yangleader的个人博客分享 http://blog.sciencenet.cn/u/yangleader 教授,博士生导师,长江学者特聘教授,北邮信息安全中心主任

博文

《安全简史(α版)》(2):恶意代码与病毒 精选

已有 7248 次阅读 2016-11-13 18:08 |个人分类:爽玩人生|系统分类:科普集锦

《安全简史(α版)》(2):恶意代码与病毒

杨义先  钮心忻

北京邮电大学信息安全中心

摘要与邀擂:霍金写了《时间简史》,布莱森写了《万物简史》,格雷克写了《信息简史》…。这些简史真的好精彩哟!不但出神入化,而且还能改变读者的世界观!唉~,咱安全界,谁能出面也写部“外行不觉深,内行不觉浅”的《安全简史》来“为百姓明心,为专家见性;为安全写简史,为学科开通论”呀!可惜,论“文”,咱比不过“旅游文学作家”布莱森和“科普畅销书作家”格雷克;论“武”,更不敢比世界顶级科学家霍金。可是,真的又需要有本《安全简史》!怎么办呢?老朽不才,想到了“众筹”和“迭代”,即,为了引出玉,先由我们抛出砖(α-测试版本的初稿),然后,由广大读者来进行全方位的修改、批评和版本更新,包括但不限于写作内容、素材、架构安排、等任何建议。希望“三个臭皮匠”真的能够“赛过诸葛亮”。当然,我们不可能全身心投入《安全简史》,因为,建立旨在统一安全各分支学科的基础理论,《安全通论》,才是我们的主业。但愿有朝一日,咱安全界既有《安全简史》来“立地”,又有《安全通论》来“顶天”。本章是第二块“砖”,主题是恶意代码与病毒。谢谢大家!

恶意代码能有多恶?这样说吧,从理论上看,它想有多恶,就能多恶!

如果说普通代码(或善意代码)是佛,那么,恶意代码就是魔。佛与魔除了分别代表正义和邪恶之外,其它本领其实都不相上下。伙计,请注意,我这里只在说恶意或善意代码,可并没仅限于计算机代码哟。实事上,如今代码已被植入了几乎所有通信、控制类设备之中,绝不再是电脑的专利了。

你看,若佛能使无人驾驶汽车,在满大街自如穿梭,那魔就能让车中的你魂飞魄散,或下河,或砸锅;若佛能让机器美女温良恭俭让,魔就能让她打滚撒泼,让你不得活;佛能使卫星上天,魔就能让火箭转弯;佛能让飞机自动续航,魔能让机长撞墙;佛让数控车床精准加工,魔让机器失控发疯;佛让你轻松转账,魔让你无法上网;……若佛能送你上天堂,那魔就可送你下地狱,让你这辈子白忙。

总之,从恶意代码的作恶能力来看,只有你想不到,没有它做不到;你若今天想到,也许明天它就能做到。伙计,真不是我吓唬你,还是让事实来说话吧:

听说过波斯帝国吗?对,就是现在的伊朗!它可不得了啦:中东霸主,亚洲经济强国,石油出口总量世界第二,联合国创始成员,军队人数全球第9,悬在以色列头上的一把尖刀;除了核武器,其它杀手锏应有尽有……。更可怕的是,它公开宣称有权开发、利用核技术,而且,浓缩铀的提纯进展突飞猛进,眼看就要逼近原子弹了。吓得犹太邻居寝食难安,无计可施:若像多年前对付另一紧邻叙利亚那样,派飞机把工厂炸掉吧,又怕惹怒对方,收不了场;想送几个特工去施美人计吧,结果传统长袍一穿,纵然是杨贵妃,妹妹魅力也瞬间烟消云散,只剩下那对滴溜溜转的两眼睛,谁看都一样;想策反几个特务吧,结果保安太严,全然近不了身;无奈之下,赶紧求助山姆大叔吧,却也只是徒增一位叹气的伙伴,因为,在核电站背后,还横刀立马,矗立着一头巨兽,北极熊!

怎么办呀,怎么办?!突然,“一休哥”灵光乍现,终于想出了一条妙计:请恶意代码帮忙嘛!

但是,核电站与世隔绝,根本没接通因特网,无法远程入侵;工厂内部的设施结构等一点也不知;要害在哪,如何攻击,连门都摸不到;总之,虽然能找到东、南、西,可就是找不到北!不过,有几点可以肯定:厂内一定有电脑,靠算盘是不可能建设核电站的,而且很可能用了视窗操作系统,毕竟全世界的电脑几乎都在用微软嘛;要么有内部局域网,要么至少某台电脑上有U盘接口;当然还会用工业控制系统,否则咋能提纯核原料呢,而世界主流的工业控制软件也就只那几家,不难一网打尽。于是,仅仅基于这几条猜测,“一休集团”经过努力,开发出了现在叫“震网”的那几行恶意代码,就无声无息地将伊朗的核电站给搞瘫了:1/5的离心机报废、约3万终端被感染、监控录像被篡改、放射性物质被泄漏,危害不亚于切尔诺贝利核电站事故……。终于,伊朗被迫关闭核电站,并于2015714日,承诺永不寻求获取核武器。

其实,恶意代码“震网”能够成功的关键,是它同时调用了几个所谓的“零日漏洞”,即,新发现的还未被他人恶意利用过的软件漏洞,或软件缺陷。这几个漏洞分别叫RPC远程执行漏洞、快捷方式文件解析漏洞、打印机后台程序服务漏洞、内核模式驱动程序漏洞、任务计划程序漏洞。如果你搞不懂这些漏洞的细节,也没关系;形象地说吧,这几个漏洞家伙,既分工又合作:有的打掩护感染U盘;有的四下侦探,寻找攻击目标;有的假冒长官,向其它电脑发号施令,让它们胡作非为;有的蒙骗操作人员,让他们以为平安无事;有的消除痕迹,让网络巡警麻痹大意,甚至事后都找不到踪迹,至今也不知“一休”是何方神圣。终于,一场精妙绝伦的科幻电影,就这样实实在在地,被几行代码就给演绎了。

虽然“震网”被吹嘘成无比精准的“网络导弹”,但实际上,它在攻击伊朗核电站时,还是造成了大面积的误伤,比如,感染了全球超过45000台电脑;其中,伊朗遭受的损失最为惨重(占60%),同时,也殃及印尼、印度、阿塞拜疆、巴基斯坦,甚至连美国的某些电脑也被躺枪,真是“子弹不长眼睛”呀!

“震网”虽然也许是,专门为攻击伊朗核电站量身打造的,但是,千万别以为它的历史使命已经结束。其实,它还能进入多种工业控制软件,并夺取一系列核心生产设备的控制权;能够攻击石油运输管道、发电厂、大型通信设施、机场等多种工业和民用基础设施;能够威胁钢铁、汽车、电力、运输、水利、化工、石油等核心领域。虽然它对你口袋里的那几个银子不感兴趣,但是,还是要提醒你,别被恶意代码盯上,否则,你将成为免费提款机。

如果说伊朗还不够强大,还有某些全球或地区超级大国胆敢联合起来,用恶意软件修理它,破坏它的国家战略,捣毁“伊朗梦”;那么,美国怎么样?!它可是全世界拳头最硬、钱包最鼓、底气最足、脾气最暴躁的世界警察兼老大哟。美国的网络攻防水平无与伦比,而且还常常“路见不平一声吼,不该出手也出手”;比如,前几年,人家“金总书记”才刚有点不服气,它就稀里哗啦,用恶意代码把朝鲜全境的网络给“墙”了。美国还曾经像泼妇那样,叉腰摆擂,对天发誓:谁要是从网上攻击我,老子就导弹侍候!请问,哪个国家敢说半个“不”!结果怎么样?还不是常常被恶意代码,给打得鼻青脸肿,满地找牙吗!远的不说,就说上个月吧:

不知山姆大叔得罪了何方神圣,20161022日凌晨,只听得一声惨叫,美国域名服务器管理服务供应商Dyn倒在了血泊中,捂着胸口,吐出最后一口气道:我被DDOS攻击了……!顿时,半个美国的网络瘫痪,东海岸的许多网站毙命,能说得出姓名的著名网站,诸如TwitterTumblrNetflix、亚马逊、ShopifyRedditAirbnbPayPalYelp等都横尸街头。阴风瑟瑟,网友鬼哭狼嚎;闹市变坟场,互联网直接从天堂坠入扩建后的第十九层地狱。

啥叫DDOS攻击呢?DDOS就是“分布式拒绝服务攻击”的简称(在本章结束时徐志摩的《再别康桥》诗中,我们将更加简单地称为“拒服攻击”)形象地说,它意指黑客借用恶意代码,从世界各地,无偿雇佣了一大批“农民工”,让他们同时挤向Dyn公司的大门,使其水泄不通;于是,Dyn便无法像以往那样,出门向正常客户提供服务了。据事后权威调查,本次这批“农民工”,人数多达上千万,主要包含被恶意代码控制了的常规设备,其中,几百万主力是物联网中的“智能家居”产品,没准还包括你家的冰箱或电视呢。不信你就回家去审问一下,看看它们是否曾经被恶意代码变成过“僵尸”,被人指挥着,糊里糊涂地在人家Dyn门口静坐过。

为啥Dyn一死,其它众多公司就会亡呢?这就是由该公司的特殊使命所决定的了,它可不像一般烧饼铺,关门几天后,顾客可以改吃油条。Dyn提供的是“域名服务器管理服务”,也就是说,它是网络连接的中转站。想想看,中转站都关门了,农贸市场都倒闭了,你买卖双方还有啥好瞎忙的,只能歇业嘛。你也许会很聪明地建议:为啥不多搞几个中转站?!伙计,如果满世界都是农贸市场了,城管还够用吗,还不乱套了吗!

虽然美国国土安全部和FBI等机关,现在都在忙着寻找凶手,并研究恶意代码到底是如何出招,是不是属于违法行为等;但是,我们只想强调的是:像世界超级大哥这样的铁汉,都会被莫名其妙地调戏,更不用说你我等普通小弟、小妹了。你说恶意代码,它还不够恶吗!

那么,恶意代码为什么能有这么恶呢?这就得从电脑说起了:

电脑由硬件和软件两部分组成,前者决定了它的体力,后者决定了它的智力。软件的具体表现形式,其实就是称作代码的东西,它们不过只是一些逻辑命令而已,让电脑第一步这样,第二步那样,……等等。电脑也很听话,指令让它干什么,它就干什么;让它做好事,它就做好事;让它做坏事,它就做坏事;甚至让它自杀,它也会毫不犹豫地遵令行事。虽然人类一相情愿地,将做好事的代码称为善意代码,简称为代码;将做坏事的代码称为恶意代码,但是,从电脑角度来看,它们都是代码,都是应该一视同仁地执行的命令。

对于人类想要做的任何事情,只要能够被分解成一连串逻辑指令,即代码,那么,电脑就能够完成任务;只不过,有时会因为“体力”不够,致使完工时间会很长,甚至拖延到猴年马月。

如果人类本来是想做善事,那么,他们完成相应的(善意)代码后,便可敲锣打鼓、名正言顺地将这些代码,植入现行的所有电脑和其它设备中,让它们为人类造福。如果有人本来就是想作恶,那么,他们完成相应的(恶意)代码后,便只能偷偷摸摸、神不知鬼不觉地,将这些恶意代码植入目标设备中,让它们行凶。这正应验了王阳明的心学四诀:无善无恶心之体,有善有恶意之动;知善知恶是良知,为善去恶是格物。

在当今信息时代,电脑已不再是过去那种,方方正正的盒子了:从形态上,它们已经千变万化,既可大如房屋,也可小如芝麻;从摆放的位置来看,既可以摊在桌上办公,又可以植入电表、车船、手表等几乎所有电子和电器设备中,甚至还可以植入你的体内。因此,凡是电脑可以做的事情,即,(善意)代码可做的善事,都可以由恶意代码,转换成恶事。这就是恶意代码“其恶无边”的理论根据。

仅仅从代码的角度来看,编写恶意代码更容易,编写善意代码更难,因为,善意代码的目标是要把某些工作做成,而恶意代码则是要把这些工作搞砸;而普遍规律是:败事容易,成事难。当然,善意代码也有自己的优势,特别是善意代码之间,原则上是互相协调、互相帮助的,并且后来者可以获得先前代码的主要细节,甚至前辈和后生们,可能同心协力来把事情做好。

恶意代码的优势和劣势,却几乎与善意代码完全相反。其优势是,只需要把事情搞砸就行了。其劣势是,一方面,目标系统的已有(善意)代码,不会主动配合,当然,如果事先已被埋入的“间谍”代码除外;另一方面,即使是恶意代码已经被成功植入目标系统,操作(善意)代码的用户,也不会主动去点击明知是有害的按钮。

为了克服恶意代码的天生劣势,黑客必须花大力气,做下面这两件事情:

其一,让被攻击的对象代码,配合恶意代码来攻击自己。猛地听起来,这好像是天方夜谭一样,世界上哪有这种傻瓜?!别说,还真有,没准你就是。为什么会出现这样怪事呢?主要原因有三个:1)冗长的(善意)代码肯定是人编的,是人就一定会犯错误,哪怕他再认真,工作再负责。据统计,平均每千行代码,就会出现10-20个错误。而这些错误当中,有些虽不关痛痒,但有些却可能是重大缺陷,或称为致命漏洞;比如,在前面“震网”案例中,就是有五个这样的致命漏洞,被黑客发现并利用了。2)编写(善意)代码的目的是“把事情做成”,而不是“刚好把事情做成”,所以,已有的(善意)代码难免还会有“余热”可被利用,使得黑客可趁机为非作歹。类似的情况,在我们日常生活中也屡见不鲜,比如,本来用于切菜的工具,也可发挥余热,用来杀人,这显然防不胜防。3)在电脑看来,它并不区分善意或恶意代码,只要是代码,它就遵令而行。

其二,将恶意代码植入目标系统,并按时启动“爆炸”按钮。这又是一道初看起来,无法解决的难题。不过,别急,人性始终是有弱点的;充分利用这些弱点,就没有办不成的事!解决该难题的法宝,就隐藏在一门名叫“社会工程学”(本书将有专门章节来论述)的学问中。比如,利用“好奇害死猫”定律,总有某个用户会自愿点击有害按钮,将恶意代码下载到自己的电脑中;然后,该“活雷锋”会通过网络将此恶意代码,帮你传遍其亲朋好友;又比如,总有许多机会,你的电脑会落入他人手中(修理环节、外出办公、遗失、被盗等),于是,把事先准备好了的“内应”或“定时炸弹”植入你的电脑,且不是易如反掌吗?还比如,许多联网终端本来就在野外(特别是众多传感器设备),黑客当然有大把的时间,来做自己想做的事情;退一万步讲,就算你是铁板一块,如何保证你身边的所有人都不是木板一块呢?!

所以,恶意代码只要能克服其劣势,那么,它的危害程度,怎么说也都不过分了。

恶意代码肯定不是一根独苗,而是一个庞大的家族,甚至已经形成了一个个黑色部落。为突出重点,我们只介绍几种“罪大恶极”的代表:

病毒,全称“计算机病毒”,光听这名字就让人不寒而栗,不得不联想起那埃博拉病毒、马尔堡病毒、汉坦病毒、拉沙热病毒、狂犬病病毒、天花、登革热等。妈呀~,好可怕!沾上则死,碰到就亡呀!

其实,如果把生物病毒比喻成恶意代码,那么,细菌就可以比喻为普通(善意)代码;有缺陷或漏洞的代码,就约等于被感染的细菌了。别看细菌个头小,它们可是自然界中分布最广、个体数量最多的有机体,是大自然中,物质循环的主要参与者。除了细菌专家外,普通百姓都严重忽略了细菌为人类做过大量好事,比如,若没有细菌的发酵,就没有奶酪、泡菜、酱油、醋、酒等美食;细菌还能降解多种有机化合物,从而帮助人类处理废水,清洁环境污染等;细菌还能发电、增强肠胃的消化功能;细菌还能充当个体识别的“指纹”,因为,每个人身上的细菌都各不相同。当然,与带漏洞的(善意)代码类似,细菌一旦被感染,其危害相当严重,比如,熟知的破伤风、伤寒、肺炎、梅毒、霍乱和肺结核等的病因,都是细菌感染。

计算机病毒是恶意代码的祖师爷,其家族形成已快70年了,不过其破坏力一点也不显老;而且还时不时地,表现出返老还童的迹象。它虽然不是生物病毒,但是,在行为特征方面,与其同名恶友相比,有过之而无不及,比如,传播性、隐蔽性、感染性、潜伏性、可激发性、表现性等破坏性一个也不少,也能自我繁殖、互相传染和激活再生等。它能够像寄生虫那样,把自己附着在各种类型的文件上,当文件被复制或在网上传播时,病毒也就随同文件一起快速蔓延。由于其独特的复制能力,而且还很难从正常文件中将其切割,所以病毒对资源的消耗和破坏能力都很强,并且不易根除。

有一个事实,可能被长期忽略了,本章在此借机提醒一下,但愿有用。那就是,维纳创立《赛博学》(过去称为《控制论》)的终极目标本来是:研制出能够自我繁殖的机器!而能自我繁殖的计算机病毒,不正是这个终极目标的一个里程碑吗!当软件已能自我繁殖之后,如果今后某天,硬件也能自我繁殖了,那么,《赛博学》的初心就实现了。

1949年冯·诺伊曼预见到了病毒可能性;1986年,该家族的第一个成员以“大脑”为名,在巴基斯坦诞生;次年,其弟弟“小球”和“石头”等降世;随后,计算机病毒就越生越多,并开始为害全球,一发不可收拾了。

按其感染策略,病毒家族可分为如下两支:

非常驻型病毒,它由侦察尖兵连和主力部队组成。一旦摸清了敌情,病毒们便一哄而上,有的感染文件,有的繁殖自身,有的赶紧作恶,然后撤退。

常驻型病毒,它隐藏在受害者的“体内”,一旦时机成熟,比如,当操作系统运行某个特定的动作时,病毒们就像癌症细胞那样,不断分裂,不断复制自身,不断感染并消耗系统资源,不断作恶。甚至有时,它们还竟然能将杀毒软件都给感染了,这真是胆敢“在太岁头上动土”!为了不被杀毒软件发现,它们也学会了“静若处子,动若脱兔”。

当然,与生物分类的多样性类似,病毒也有千奇百怪的分类法,比如,按照破坏性的大小,可分为良性病毒、恶性病毒、极恶性病毒、灾难性病毒;按照传染方式,可分为引导区型病毒、文件型病毒、混合型病毒、宏病毒;按照连接方式,可分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒;按照病毒存在的媒体,可分为网络病毒、文件病毒、引导型病毒以及它们的混合;按照病毒传染渠道,可分为驻留型病毒、非驻留型病毒;按照实现的算法,可分为伴随型病毒、蠕虫型病毒、寄生型病毒、练习型病毒、诡秘型病毒、变型病毒等。如果你记不住这么多病毒名称和分类,也没关系;只要你知道“病毒很多,离它们远一点”就行了。

蠕虫,是我们要介绍的第二种典型的恶意代码,这倒不是因为它的名字听起来特别恶心,当然,确实很恶心:想想看,粪便肉蛆或毛毛虫,仅靠肌肉收缩着,在你脖子上爬呀爬呀,蠕来蠕去,你有啥感觉?!

此处单独为蠕虫立小传,主要是因为,作为病毒的一种,历史上它们确实太作恶多端了。如果你喜欢听新闻,那么,下面这些臭名昭著的家伙,都是其家族成员:莫里斯蠕虫、美丽杀手、爱虫病毒、红色代码、求职信、Sql蠕虫王等等。

不过计算机蠕虫病毒,还真能够像生物蠕虫那样,既可无限再生,又可迅速传播。蠕虫病毒是能够独立作战的“自包含程序”,它能将其自身功能的全部或部分,传染到网上的其他终端。与一般病毒不同,蠕虫不需要寄生到宿主代码上,就能开始干坏事了。

蠕虫主要包括主机蠕虫和网络蠕虫,前者完全包含在其运行的主机中,并且通过网络将自身拷贝到其他终端。一旦它完成拷贝动作后,就会自杀,让其克隆物继续作恶;因此,在任何时刻,都只有一个蠕虫拷贝在运行。蠕虫病毒对一种特有的漏洞,行话称为“1434端口漏洞”,情有独钟。蠕虫有时也会换一个比较好听的名字,叫野兔。

僵尸,这又是一个让人胆战心惊的名字。虽然字典对僵尸的解释,“僵硬的死尸”,显得很中性;但是,电影、电视、小说和故事等对僵尸的演绎,就阴森恐怖了:想想看,在某个月黑风高的夜晚,当你路过八宝山时,只听见密林中,“咚~~~”,不时传出阵阵怪响。回忆起前天刚刚上吊的老王,他那长长的紫色舌头,在你眼前晃呀~晃呀~。你倒吸一口凉气,紧了紧衣服,加快步伐,目不斜视,想尽早冲出坟场野地。突然,一阵阴气从背后袭来,你下意识一回头,只见几条鬼影,直着膝盖就朝你快速蹦来。你转身刚要想跑,结果一抬头,却见另一条僵尸挡住了去路!“妈呀~”一声还未说出口,你的头就被生吞了!

关于僵尸,还有另一种传说:过去交通十分不畅,客死他乡的外地人,如何才能“落叶归根”呢?于是,便产生了一种特殊的职业“赶尸”,即,把死者的尸体运回老家。据说,这些从业者,也称为“赶尸者”,会念一种恐怖的魔咒;深夜,僵尸们只要一听到这种魔咒,便会蹦着僵硬的膝盖,自动往家跳;黎明,当第一遍鸡叫时,僵尸们便又躺下不动了。

虽然僵尸病毒并没有传说中的僵尸那么可怕,但是,劝你也别轻视它。

僵尸病毒,又称为僵尸网络,它通过“互联网中继聊天服务器(IRC)”来控制一大群计算机;其实,此时这些所谓的“计算机”已不再是计算机了,它们应该更形象地被称为“僵尸”,因为,它们早已失去了独立的行动能力,而只能听由“赶尸者”,即黑客,指挥。只要黑客一念咒语,叫干什么,成群结队的僵尸就干什么;只要黑客一叫停,它们就会立马原地躺下不动,隐藏起来。回忆一下,在前面美国Dyn遭受攻击的案例中,“赶尸者”一下子就把上千万的“僵尸”,赶到了公司的服务器门口。所以,僵尸病毒往往被用来,发起大规模的网络攻击,如,DDoS和海量垃圾邮件等。同时,黑客还可以随时取用“僵尸计算机”中的信息,窃取大量机密;就像赶尸者可以随时掏取僵尸衣袋,取走银子那样。

因此,无论从网络安全运行,还是从用户数据保护方面来说,僵尸都极其危险。然而,试图发现一个僵尸网络,却是非常困难的;因为,黑客通常远程、隐蔽地控制着,分散在全世界网络上的“僵尸主机”,而这些主机的用户却并不知情。目前,僵尸已经成为互联网上,黑客最青睐的作案工具之一了。据不完全统计,历史上,包括金融、能源、政府等部门在内的,全球近百万家机构和个人,都曾经被僵尸蹂躏过,涉及190多个国家,尤以美国、沙特阿拉伯、埃及、土耳其和墨西哥等为甚。

针对手机用户,僵尸的攻击更加传奇。轻者,其手机被莫名扣费、朋友被广告短信深夜骚扰;重者,存款泡汤、为害八方。手机僵尸的扩散特点很像传销组织,一级感染一级,时间越长,被感染和控制的手机也就越多,呈指数级爆炸型增长。即使是电信运营商,也很难发觉这种僵尸,更甭说普通用户了。而且,它还在不断变异。有些变异后,竟然能够在关机或锁定的情况下,让手机仍然自动发送信息;甚至,还能反过来将“试图杀死它的杀毒软件”给灭了!

我们要介绍的第四种恶意代码,总算有一个不太坏的名字,木马,或全称“特洛伊木马”。

对古希腊感兴趣的读者朋友,也许知道这样一个故事:

传说很久~很久~以前,在殖民地特洛伊,有一位王子,名叫帕里斯。他来到希腊,在斯巴达王,墨涅拉俄斯,的皇宫中做客。并受到了麦尼劳斯的盛情款待,但是,这位王子(帕里斯)太不地道,竟然反客为主,拐走了主人家麦尼劳斯的老婆,海伦。朋友妻不可欺!于是,麦尼劳斯和他的兄弟阿伽门农,决定讨伐特洛伊。由于特洛伊城池坚固,易守难攻,结果十年未能如愿。终于,一个英雄,奥德修斯,献计:让迈锡尼士兵烧毁营帐,登上战船离开,造成放弃攻城、撤退回家的假象,并故意在城下留下一匹巨大的木马。特洛伊人不知是计,便把木马当作战利品拖进城内。结果,当晚正当特洛伊人酣歌畅饮、欢庆胜利时,藏在木马中的迈锡尼士兵悄悄溜出,打开城门,放进早已埋伏在城外的希腊军队;于是,一夜之间特洛伊城化为废墟,老婆是否“物归原主”也不得而知。

现在人们常用“特洛伊木马”来表示“害人的礼物”,或比喻“在敌方阵营里埋下伏兵”或“里应外合的计谋”。黑客也将借用该计谋的一种恶意代码,取名为“特洛伊木马”,或简称为“木马”。

木马,也称木马病毒。它通过特定程序(木马程序)来控制另一台计算机,因此,又有点像是一个主人(控制端),远远地牵着一匹马(被控制端)。木马与一般病毒不同,它不会自我繁殖,也并不刻意感染其他文件,相反它却要尽量别动,猫在那里,尽量伪装自己,别引起外界的注意,让某个倒霉蛋在不知不觉中,将其植入自己的电脑,使其成为“被控制端”。待到冲锋号响起后,黑客在控制端发出命令,于是“隐藏在木马中的士兵”就开始行动,或毁坏被控制端,或从中窃取任何文件、增加口令,或浏览、移动、复制、删除、修改注册表和计算机配置等,甚至远程操控那位倒霉蛋。

仅从行为上来看,木马与网络中常见的“远程控制软件”很相似,只不过,后者是“善意”的,是为了远程维修设备或遥控等正当活动,因此不需隐瞒;木马则完全相反,隐蔽性不强的木马毫无价值;这再一次应证了:邪恶最怕阳光。

木马病毒并不像其原型“特洛伊木马”那么巨大,甚至可容纳许多士兵,相反,它十分精巧,运行时也不需太多资源,因此若无专用杀毒软件,就很难发现它的踪迹。它一旦启动,就很难被阻止,因为,它会将自己加载到核心软件中,系统每次启用,它就自动开始运行;干完坏事后,它还会立刻隐形(自动变更文件名),或马上将自身复制到其他文件夹中,还可以不经用户准许就偷偷获得使用权。

木马家族人丁兴旺,至今已经N世同堂了,包括但不限于,第一代,祖爷爷,主要通过电子邮件窃取密码;第二代,好心办了坏事的意外产物,能实现远程访问和控制;第三代,利用畸形报文传递数据,使其查杀识别更难;第四代,隐藏技巧大幅度提高;第五代,升级为驱动级木马,甚至可干掉其天敌(杀毒防火墙);第六代,不但能盗取和篡改用户敏感信息,而且威胁最新的身份认证法宝:动态口令和硬证书。等等。

从种类上看,名目繁多的木马,也让人眼花缭乱。像“网游木马”和“网银木马”等这样的木马,单从名称上就能猜出其大概。另外,还有下载类木马,专门负责从网上获取其他病毒程序或安装广告软件;代理类木马,它拿倒霉蛋当“跳板”,以被感染用户的身份进行破坏活动,既能隐藏自己,又更能嫁祸于人;FTP木马,它可进行最高权限的上传和下载操作,窃取受害者的机密文件;通讯软件类木马,包括发送消息型(通过即时通讯软件自动发送含有恶意网址的消息)、盗号型(盗窃即时通讯软件的登录账号和密码)、传播自身型;网页点击类木马,它能恶意模拟用户点击广告等动作,在短时间内便可产生数以万计的点击量。

普通个人用户,应该如何防范恶意代码呢?好吧,作为忠实读者,既然您已经耐着性子,看到此处,快看完本章了,那我现在就教您几招吧,但愿有效。

1招,永远不要执行任何来历不明的软件或程序,除非您确信自己的防毒水平已登峰造极;

2招,永远不要相信你邮箱不会收到含有恶意代码的邮件;

3招,用电邮给朋友发软件时,记得叮嘱对方先查毒,因为,在你电脑上不发作的病毒,没准在朋友电脑上就复活了;

4招,永远不要因为对方是你的好朋友,就轻易执行他发过来的软件或程序,因为你无法确信他是否安装过病毒防火墙,也许你的朋友中了黑客程序还不知道,还以为是什么好东西寄来与你分享呢!

5招,千万不要随便留下你的个人资料,因为你永远不会知道是否有人会处心积虑地收集起来,用于今后找你麻烦;

6招,千万不要轻易相信网络上认识的新朋友,因为“在网络上,没有人会知道你是一只狗!”你无法判断,对方是否想把你当做实验品;

等等。

最后,让我们借用著名诗人徐志摩的《再别康桥》,来归纳并结束本章。

悄悄的我走了,

正如我悄悄的来;

我悄悄一动手,

就划走你的钱财。

你电脑的秘密,

是夕阳中的新娘;

骑上无形的木马,

疯狂奔向我心房。

软件上的蠕虫,

悠悠的在网上招摇;

在互联的世界里,

你甘心不如菜鸟!

那云端下的一潭,

不是清泉,是病毒宏;

揉碎在代码间,

正为你沉淀着噩梦。

寻梦?像一只僵尸,

向青草更青处漫溯;

满载一船喽啰,

在拒服攻击里放歌。

但你不能放歌,

悄悄躲着泪流成河;

夏虫也为你沉默,

沉默因今晚的事故!

轻轻的我走了,

正如我轻轻的来;

我抹一抹踪迹,

不带走一片云彩。

关联阅读

[1]杨义先,钮心忻,《安全简史(α版)》(1):大数据隐私,见杨义先的科学网实名博客:http://blog.sciencenet.cn/blog-453322-1013240.html




http://blog.sciencenet.cn/blog-453322-1014544.html

上一篇:《安全简史(α版)》(1):大数据隐私
下一篇:《安全简史(α版)》(3):社会工程学
收藏 分享 举报

9 应行仁 袁伟 王嘉文 尤明庆 苏盛 chen007 icgwang xlsd aliala

该博文允许注册用户评论 请点击登录 评论 (0 个评论)

数据加载中...

Archiver|手机版|科学网 ( 京ICP备14006957 )

GMT+8, 2017-12-17 15:58

Powered by ScienceNet.cn

Copyright © 2007-2017 中国科学报社

返回顶部