张孟琦

摘要

恶意程序为了逃避杀毒软件的查杀，运用多重防杀和对抗技术升级换代，来提升自身的存活和繁殖能力。为此，检测并查杀更高级的恶意程序的技术也必须不断地革新，从而遏制新一代恶意程序的传播。

【关键词】信息安全 病毒 木马查杀

在信息时代，互联网技术的使用与人们日常生活已经密不可分。更多的企业和个人通过网上银行、电子商务、平台社交等线上形式，享受着互联网给大家带来的便捷服务。然而一些黑客们为了完成高效、精准地攻击目的，通过技术升级和改变传播途径等多种方式，有针对性的设计出传染性更强、潜伏更隐蔽、危害性更大的病毒程序，对网络安全和防护形成威胁，对信息安全技术发起了更强的挑战。本文旨在对恶意程序的主要功能与传播途径进行分析，加强用户对恶意程序的防范素养。

1 恶意程序的概述

恶意程序，在大多数人的第一印象里会出现病毒、木马、漏洞等这些使用殺毒软件时常见到的名词，恶意程序概念是指恶意破坏计算机操作系统、应用程序、存储数据的计算机程序，恶意程序的种类按照不同指标可以划分为很对种类，但我们大多境况下，按照其传播方式把恶意程序划分为蠕虫、木马、恶意脚本、单一功能病毒、综合型病毒。正如大多数人所想恶意程序是病毒、木马等破坏计算机的程序的总称，我们有时也将病毒的概念等同于恶意程序的概念。

2 恶意程序的分析

2.1 恶意程序的分类

2.1.1 蠕虫

蠕虫，即可以通过网络等途径，自动将自身的部分或全部代码通过网络复制，传播给其他网络中的计算机完全独立的运行程序。蠕虫生活在防火墙没有普及的时代，当带有防火墙功能的杀毒软件普遍出现在用户的计算机中时，防火墙对网络端口进行了防护，蠕虫病毒的传播得到了致命的打击。

2.1.2 木马

木马和病毒有着很大的区别，病毒是具有繁殖性、传染性的恶意程序，但木马不具备这样的功能，木马的特点是实现远程控制，从而能在远端获取目标主机的信息，或者对目标主机进行文件毁坏等非法操作，“网站挂马”是木马最常见的使用途径，而随着杀毒软件木马查杀功能的进步，木马对计算机的威胁也有所降低。

2.1.3 恶意脚本

恶意脚本是使用脚本语言编写的恶意代码。恶意脚本是基于Web系统的一种恶意程序，其本身不具有很大的攻击力，但它却可以引导用户，使得用户自己去访问含有木马的网站，去下载木马，从而盗取用户信息，谋取获利。

2.1.4 单一功能病毒

常见的单一功能病毒有邮件型病毒、宏病毒、文件感染性病毒等。邮件型病毒主要通过电子邮件来传播，宏病毒是一种寄生在具有宏功能的文件上的恶意程序，而文件感染型病毒主要感染计算机中的可执行程序，这些病毒之所以称单一，体现在寄生对象单一和传播途径单一，单一的病毒在查杀软件的查杀下很难生存。

2.1.5 综合型病毒

当今的病毒市场上，综合型病毒占有很大的市场份额，综合型病毒既可以通过寄生在文件、邮件、移动存储介质、网页等对象上，实现即时传播和点对点文件共享，综上所述，综合型病毒具备了病毒、蠕虫、恶意脚本的特点，成为了当前最流行的病毒，同时也是对当今信息安全造成最大挑战的病毒。

2.2 恶意程序的传播途径

2.2.1 网站挂马

网站挂马是从互联网传播到个人计算机或单位内网计算机的一种主要手段，网站挂马主要是利用Oday漏洞，从而大规模的入侵计算机的恶意程序传播方法。

2.2.2 移动存储介质传播

移动存储介质传播，主要体现在日常的u盘传播和移动硬盘传播。恶意程序通常在存储介质中复制一个副本，利用各种方法进行伪装，让用户误以为是正常文件，点击后导致恶意程序启动。

2.2.3 局域网传播

当恶意程序在一个用户的计算机中成功寄生，那么接下来就回去传播到该计算机所在的局域网，进而感染该局域网中的其他计算机。

2.2.4 即时通讯软件传播

在移动互联网时代，QQ"微信、微博等社交APP都实现了即时通讯的功能，对于办公人群，使用QQ、微信发送文件也越来越常见，攻击者利用这一点，发送经过伪装隐藏的恶意文件或链接，从而诱骗用户启动恶意程序。

3 恶意程序的防范

3.1 恶意程序造成的破坏

在对恶意程序进行了分析之后，我们需要对恶意程序造成的破坏进行分析。首先是，窃取用户账号和密码，当今的网络诈骗，大多是盗取QQ账号，从而向熟人以借钱为借口骗取经济利益，同时，用户的个人信息被盗取后进行打包销售，谋取经济利益的事情也成为了家常便饭，更糟糕的是，如此高的事件发生率并没有下降的趋势;其次是，破坏系统网络的正常运行，恶意程序往往会修改宿主计算机的Hosts文件，从而切断宿主计算机与安全网站之间的连接;浏览器的配置被修改，攻击者通过修改初始化网页的地址为特定网站，从而赚取点击率，获得巨额广告费用。恶意程序的破坏范围很广，对个人、公共、社会、竞争市场都造成了不可弥补的损失。

3.2 恶意程序查杀技术

3.2.1 特征码查杀技术

目前大多数的杀毒软件都是采用特征码查杀技术来进行杀毒的，这也是最基本的一种杀毒技术。这种方法对己出现并且成功查杀了的恶意程序进行分析，将其程序的特征码记入到特征库，查杀时，根据匹配程序代码的重复度，来发现病毒并杀掉。但是新一代的恶意程序针对特征码查杀技术，采用了加壳技术，改变自身的特征码，并且实现每感染一台计算机就改变一次特征码，特征码查杀技术在此条件下很难发挥有效的作用，启发式查杀技术因此诞生。

3.2.2 启发式查杀技术

启发式查杀技术是一种事先分析嫌疑程序的指令执行顺序或特定行为组合情况等特征，建立样本库，并以这些样本为标准来判断该嫌疑程序是否为恶意程序。启发式查杀技术弥补了特征码查杀技术的不足，使用加壳技术的病毒虽然改变了其特征码，却改变不了指令执行顺序或特定行为。但是，有可能正常的程序也会有和病毒一样的指令执行顺序或特定行为，因此，这种查杀技术具有局限性。

3.2.3 虚拟机查杀技术

虚拟机查杀技术也可以应对加壳技术，虚拟机查杀技术会将嫌疑程序导入到虚拟机内，让其自动脱壳还原到原来的状态，从而进行查杀。但是，虚拟机要占用很大的内存资源，从而引起计算机性能的下降，处理任务的时间延长，恶意程序可以凭借这一弊端，故意延长脱壳时间，与虚拟机查杀技术产生对抗。

3.2.4 主动防御技术

主动防御技术是通过实现对恶意程序的拦截来保护计算机安全的技术，严格来讲它不是一种查杀技术。当今的查杀软件基本上都采用了一种结合了主动防御技术和特征码查杀技术的方式来进行计算机安全的保护，既包含了预防又包含了查杀，将恶意程序威胁降到最低。

3.3 恶意程序的预防

比起计算机受到病毒的感染后再查杀，防患于未然才是最佳的信息安全保护手段。首先我们要防止下载带来的恶意程序，网页上的文件下载往往捆绑其他文件，而这些捆绑文件很可能就是恶意程序，所以我们要做到尽量去官方网站或者大规模软件下载平台去下载，防止恶意程序入侵;其次，防止通过移动存储介质的恶意程序传播，使用u盘等移动存储介质，要求我们要经常性的进行扫描检测，关注异常文件的出现;防止局域网的恶意程序传播，安装防火墙，尽量不使用文件共享;最后，做好计算及自身的防护，及时更新软件，下载官方出台的补丁包，提高信息安全的素养。

4 结束语

综上所述，在这个互联网蓬勃发展的时代，恶意程序和恶意程序查杀技术也随着计算机技术的发展迎来了更高水平的较量。软件的开发与技术的革新都离不开信息安全。同时，更加全面精准的了解恶意程序和查杀技术既有利于保障个人的信息和经济安全，也有利于促进更加和平安全的互联网建设。本文全文对各个恶意程序、恶意程序的传播途径、恶意程序的查杀技术都进行了深层次的分析与论述，旨在提高互联网时代计算机用户的网络信息安全素养，为建立良好的互联网环境贡献一份力量。

参考文献

[1]牛少彰，崔宝江，李剑.信息安全概论（2版）[M].北京：北京邮电大学出版社，2007.

[2]宋建华，李莉，郭亚军.信息安全原理与技术[M].北京：清华大学出版社，2008.

[3]黄明祥，林咏章，李剑.信息与网络安全概论（3a）[M].北京：清华大学出版社，2009.

[4]徐国爱，张森，彭俊好.网络安全（2版）[M].北京：北京邮电大学出版社，2007.

[5]崔宝江，李宝林.网络安全实验教程[M].北京：北京邮电大学出版社，2008.

[6]崔寶江，周亚建.信息安全实验指导[M].北京：国防工业出版社，2005.

[7]吴世忠，郭涛，董国伟等.软件漏洞分析技术进展[J].清华大学学报（自然科学版），Vol，52（10）：1309-1319，2012.

[8]陈波，于泠，肖军模.计算机系统安全原理与技术（2版）[M].北京：机械工业出版社，2011.

[9]王清.Oday安全：软件漏洞分析技术[M].北京：电子工业出版社，2008.

[10]徐茂智.信息安全概论[M].北京：人民邮电出版社，2009.