（一）定义与本质特征

恶意代码是违背系统安全策略的程序代码，其核心特征包括隐蔽性、传染性、潜伏性、破坏性。例如：

CIH 病毒（1998 年）：通过感染 Windows 可执行文件破坏 BIOS，是首个攻击硬件的病毒，体现了破坏性与隐蔽性的结合。

WannaCry 勒索病毒（2017 年）：利用 Windows SMB 漏洞（永恒之蓝）主动传播，加密文件后索要赎金，24 小时内感染 150 国超 30 万台设备，展现了传染性与潜伏性的危害。

（二）核心分类与典型案例

（一）生存技术与反制案例

1. 反跟踪技术

反动态跟踪：毛毛虫病毒修改中断向量表，将堆栈指针指向 INTO 至 INT 3 区域，破坏调试工具的运行环境。

反静态分析：Apparition 病毒插入伪指令，使反汇编器无法获取完整代码逻辑，增加分析难度。

2. 变形与模糊技术

多态病毒：Tequtla 病毒每次感染时改变加密算法，产生超 20 亿种变形体，耗时 9 个月才被成功检测。

指令替换：Regswap 病毒通过寄存器互换（如 XOR REG,REG 变换为 SUB REG,REG）改变代码形态，绕过特征码扫描。

（二）攻击模型与流程

恶意代码的攻击分为 6 个阶段（以震网病毒为例）：

侵入系统：通过 U 盘植入，利用 Windows 与伊朗核设施 WinCC 系统的漏洞。

提升权限：利用漏洞获取系统管理员权限，突破底层防护。

隐蔽存在：将自身代码注入系统进程，修改文件时间戳隐藏痕迹。

潜伏等待：潜伏数月，待铀浓缩离心机运行时触发攻击。

实施破坏：篡改 PLC 控制参数，导致离心机过载报废。

重复攻击：感染其他离心机，扩大破坏范围。

（一）特洛伊木马：灰鸽子攻击链

1. 运行机制

植入：用户下载捆绑 “游戏补丁” 的压缩包，执行后自动安装服务端。

隐藏：将进程注入 explorer.exe，修改注册表HKEY_LOCAL_MACHINE\Run实现自启动。

通信：利用 80 端口（HTTP 协议）反向连接控制端，绕过防火墙出站规则。

控制：远程获取屏幕截图、键盘记录，甚至删除敏感文件。

2. 检测方法

端口扫描：用netstat -ano查看异常端口（如 7626），对比tasklist /svc确认进程关联。

注册表检查：查看

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，发现非系统程序自启动项（如 “explorer.exe” 后附加异常路径）。

（二）网络蠕虫：Slammer 传播技术

1. 核心模块

探测模块：扫描 UDP 1434 端口，利用 SQL Server 2000 缓冲区溢出漏洞。

传播模块：构造恶意 UDP 包（长度 376 字节），无需建立连接即可感染。

引擎模块：记录已感染 IP，避免重复攻击以优化传播效率。

2.扫描策略对比

（一）实战防护体系构建

1. 漏洞管理流程

资产确认：用 Nessus 扫描内网资产，建立漏洞台账（如发现某服务器未打 MS08-067 补丁）。

补丁验证：在测试环境部署补丁，验证兼容性后批量推送（如 Windows SUS 系统自动分发）。

动态监控：用 Tripwire 监控系统文件变更，及时发现漏洞利用痕迹。

2. 动态检测技术

沙箱分析：将可疑文件放入隔离环境运行，监控其行为（如修改注册表、创建网络连接）。

蜜罐诱捕：部署 LaBrea 系统，通过伪造 TCP 响应抑制蠕虫传播，降低真实服务器压力。

（二）高级威胁应急响应

场景：某企业发现内网多台服务器 CPU 占用率 100%，网络带宽被耗尽。

应急步骤：

用 Wireshark 捕获流量，发现大量 UDP 包发往 1434 端口，确认 Slammer 蠕虫攻击。

在核心交换机配置 ACL，阻断 UDP 1434 端口出站流量。

批量安装 SQL Server 2000 SP4 补丁，重启服务器清除内存中的蠕虫进程。

防御优化：

部署 360 天擎终端安全系统，启用 “云查杀 + 本地特征库” 双重防护。

关闭非必要服务（如 1434 端口），设置防火墙默认拒绝策略。

（一）2023 年单选题

题目：下列哪项属于恶意代码的主动传播类型？（ ）A. 计算机病毒B. 特洛伊木马C. 网络蠕虫D. 逻辑炸弹

答案：C

解析：网络蠕虫（如 Slammer）可自主扫描漏洞并传播，属于主动传播；而病毒、木马、逻辑炸弹需依赖宿主或用户触发，属于被动传播。

（二）2022 年案例分析题

背景：某政务网发现多台办公电脑向境外 IP 发送加密数据，疑似感染木马。

问题：

列举两种木马可能采用的隐藏技术。

设计检测与清除方案。

参考答案：

隐藏技术：

进程注入：将木马代码嵌入 svchost.exe 等系统进程，躲避任务管理器检测。

端口复用：利用 80 端口（HTTP）传输控制命令，伪装正常流量绕过防火墙。

解决方案：

用 Process Explorer 查看进程模块，发现非微软签名的 DLL 注入。

用 Wireshark 分析流量，过滤 “非 HTTP 协议但使用 80 端口” 的通信包。

断开网络连接，使用木马克星专杀工具清除病毒，修复注册表自启动项。

（一）基础概念考点

恶意代码四大特征：隐蔽性（如进程隐藏）、传染性（如蠕虫扫描）、潜伏性（如逻辑炸弹定时触发）、破坏性（如 CIH 破坏 BIOS）。

分类核心差异：主动传播（蠕虫、僵尸网络）与被动传播（病毒、木马）的技术区别。

（二）技术原理考点

生存技术：

反跟踪（修改中断向量表）、多态变形（Tequtla 病毒）、进程注入（灰鸽子）。

检测方法：

静态分析（IDA Pro 反汇编）、动态分析（Wireshark 抓包）、沙箱技术（行为监控）。

（三）应用实践考点

漏洞管理流程：资产识别→漏洞评估→补丁验证→批量部署→动态监控。

应急响应步骤：断网→溯源→清除→修复→加固（如 Slammer 蠕虫处置流程）。

对比记忆法：通过 “病毒（依赖宿主）vs 蠕虫（自主传播）vs 木马（远程控制）” 理解分类逻辑。

工具实操：用 Nmap 扫描端口、Regmon 监控注册表变化，熟悉恶意代码痕迹检测。

案例串联：以 “震网病毒” 为例，串联攻击模型（侵入→潜伏→破坏）与防范技术（漏洞管理 + 蜜罐）。

标准合规：重点关注等保 2.0 对恶意代码防范的要求（如 GB/T 30279 漏洞分类标准）。