當你用這個參數的時候,最好查看日誌文件,以確保iscanner將會從哪些文件中刪除惡意代碼。 # iscanner -c infected.log -b 這個參數可以讓iscanner保在刪除惡意代碼之前備份受感染的文件,默認備份的文件名為"backup-[TIME]-[DATE]". # iscanner -b -c infected.log -r 這個參數可以讓我們從備份的文件中恢復被刪除的文件 # iscanner -r backup/ -a 這個參數可以讓iscanner自動清除所有受感染的文件。這個參數可能會很危險,當你沒有先掃描文件或你不知道會產生何種結果。 # iscanner -f /home/user -a -D 這個參數可以讓iscanner在調試模式下運行,這個參數在你遇到問題問題是後將會很有用。 # iscanner -f /home/user -D -q 如果你不想看到任何iscanner的輸出信息,就可以用這個命令讓iscanner在安靜模式下運行 # iscanner -f /home/user -q -s 這個參數可以讓我們將受感染的文件交給iscanner的開發者分析,以改進和升級惡意代碼特徵庫 # iscanner -s /home/user/malicious_file.html -U 這個參數可以用來升級iscanner和惡意代碼特徵庫 # iscanner -U -u 這個參數用來升級惡意代碼特徵庫而不升級iscanner # iscanner -u -v 這個參數用來查詢列印輸出iscanner的版本和惡意代碼特徵庫的版本號。 # iscanner -v -h 這個參數可以查詢help幫助信息。 # iscanner -h 資料庫特徵 代碼如下: - - 0.0 - (REGULAR EXPRESSION) - Signature comment. - * 第一行是特徵的id '0.0'. *選項參數: MU --> 多行正則表達式。 LN --> 一行正則表達式。 RE -->用正則表達式掃描遠程的或者本地的文件。 LO -->用正則表達式只掃描本地文件。 工具開發者的一些提示信息和建議: *你可以輕松的修改惡意代碼特徵庫的正則表達式 *如果你的幾個網扎都被入侵了,你可以添加特徵到特徵庫讓iscanner掃描所有被感染的文件 *你可以將iscanner放到crontab中定時掃描你的 文件,並將掃描結果發到你指定的郵件,多方便哈! *你可以配置你的ftp伺服器使得iscanner掃描所有上傳的文件,並且如果有受感染的文件,則發送掃描記錄到指定文件報警,通知管理員。
Ⅲ 什麼是惡意代碼源程序,惡意代碼源程序有幾種
不必要代碼( Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是把所有不必要的代碼都看作是惡意的,不必要代碼比惡意代碼具有更寬泛的含義,包括所有可能與某個組織安全策略相沖突的軟體。
一、惡意代碼的特徵
惡意代碼(Malicious code)或者叫惡意軟體Malware(Malicious Software)具有如下共同特徵:
(1) 惡意的目的
(2) 本身是程序
(3) 通過執行發生作用
有些惡作劇程序或者游戲程序不能看作是惡意代碼。對濾過性病毒的特徵進行討論的文獻很多,盡管它們數量很多,但是機理比較近似,在防病毒程序的防護范圍之內,更值得注意的是非濾過性病毒。
二、非濾過性病毒
非過濾性病毒包括口令破解軟體、嗅探器軟體、鍵盤輸入記錄軟體,遠程特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察網路通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟體實際上等於在企業的防火牆上開了一個口子。 非濾過性病毒有增長的趨勢,對它的防禦不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括:
(1)諜件
諜件(Spyware)與商業產品軟體有關,有些商業軟體產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連接,讓用戶方軟體與開發商軟體進行通信,這部分通信軟體就叫做諜件。用戶只有安裝了基於主機的防火牆,通過記錄網路活動,才可能發現軟體產品與其開發商在進行定期通訊。諜件作為商用軟體包的一部分,多數是無害的,其目的多在於掃描系統,取得用戶的私有數據。
(2)遠程訪問特洛伊
遠程訪問特洛伊RAT 是安裝在受害者機器上,實現非授權的網路訪問的程序,比如NetBus 和SubSeven 可以偽裝成其他程序,迷惑用戶安裝,比如偽裝成可以執行的電子郵件,或者Web下載文件,或者游戲和賀卡等,也可以通過物理接近的方式直接安裝。
(3)Zombies
惡意代碼不都是從內部進行控制的,在分布式拒絕服務攻擊中,Internet的不少 站點受到其他主機上 zombies程序的攻擊。zombies程序可以利用網路上計算機系統的安全漏洞將自動攻擊腳本安裝到多台主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。
(4)破解和嗅探程序和網路漏洞掃描
口令破解、網路嗅探和網路漏洞掃描是公司內部人員偵察同事,取得非法的資源訪問許可權的主要手段,這些攻擊工具不是自動執行, 而是被隱蔽地操縱。
(5)鍵盤記錄程序
某些用戶組織使用PC活動監視軟體監視使用者的操作情況,通過鍵盤記錄,防止雇員不適當的使用資源,或者收集罪犯的證據。這種軟體也可以被攻擊者用來進行信息刺探和網路攻擊。
(6)P2P 系統.
基於Internet的點到點 (peer-to-peer)的應用程序比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程序都可以通過HTTP或者其他公共埠穿透防火牆,從而讓雇員建立起自己的VPN,這種方式對於組織或者公司有時候是十分危險的。因為這些程序首先要從內部的PC 遠程連接到外邊的Gotomypc 主機,然後用戶通過這個連接就可以訪問辦公室的PC。這種連接如果被利用,就會給組織或者企業帶來很大的危害。
(7)邏輯炸彈和時間炸彈
邏輯炸彈和時間炸彈是以破壞數據和應用程序為目的的程序。一般是由組織內部有不滿情緒的雇員植入, 邏輯炸彈和時間炸彈對於網路和系統有很大程度的破壞,Omega 工程公司的一個前網路管理員Timothy Lloyd,1996年引發了一個埋藏在原僱主計算機系統中的軟體邏輯炸彈,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
三、惡意代碼的傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟體漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟體,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品軟體缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟體產品的缺陷和弱點,比如溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打補丁的IIS軟體就有輸入緩沖區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網關過濾程序的限制和阻斷,惡意代碼的編寫者也會設法繞過網關過濾程序的檢查。使用的手法可能包括採用模糊的文件類型,將公共的執行文件類型壓縮成zip文件等等。
對聊天室IRC(Internet Relay Chat)和即時消息IM(instant messaging)系統的攻擊案例不斷增加,其手法多為欺騙用戶下載和執行自動的Agent軟體,讓遠程系統用作分布式拒絕服務(DDoS)的攻擊平台,或者使用後門程序和特洛伊木馬程序控制之。
四、惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟體漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產生寄生的文件病毒,特洛伊程序,口令竊取程序,後門程序,進一步模糊了蠕蟲、病毒和特洛伊的區別。
(2)混合傳播模式
「混合病毒威脅」和「收斂(convergent)威脅」的成為新的病毒術語,「紅色代碼」利用的是IIS的漏洞,Nimda實際上是1988年出現的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間並不是很長。
(3)多平台
多平台攻擊開始出現,有些惡意代碼對不兼容的平台都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在於利用受害者的郵箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,並且使用網路探測、電子郵件腳本嵌入和其它不使用附件的技術來達到自己的目的。
惡意軟體(malware)的製造者可能會將一些有名的攻擊方法與新的漏洞結合起來,製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒軟體的製造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)伺服器和客戶機同樣遭受攻擊
對於惡意代碼來說伺服器和客戶機的區別越來越模糊,客戶計算機和伺服器如果運行同樣的應用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個操作系統預設的服務,因此它的服務程序的缺陷是各個機器都共有的,Code Red的影響也就不限於伺服器,還會影響到眾多的個人計算機。
(6)Windows操作系統遭受的攻擊最多
Windows操作系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平台,病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢出問題,包括字元串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控制項在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設置,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼採用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數據類型,欺騙客戶軟體執行不適當的代碼。
五、惡意代碼相關的幾個問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對於防護效果的提高很小。
(2)用戶對於Microsoft的操作系統和應用程序抱怨很多,但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)啟發式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調整啟發式軟體的花費要小,而被比喻成「治療比疾病本身更糟糕」。
(4)企業在防火牆管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,盡管有些病毒掃描軟體有系統活動日誌,但是由於文件大小限制,不能長期保存。同時對於惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟體只是通知用戶改變設置,而不是自動去修改設置。
(7) 病毒防護軟體本身就有安全缺陷,容易被攻擊者利用,只是由於害怕被攻擊,病毒軟體廠商不願意談及。
(8)許多的軟體都是既可以用在安全管理,也可以用在安全突破上,問題在於意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網路傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鍾, Nimda 用了不到 30分鍾. 這些數字背後的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用操作系統或者應用程序的漏洞, 而不僅僅依賴社會工程。伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程序,利用漏洞來進行自我傳播,不再需要搭乘其他代碼
Ⅳ 代碼的危害
解析惡意代碼的危害機制與防範
摘要:在當今互聯網時代,很多人還在受著網頁惡意代碼的困擾,在網站代碼編輯過程中,更會因為惡意代碼的轉載使用導致整個網頁的癱瘓。本文就「惡意代碼」的危害和防範來進行深入解析,以激發我們的安全防範意識,積極應對來自網路的安全威脅。
關鍵詞:惡意代碼Java Applet JavaScript ActiveX
一、惡意代碼綜述
惡意代碼主要包括計算機病毒(Virus)、蠕蟲(Worm)、木馬程序(Trojan Horse)、後門程序(Backdoor)、邏輯炸彈(Logic Bomb)等等。它使用SCRIPT語言編寫的一些惡意代碼利用IE的漏洞來實現病毒植入。當用戶登錄某些含有網頁病毒的網站時,網頁病毒便被悄悄激活,這些病毒一旦激活,可以利用系統的一些資源進行破壞。
隨著互聯網信息技術的不斷發展,代碼的「惡意」性質及其給用戶造成的危害已經引起普遍的關注,因此我們有必要對惡意代碼進行一番了解,讓其危害降低至最低程度。
二、惡意代碼的表現形式
(一)網頁病毒類惡意代碼
網頁病毒類惡意代碼,顧名思義就是利用軟體或系統操作平台的安全漏洞,通過嵌入在網頁上HTML標記語言內的Java Applet 應用程序、JavaScript 腳本程序、ActiveX 網路交互支持自動執行,強行修改用戶注冊表及系統配置,或非法控制用戶系統資源、盜取用戶文件、惡意刪除文件,甚至格式化硬碟的非法惡意程序。
根據目前較流行的常見網頁病毒的作用對象及表現特徵,網頁病毒可以歸納為以下兩大種類:
(1)通過Java Script、Applet、ActiveX 編輯的腳本程序修改IE 瀏覽器,表現為:
A 默認主頁(首頁)被修改;B 主頁設置被屏蔽鎖定,且設置選項無效不可修改;C 默認的IE 搜索引擎被修改;D 滑鼠右鍵菜單被添加非法網站廣告鏈接等。
(2)通過Java Script、Applet、ActiveX 編輯的腳本程序修改用戶操作系統,表現為:
A 開機出現對話框(通常都是用戶不知所雲的內容);B 系統正常啟動後,但IE 被鎖定網址自動調用打開;C 格式化硬碟;D 非法讀取或盜取用戶文件;E 鎖定禁用注冊表,編輯reg,轉自[星論文網]www.starlunwen.net 注冊表文件格式時出現打開方式錯誤。
(二)腳本類惡意代碼
腳本實際上就是程序,一般都是由應用程序提供的編輯語言。應用程序包括Java Script、VBScript、應用程序的宏和操作系統的批處理語言等。腳本在每一種應用程序中所起的作用都是不相同的,比如在網頁中可實現各種動態效果,在OFFICE 中通常是以「宏」來執行一系列命令和指令,可以實現任務執行的自動化,以提供效率,或者製造宏病毒。
(三)漏洞攻擊類代碼
是利用軟體或者操作系統的漏洞而編寫的程序,對用戶系統或者網路伺服器進行攻擊。比如黑客利用微軟IE 瀏覽器漏洞,編寫漏洞攻擊代碼對用戶進行攻擊。
三、惡意代碼的實現機制
惡意代碼的行為表現各異,破壞程序千差萬別,但基本作用機制大體相同,其整個作用過程分為6個部分:
①侵入系統。侵入系統是惡意代碼實現其惡意目的的必要條件。惡意代碼入侵的途徑很多,如:從互聯網下載的程序本身就可能含有惡意代碼;接受已經感染惡意代碼的電子郵件;從光碟或U盤往系統上安裝未經審查的軟體;黑客或者攻擊者故意將惡意代碼植入系統等。
②維持或提升現有特權。惡意代碼的傳播與破壞必須盜用用戶或者進程的合法許可權才能完成。
③隱蔽策略。為了不讓系統發現惡意代碼已經侵入系統,惡意代碼可能會改名、刪除源文件或者修改系統的安全策略來隱藏自己。
④潛伏。惡意代碼侵入系統後,等待一定的條件,病毒具有足夠的許可權時,就發作進行破壞活動。
⑤破壞。惡意代碼的本質具有破壞性,其目的是造成信息丟失、泄密,破壞系統完整性等。
⑥重復1至5對新的目標實施攻擊過程。
四、惡意代碼的防範方法
目前,惡意代碼防範方法主要分為兩方面:基於主機的惡意代碼防範方法和基於網路的惡意代碼防範方法。
(一)基於主機的惡意代碼防範方法
①基於特徵的掃描技術:基於主機的惡意代碼防範方法是目前檢測惡意代碼最常用的技術。掃描程序工作之前,必須先建立惡意代碼的特徵文件,根據特徵文件中的特徵串,在掃描文件中進行匹配查找。用戶通過更新特徵文件更新掃描軟體,查找最新的惡意代碼版本。這種技術廣泛地應用於目前的反病毒引擎中。
②校驗和:校驗和是一種保護信息資源完整性的控制技術,例如Hash 值和循環冗餘碼等。只要文件內部有一個比特發生了變化,校驗和值就會改變。未被惡意代碼感染的系統首先會生成檢測數據,然後周期性地使用校驗和法檢測文件的改變情況。
③安全操作系統對惡意代碼的防範:惡意代碼成功入侵的重要一環是,獲得系統的控制權,使操作系統為它分配系統資源。無論哪種惡意代碼,無論要達到何種惡意目的,都必須具有相應的許可權。否則它將不能實現其預定的惡意目標,或者僅能夠實現其部分惡意目標。
(二)基於網路的惡意代碼防範方法
由於惡意代碼具有相當的復雜性和行為不確定性,惡意代碼的防範需要多種技術綜合應用,包括惡意代碼監測與預警、惡意代碼傳播抑制、惡意代碼漏洞自動修復、惡意代碼阻斷等。基於網路的惡意代碼防範方法包括:惡意代碼檢測防禦和惡意代碼預警。
這些主要是網頁惡意代碼,也就是網頁病毒造成的危害。而用腳本編寫的蠕蟲病毒的危害就更大了,它不再是針對一台計算機,而是迅速傳播,對網路上所有計算機造成危害,直至網路被拖垮最後崩潰。
五、結語
在互聯網信息化高速發展的今天,任何軟體在編寫時或多或少都有自己的漏洞,為此我們應該做到:
1)安全設置。我們上網瀏覽時不能抱有僥幸心理,不關心安全設置,認為惡意代碼與我無緣,對最基本的瀏覽器安全設置問題也不關心,從而降低了系統抵禦惡意代碼的免疫能力,致使系統在遭遇惡意代碼時不能倖免於難。
2)不瀏覽來歷不明的網站。不要輕易去瀏覽一些來歷不明的網站和下載相關內容。
3)軟體升級,安裝系統補丁。軟體要及時更新版本,尤其是操作系統,一定要常「打」補丁常升級。
4)安裝殺毒軟體(防火牆)。安裝並及時將殺毒軟體(防火牆)升級至最新版本,同時開啟實時監控功能並不定期殺毒,最大限度地把惡意代碼拒之門外。 本文出自: http://,轉自[星論文網]www.starlunwen.netwww.starlunwen.net/dianqi/120173.html