國外著名的某安全公司指出：2007年互聯(lián)網(wǎng)上傳播的有記載的新型惡意程序（包括病毒，蠕蟲，木馬等）數(shù)目達2,227,415個，同2006年的結(jié)果(535,131個)相比翻升了四倍，惡意軟件總數(shù)量達到354GB。許多反病毒專家認為這些惡意軟件的急速增加已經(jīng)達到了一種很極端的情況。惡意軟件的快速發(fā)展、廣泛傳播，以及新型化、復(fù)雜化，使得展示出更強的破壞性和更多樣的傳播方式。2008年安全公司對于惡意軟件的分析研究也將面臨更大的挑戰(zhàn)。葉子在本篇文章中將帶領(lǐng)大家初步了解一下惡意代碼及其相關(guān)的分析研究過程。

惡意代碼（malicious code）是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。惡意程序創(chuàng)作者有一套不斷擴充且技術(shù)先進的工具組合可供他們?nèi)我膺\用，其中包含了傀儡程序與傀儡網(wǎng)絡(luò)、Rootkit、社交工程技巧、間諜程序與廣告程序等等。他們受到金錢利益驅(qū)使的情況更甚于以往，而且創(chuàng)造出許多專門生產(chǎn)惡意程序、犯罪程序與間諜程序/廣告程序的地下經(jīng)濟體。他們不再制作以刪除文件及破壞大量計算機為目的的惡意程序，改以潛藏于計算機中，等候傀儡程序主控者下達命令采取各種行動，或在適當(dāng)時機竊取個人信息的惡意程序取而代之。他們不斷創(chuàng)造出行蹤更隱匿的惡意程序，像是視頻垃圾郵件-內(nèi)含視頻而非文字的垃圾郵件。

惡意代碼按傳播方式可以分成幾類：病毒，木馬，蠕蟲，移動代碼。

病毒一般都具有自我復(fù)制的功能，同時，它們還可以把自己的副本分發(fā)到其他文件、程序或電腦中去。病毒一般鑲嵌在主機的程序中，當(dāng)被感染文件執(zhí)行操作的時候（例如：打開一個文件，運行一個程序，點擊郵件的附件等），病毒就會自我繁殖。

特洛伊木馬這類惡意代碼是根據(jù)古希臘神話中的木馬來命名的，它從表面上看是正常的程序，但是實際上卻隱含著惡意意圖。一些木馬程序會通過覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中，同時它能以加載惡意代碼動態(tài)庫的方式攜帶惡意代碼程序，還有一些木馬會以一個軟件的身份出現(xiàn)（例如：一個可供下載的游戲，將木馬捆綁在軟件安裝程序上），但它實際上是一個竊取密碼的工具。這類應(yīng)用通常在網(wǎng)絡(luò)游戲盜號木馬上。大多數(shù)木馬都可以使木馬的控制者登錄到被感染電腦上，并擁有絕大部分的管理員級別的控制權(quán)限。為了達到這個目的，木馬一般都包括一個客戶端和一個服務(wù)器端。客戶端放在木馬控制者的電腦中，服務(wù)器端放置在被入侵電腦中，木馬控制者通過客戶端與被入侵電腦的服務(wù)器端建立遠程連接。一旦連接建立，木馬控制者就可以通過對被入侵電腦發(fā)送指令來傳輸和修改文件。通常木馬具有很強的隱敝性，會采用多種手段隱藏木馬。隱藏惡意進程的痕跡，例如使惡意進程不在進程列表中顯示出來等。常見的木馬有灰鴿子、彩虹橋、Poison_Ivy、守望者、上興遠控、turkojan等一些木馬。

蠕蟲是一種能在沒有任何用戶動作的情況下自動傳染計算機的病毒變形。蠕蟲不修改文件，而是常駐在內(nèi)存里并復(fù)制自己。蠕蟲使用操作系統(tǒng)的一部分，這部分對于用戶來說是自動且無形的。通常只有在它的無法控制的瘋狂復(fù)制占用了系統(tǒng)資源使得其他的 任務(wù)緩慢甚至停滯的情況下才會發(fā)現(xiàn)它們。蠕蟲的自我復(fù)制不像其他的病毒，它可以自動創(chuàng)建與它的功能完全相同的副本，并在沒人干涉的情況下自動運行。蠕蟲是通過系統(tǒng)存在的漏洞和設(shè)置的不安全性（例如：設(shè)置共享）來進行入侵的。它的自身特性可以使它以極快的速度傳輸（在幾秒中內(nèi)從地球的一端傳送到另一端）。其中比較典型的有Blaster和SQL Slammer。

移動代碼是能夠從主機傳輸?shù)娇蛻舳擞嬎銠C上并執(zhí)行的代碼，它通常是作為病毒，蠕蟲，或是特洛伊木馬的一部分被傳送到客戶計算機上的。另外，移動代碼可以利用系統(tǒng)的漏洞進行入侵，例如非法的數(shù)據(jù)訪問和盜取root賬號。通常用于編寫移動代碼的工具包括Java applets，ActiveX，JavaScript，和VBScript。