2022 年 8 月，全球领先的网络安全解决方案提供商 Check Point 软件技术有限公司的威胁情报部门 Check Point Research (CPR) 发布了其 2022 年 7 月最新版《全球威胁指数》报告。CPR 报告称，Emotet 仍是使用最广泛的恶意软件，尽管与上个月相比，其全球影响范围有所减少。恶意代码可谓是攻击者进行攻击时必备的工具和手段，今天小编就带着大家一起了解下恶意代码防范的相关知识，各位看官，且听小编娓娓道来。

恶意代码四大分类

恶意代码是一种在特定环境下可以独立执行的指令集或嵌入到其他程序中的代码。恶意代码通常按照独立性和自我复制性分类。独立性指恶意代码本身可以独立执行；相对的就是非独立性，也称作依附性，指恶意代码必须嵌入到其他程序中执行，本身无法独立执行。自我复制性指恶意代码能够自动传染给其他正常程序或系统；不具有自我复制性的恶意代码必须借助其他媒介传播。因此，根据是否具有独立性、是否具有自我复制性的排列组合，可将恶意代码分为四大类：

• 不具有自我复制能力的依附性恶意代码，包括木马、后门、逻辑炸弹；
• 不具有自我复制能力的独立性恶意代码，包括木马生成器、木马、后门、恶作剧、Rootkits；
• 具有自我复制能力的依附性恶意代码，包括病毒；
• 具有自我复制能力的独立性恶意代码，包括蠕虫、恶意脚本、僵尸；

恶意代码攻击机制

恶意代码形态千差万别，行为表现各异，破坏程度参差不齐，但基本攻击机制大同小异，如上图所示，大致分为入侵系统、维持和提升权限、隐身、潜伏、破坏、重复上述过程六大步骤。

1. 入侵系统：该步骤是恶意代码实现目的的必由之路，通常入侵途径有远程攻击、网页木马、邮件病毒、网络钓鱼等；
2. 维持或提升权限：恶意代码在侵入受害主机后，要想进一步实施破坏，必须使用用户或进程的合法权限才能够完成，因此要使得自己的权限提升到相应的合法水平；
3. 隐身：为了使得进一步攻击不被发现，通常要通过改名、删除文件或修改系统安全策略来隐藏自己；
4. 潜伏：恶意代码侵入受害系统后，由于实现目的的条件不具备，平时不会运行，只有在等待条件成熟后，才会发作并进行破坏；
5. 破坏：恶意代码自身就具有破坏性，为实现最终目的，在发作时造成信息的丢失、泄密、破坏系统完整性；
6. 重复上述过程，对新的目标实施攻击，进而实现最终目的或扩大战果。

恶意代码四大防范技术

针对不同的恶意代码，防范的方法各不相同，但是本质上防范的技术大多类似，主要包括以下四种技术手段：

1. 基于蜜罐的检测技术：蜜罐本质上是一个虚拟系统，可以伪装成许多服务的服务器主机，构建虚假的网络环境，以吸引攻击者的攻击，同时安装强大的监测系统，对于恶意代码的攻击过程进行详细记录，分析攻击方法及目的；
2. 基于特征的扫描技术：该技术中常用的技术是反病毒引擎，首先建立恶意代码的特征知识库或模型库，然后应用扫描技术在扫描时根据特征进行匹配；
3. 沙箱技术：根据可执行程序需要的资源和拥有的权限建立程序的运行环境，简称沙箱。每个程序都运行在独立的沙箱中，无法影响其他程序的运行，同时，沙箱具备安全检测和安全分析恶意代码行为的能力；
4. 检验和法：在系统未被感染前，对待监测的正常文件生成校验和值，然后周期性地检测文件的校验和，并进行比对，当校验和发生变化时，则认为产生异常。

感谢您的阅读，喜欢的话就转发、收藏并关注小编，给小编助助力吧。

内容较基础，但为了保证知识的完整性及体系化，也是很有必要提提的，不喜勿喷。后续文章同样精彩，欢迎关注，一起学习提高。