2012年计算机病毒的发展和反病毒技术的发展趋势

doi: 10369 / Jissn 1671-11222 2013.10 0767 2012年计算机病毒的发展和反病毒技术的发展趋势（1.天津市局，天津300020； 2. 国家计算机病毒应急响应中心，天津30004）摘要: 近年来，计算机病毒已与黑客攻击等技术迅速结合，并取得了新的发展. 针对手机的病毒已经出现并进入快速增长期，移动设备的安全性和管理也将面临挑战. 计算机病毒已经突破了最初的概念，成为网络攻击和入侵的罪魁祸首，并且正在成为网络战的主要武器. 计算机病毒和防病毒技术是相互对抗的. 双方是相对的，相互渗透. 关键词: 计算机病毒；防病毒技术；攻击;安全性张曦（北京市第一分院，中国北京，LOOIMO）摘要: 近年来，计算机病毒黑客攻击迅速入侵了技术的新生命力. 当前，病毒已成为手机进入快速增长时期的趋势，移动设备的安全管理也面临着挑战. 计算机病毒在反病毒技术，游戏计算机病毒与反病毒技术答案，双方相互抵制之间的对抗渗透关键词: 计算机病毒；反病毒技术；攻击；我们面临的信息安全问题安全性是多方面的，多层次的

.

计算机病毒是信息安全中的老问题. 自1980年代问世以来，它们一直在威胁信息系统的安全. 计算机病毒已突破了最初的概念类别. 它已成为网络攻击和入侵的罪魁祸首，并且正在成为网络战的主要武器. 它变得越来越有害和破坏性，成为网络安全面临的最重要问题. 网络恐怖主义已成为威胁世界稳定与安全的重大问题. 随着无线网络技术的发展，各种移动通信，办公设备访问Internet已成为现实，技术性能将不断提高. 目前，针对手机的病毒已经出现并进入快速增长时期. 目前，用于各种移动终端操作系统的病毒木马数量已超过10,000，并且移动设备的安全性和管理也将面临挑战[1]. 计算机信息安全的一个重要方面是计算机病毒问题. 自从1980年代出现第一种有害计算机病毒以来，计算机病毒和反病毒技术已经相互对抗，相互竞争和发展了30多年. 就技术发展而言，双方是对立且相互渗透. 1.计算机病毒的新特征计算机病毒的发展经历了六个阶段: “实验室概念”，“独立”，“互联网”，“行业”，“网络战争”和“跨平台”，其中，自2000年病毒发展到“互联网”阶段以来，计算机病毒的盈利能力变得越来越明显，特意设计了木马，软件和其他恶意软件形式来非法控制他人的计算机并获取敏感信息. 信息.

直到今天. 嘲笑超过99％的计算机病毒，其最终目的是获得经济和政治利益. 综上所述，随着计算机病毒技术进入互联网时代，其发展主要表融交易等一系列相关产业，极大地促进了世界经济的快速发展. 但是，不幸的是，以计算机病毒为主要工具的网络地下产业也日益繁荣，这种现象是由以Zeus，Speye和BlackHole为代表的Trojan黑客工具箱的出现和不断发展引起的. 这些工具包在Internet上公开出售. 它们具有高度的模块化，可扩展性和配置灵活性. 根据客户需求，它们的价格从数百美元到数千美元不等. 通过这些工具包，一些没有较强技术背景的基本黑客可以轻松入侵各种网站，创建木马病毒和构建僵尸网络. 这些工具箱的出现将计算机病毒的地下活动带入了工业化和工业化时代. 以“ Rustok”为代表的大型僵尸网络（生存期为2006年至2011年）已经是“云技术”的成熟应用. 相似的僵尸网络通常拥有数百万个僵尸网络. 黑客经过这些主机. 所获得的计算资源和网络资源可以与中小型数据中心相提并论，这些僵尸网络的盈利能力更加惊人. 黑客可以通过垃圾邮件，恶意促销，勒索，银行盗窃和其他方法迅速收集大量财富.

更值得关注的是，由国家资源支持的系统的计算机病毒制造行为已不再是幻想. 2012年6月1日，《纽约时报》发表了一篇文章“奥巴马下令加强对伊朗的网络攻击. 它指出，造成2010年伊朗核电站故障的Stuxnet病毒（中文称为“ Zhennet”），是与美国和以色列合作开发的，分别是2011年的Duq病毒，2012年初的Flame病毒和新出现的高斯病毒，例如“ SDFG”（病毒名称的第一个字母，顺序为键盘）系列病毒必须与明显的计划病毒相关联，国家拥有的智力资源和财政保障是个人和组织无法比拟的，这决定了一旦在国家层面启动了病毒生产计划，结果将不可避免地是经过反复测试和演示的可怕的网络战武器，对于被攻击的目标，防御此类病毒的难度也无法预测1.2具有多种感染方式，丰富的功能和模块化. 当前传播计算机病毒的方法已经超过了通过文件感染进行早期传播的单一模式. 尤其是在进入Internet时代之后，几乎所有可用于传输文件的方法（例如移动存储介质，文件共享，电子邮件，即时消息工具等）都将被病毒及其感染方式所使用. 通过各种系统和应用软件的漏洞更为严重，这受到了病毒制造者和黑客的青睐. 同时，计算机病毒的功能变得越来越丰富，从单个受感染的文件到拦截用户输入，屏幕甚至摄像机图像，麦克风音频的功能，以实现完全的远程控制，无意识地监视用户的一举一动.

通过这些病毒，黑客甚至可以将受害计算机用作下次攻击的跳板，从而使其下落更加隐蔽. 1212功能增强将不可避免地增加编码的复杂性，但是病毒制造者已经很好地解决了这个问题. 病毒体的模块化趋势越来越明显. 通常，使用较轻的加载程序作为起点，以不断释放或下载所需的功能模块以进行攻击. 在历史上称为“最复杂”病毒的“火焰”病毒中，由它发布的功能模块文件已超过20个，到目前为止尚未进行全面分析. 1.3变形和反调试技术的使用近年来，各种包装加密技术和反调试技术已成为病毒程序避免检测反病毒软件的主要方法之一. 通过外壳加密技术，病毒程序被“重新发明”. 通过添加混淆代码，防调试器和（防病毒软件中常用的外壳解密技术）代码，可以更改程序入口点，甚至可以继续自我转换. 这些技术现已成为病毒行业不可或缺的一部分. 病毒制造商自己编写或购买所谓的“软件保护工具”，从而增加了防病毒软件和分析人员的成本和反应时间. 具有更长的生命周期. 根据国际知名测试机构“ AV-TEST”的统计，最新的“野生列表”中有92％的病毒样本使用了shell加密技术，并且使用了30多个shell.

最常用的前五个外壳是“ UPX”，“”，“ MEW”，“ FSG”和“ PESPIN”. 另一方面，攻击者从研究人员在分析恶意软件时所采用的方法中吸取了教训. 一次演示证明，黑客已使用反调试技术来设计恶意软件，从而无法调试和分析恶意软件. 该恶意软件的特征在于，除了目标环境外，它无法在任何环境中正确执行. 此类攻击的示例包括闪回和高斯. 两者都成功地削弱了技术人员实施自动化恶意软件分析的可能性，尤其是对于高斯而言. 在不久的将来，攻击者将继续改进这些反调试方法，以使其恶意软件更具“特定性”，并且仅攻击具有特定功能的计算机. 1.4 RotKit技术广泛使用RotKit技术. 索尼早在其产品中就使用它来隐藏特定的系统文件，但现在它已被病毒广泛使用. RotitK技术可以渗透系统内核并获得高级权限，即使对于管理员用户也是如此. 无法感知其存在. 尽管使用Rotkit技术的病毒总数不是很大，但由于难以检测和清除，因此它已成为越来越严重的威胁. 目前，在RotKit技术的应用中，Tidserv，Mebratix和Mebroot被认为是技术上最领先的三个病毒家族.

这些病毒甚至可以通过修改MBR（主引导区）来与操作系统一起加载，以控制计算机. 目前，计算机用户已经比以前拥有更多的保护技术和经验. 因此，病毒技术的发展趋势更加复杂. 可以预见，Rotkit技术将在新病毒的生产中得到更广泛的应用. 1.5武器化的SnAPT 2009年，发生了一例震惊世界的病毒. 一种名为Stuxnet的计算机病毒摧毁了伊朗的核设施，并迫使伊朗的核计划被推迟. 无论由谁来制造病毒，根据实验室提出的概念，病毒对工业控制系统的破坏已成为来开发武器-等级病毒. 这些具有国家背景支持的项目拥有的资源和技术储备是普通计算机病毒编写者无法比拟的. 因此，这些病毒是极具破坏性的“杀手”. 它对各种重要的国家信息系统构成了巨大威胁. 2011年的Duq病毒和2012年的Flame病毒再次证实了这一现象. 自2012年以来，APT（高级持久威胁）攻击一直受到关注. APT攻击的主要过程是先通过搜索引擎，社交网络等工具获取大量的攻击目标背景信息，然后根据目标进行定制. 病毒木马使用社交工程攻击方法来感染病毒的攻击目标. 攻击者可以使用该病毒获取有关攻击目标的敏感信息，然后利用这些信息牟利.

由于这些病毒的感染量很小，因此反病毒公司很难获取这些样本，并且其中大多数都使用未知的漏洞. 因此，大多数防病毒软件很难抵御此类攻击. 根据赛门铁克在2011年发布的统计报告，报告的APT攻击事件数量总体呈上升趋势. 大部分目标是高价值目标，例如大型政府部门和大型工业企业. 赛门铁克Zquib的2012年APT攻击统计数据也基于国际知名IT调查机构Enterprise Strategy Group的统计数据，据信20％的大型组织已收到APT攻击. 同时，为应对日益增加的威胁，各国数量也在增加. 在信息安全保护领域，美国国防部已确认，将至少投资5亿美元用于网络安全保护技术的研发. 英国政府还提出了一项最新的信息网络安全策略，耗资6.5亿英镑. “国家信息网络安全项目”. 1.6移动平台病毒的发展过程与PC平台相似. 从2004年第一个针对Simbian平台的Cabir病毒到目前在Android平台上的病毒爆发，移动平台病毒的发展与智能手机的普及和操作系统的发展密不可分. 智能手机（如Simbian，Android，iOS等）的操作. 该系统为软件开发人员（尤其是Android系统）提供了丰富的开发界面. 由于具有开源功能计算机病毒与反病毒技术答案，它已成为移动平台上最活跃的开发社区之一，但它也为病毒编写者提供了更强大的移动病毒开发功能. 机会.

早期的手机病毒主要是恶作剧，或者只是在后台发送长途电话费和拨打长途电话以获得经济利益，而新的手机病毒的功能与PC平台病毒完全可比，甚至更具威胁性，因为手机人们通常会存储更多的私人信息，并且大多数人没有在手机上安装防病毒软件的习惯. 随着移动通信网络和Internet的进一步集成，手机病毒越来越像一条鱼，手机软件和手机僵尸网络已经出现. DrDream和Geimini病毒是重要的代表，尤其是Geimini病毒，目前被认为是最接近PC平台的手机病毒，它可以接受控制器的指令，获取手机的基本信息，安装软件列表，短信，通话记录，照片，GPS位置，甚至操作和麦克风，使受害者的手机成为名副其实的错误. 根据McAfee的统计，移动平台病毒的总数已超过8,000，并且移动平台病毒在2012年呈爆炸性增长. 仅在第一季度，就发现了6,000多种病毒. Total Molo“ lc Mi /知道dIh7. 图2.移动终端病毒编号1.7 BPOD给企业内部网带来安全风险. BPOD是指在企业办公室中携带笔记本电脑，手机和平板电脑以及其他个人的员工. 办公室工作.

通常，BYOD将选择连接到Intranet的Wi-Fi，并具有一定级别的读取Intranet数据的权限. 这为企业节省办公成本，提高办公效率带来了许多便利. 但是，由于个人设备上安装的操作系统版本，应用程序和Rot权限不在操作和维护人员的控制范围内，因此一旦个人设备感染了恶意程序或被黑客入侵，企业的内部信息安全便得到了保障. 不可避免地受到威胁. 如果企业不控制个人移动终端（例如手机）对内部基础结构的访问，则很容易导致机密企业信息泄漏. 2防病毒技术的发展现状防病毒技术在与病毒的长期斗争中逐渐发展和完善，形成了一系列成熟的技术，“魔高，路高”，病毒技术的发展随着发展，相应的新概念和新技术不断涌现，它们在“魔道”战役中发挥着重要作用. 213 2.1基于行为分析的HIPS技术目前，计算机病毒的数量已达到数千万之巨，并且每天还在以数万的速度增长. 传统的病毒签名检测技术很难单独支持如此大的压力. 防病毒公司已经基于行为分析启动了检测技术. HIPS（基于主机的入侵防御系统）主要通过对操作系统中已知病毒的行为进行统计来提取关键行为特征. 防病毒产品具有增强的实时监视功能，将过程监视，注册表监视，网络监视和传统文件监视相结合，以提高检测程序行为的能力.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-218716-1.html