阮兆文　孟干　周冬青　吴毅华

摘 要：网络病毒等恶意网络入侵手段的原理在于恶意代码编程，此类代码一旦进入到计算机内部，就会可能导致用户无法操作计算机，之后肆意的盗取、修改计算机信息，由此说明此行为会威胁到网络安全。为了避免此类行为的影响，本文将在普遍视角下，对此行为的恶意代码机理进行分析，同时针对恶意代码机理提出相关的防范技术。

关键词：恶意代码；机理；防范技术

中图分类号：TP393.08 文献标识码：A 文章编号：1671-2064（2018）23-0039-02

网络是在技术发展之下出现的一种具有高性能、高兼容性、高效率等优势的虚拟平台，因为该平台的优异性能，所以愈发受到现代人群的关注，直至今日网络已经普及到全世界各个领域当中，形成了虚拟的“网络环境”。网络环境规模庞大，其中各个结构错综复杂，在此前提下，各结构之间就会存在漏洞，这些漏洞的形态不一，但大多数都存在一个共同点就是可以与外界连通，此时无疑给了恶意代码“可乘之机”。但因为漏洞形态不一，同时恶意代码的目的也不相同，所以不同的恶意代码机理也是不同的，这也说明要保护网络环境安全，需针对不同恶意代码机理采用不同的防范技术。

1 恶意代码传播与触发

在现代社会视角下，信息之间的交互、流通是在所难免的网络行为，在此行为之下大量的信息会通过相应的网络渠道进行传输，此时恶意代码会伪装成信息混入正常信息当中，以此在信息交互行为之下完成传播，这就是最常见的恶意代码传播方法，另外，因为网络交互传输渠道的形态不一，恶意代码的传播形态也产生了许多变化，例如，恶意代码在网络环境当中伪装成正常的可下载信息，此时当网络用户下载此信息时，就使得恶意代码进入计算机，达成传播入侵的目的[1]。

在恶意代码进入目标环境之后，就会展现出两种状态，即隐蔽状态、运作状态。隐蔽状态是指一些不会立即发作的恶意代码，此类代码在进入计算机之后，并不会立刻造成破坏，而是隐藏在大量的信息文件当中，监控计算机资源的变化，以此来粗略判定用户当前行为，例如当计算机资源集中在某一个点的时候，就会判定用户注意力集中在此点上，此时就触发了恶意代码的运作机制，开始缓缓的对计算机信息进行盗取、篡改等；运作状态是指一些立即发作的恶意代码，此类代码省去了隐蔽阶段，直接对计算机信息进行盗取，同时此類代码往往还具备遮挡功能，以著名的“熊猫烧香”来看，据悉当初感染此恶意代码的计算机屏幕上，均会显示出“熊猫烧香”的卡通图片，用户无法对计算机进行任何操作，此举就实现了遮挡，在遮挡的掩护之下，此类恶意代码就可以肆意妄为[2]。

2 恶意代码机理分析

2.1 恶意代码六大机理

虽然现代恶意代码的形态多变，并且目的各不相同，但是大体机理框架都一样，根据其发作过程可以分为六个部分：侵入机理、维持机理、隐蔽机理、潜伏机理、破坏机理、循环机理，下文将对此六大机理进行逐一分析。恶意代码6大机理模型图1所示。

（1）侵入机理。恶意代码要对某个计算机进行干扰或者恶意操作时，就必须要进入计算机内部，这是恶意代码运作机理中必备的前置条件。正如上文所述，所谓的恶意代码侵入机理，即通过不同的信息交互途径来完成侵入（也有其他侵入手段，例如黑客恶意攻击、恶意代码植入等）。（2）维持机理。结合上述中恶意代码进入目标内部之后的两个状态可见，两者均在一个共同的特点就是持续性，例如隐蔽状态需要保持长期隐蔽，运作状态需要持续运作，只有在持续状态下，才能保障恶意代码不会被其他技术手段干扰。（3）隐蔽机理。针对不会立即发作的恶意代码，此类代码在编写时就考虑到了隐蔽性的问题，因此编写者会在编写内容当中加入一些能够帮助代码隐蔽的指令，例如删除源文件，并将自身命名为源文件名字，以此来实现隐蔽，甚至有部分恶意代码还能篡改计算机系统的安全策略来实现隐蔽。（4）潜伏机理。潜伏机理存在两个部分，即在隐蔽机理之下监控计算机资源，同时缓慢篡改计算机权限、当权限达到一定程度之后就会开始发作。（5）破坏机理。根据代码编写者的目的，完成遮挡、搜寻攻击目标，并实质对目标进行恶意操作，例如破坏目标。（6）循环机理。大多数恶意代码是具有传播性的，即在不断的运作当中，代码程序还会通过侵入目标试图对其他计算机进行侵入，当侵入一个新的目标时，恶意代码会依照循环指令重新执行1～5的机理。

2.2 恶意代码的关键技术

目前，恶意代码中常见的生存类技术有：反跟踪技术、加密技术、模糊变换技术，下文将对此进行逐一分析。

（1）反跟踪技术主要能够提高恶意代码的伪装能力以及防护能力，因为当某个代码进入计算机之后，可能会受到一些防护措施的阻拦，之后防护措施会尝试对代码进行破译，确认代码是否属于恶意代码，此时为了能够顺利进入计算机，就需要通过反跟踪技术来欺骗防护措施或躲避防护措施的破译行为。根据现代防护计算的种类，反跟踪技术可以分为两个类型，即反动态跟踪技术、反静态分析技术，反动态跟踪技术可以直接封锁键盘输入或屏幕显示功能，在此两项功能被封锁之后，大多数防护措施的运行就失去了支撑，使防护措施无法继续工作；反静态分析技术，主要在指令流当中输入伪装指令，这些指令虽然不具备实质作用，但是能够阻隔静态反汇编获得全部的指令，此时静态反汇编就无法运作。（2）加密技术是完全作用于恶意代码本身的一种技术，其主要功能为：加密恶意代码，阻隔外部分析软件以及分析人员对恶意代码的解读，使其无法针对恶意代码的原理制定相应的防护措施。常见的恶意代码加密技术分为三类，即信息加密技术、数据加密技术、程序代码加密技术，此三类加密技术往往可以同时使用，全方位封锁外部分析对恶意代码的解读。此外，加密技术会与反跟踪技术一同使用，提高恶意代码运作的“安全性”。（3）模糊变换技术。如果恶意代码的内容完全固定，那么在使用之下很可能短期就被人所破解，对于攻击者而言其利益无法达到最大化，而通过模糊变换技术，则能够使恶意代码不断的产生变动，机理上即当恶意代码每感染一个目标时，其在目标内隐蔽或潜伏的状态都会不一样，以此来防止针对性的识别、破译，并且如果不能及时对此代码进行处理，那么随着变化此时的增加，处理恶意代码的难度也会逐渐增加。

3 恶意代码防范技术

3.1 MCDF防范技术

MCDF防范技术是一种结合了传统主机防范技术以及网络防范技术特点之后，所产生的综合性防范技术，其优点在于全覆盖防护，能够有效阻止恶意代码的入侵[3]。

此项技术主要原理是检测每一个新进代码，同时根据代码来源分为两个不同的检测路径，即如果是来源于网络的代码，例如网页下载代码，该代码就需要通过MCDF-NS、MCDF-HS检测模块，检测当中根据MCDF防范技术的安全防护策略，首先会排除无法识别、确认为恶意代码、存在疑问的代码，其次针对部分具有欺诈性的代码，在检测时会统计计算机所有文件名，并将代码与文件名比对，如果出现大量相似的问题，那么就认定该代码是存在疑问的代码，之后激发预警系统，通过人工协助来对代码进行识别。如果代码来源于主机，那么MCDF防范技术会通常会采用误用检测方法来进行检测，此项技术原理上能够对来源于主机的所有代码进行扫描，得出代码的特征，依照代码特征再与恶意代码特征库进行比对，根据安全策略，一般特征相似度超过30%就会被初步判定为恶意代码，之后根据用户自身的操作，来决定该代码的“去留”，误用检测方法流程款框架图2所示。

3.2 恶意代码防范策略

恶意代码的防范策略主要围绕防范技术本身与用户意识，在防范技术本身上，其必须具备了解恶意代码特征、破译代码内容、控制代码运作、预警等功能，以此才能完成与用户之间的交互，在用户意识上，用户应当深刻人知道恶意代码的威胁性，认真对待防范技术提供的代码信息，如无完全的把握建议删除代码。

4 结语

本文主要分析了恶意代码机理与防范技术，分析当中首先对恶意代码传播与触发进行了闡述，了解了恶意代码的威胁、原理等，之后针对常见的恶意代码6大机理、关键技术进行了分析，最终介绍了MCDF防范技术，并提出了相关的防范策略。

参考文献

[1]亓慧乔.人防通信系统中的恶意代码分析与防范[J].电脑知识与技术，2017，（7）：47.

[2]李健.人民防空指挥应急通信系统建设研究[J].黑龙江科学，2017，（6）：88-89.

[3]刘威.试论计算机网络维护策略及病毒防治技术应用[J].中国管理信息化，2016，（12）：161-162.