第八章 移动终端恶意代码

网络安全中的移动恶意代码研究与应用近年来，随着移动设备的普及，移动恶意代码也越来越广泛地出现。

这给网络安全带来了巨大的挑战。

移动恶意代码不仅会窃取用户的隐私信息，甚至还会利用用户设备进行矿机挖矿、攻击其他设备等行为。

为了有效地防范这些安全威胁，电脑专家借助技术手段研究和应用移动恶意代码，提高网络安全保护的水平。

一、移动恶意代码的定义移动恶意代码简称“恶意代码”，是指在移动设备上运行的、危害用户信息安全的恶意软件。

这些代码可以在不经过用户允许的情况下自动下载并运行，甚至会试图躲避用户的防御。

攻击者通过移动恶意代码，可以窃取用户的隐私信息，如通讯录、短信、位置等。

此外，恶意代码还可以利用用户的移动设备进行矿机挖矿、攻击其他设备等恶意行为。

二、移动恶意代码的分类目前，根据恶意代码的行为和特征，可以将移动恶意代码分为以下几类：1.间谍软件这种恶意代码常常通过通过用户下载的正式软件植入用户设备，来偷取用户的个人信息、账户、密码等敏感信息，例如手机银行账号、微信和支付宝账号等。

2.广告软件广告软件通常会自动展示弹出广告，从而影响用户的正常操作，此类恶意代码通常通过自动下载或者用户下载安装平台下载安装。

3.欺诈软件欺诈软件的特点是通过制造虚假的、诱人的信息哄骗用户进行各种欺诈。

据统计，欺诈软件短信和电话来诈骗的人数越来越多。

三、移动恶意代码的攻击方式为了使攻击效果更好，攻击者通常会采用多种攻击方式。

以下是攻击者通常采用的攻击方式。

1.钓鱼攻击钓鱼攻击是指攻击者通过向用户发送虚假信息或伪装成可信来源的信息来欺骗用户，以获得用户的信任，从而让用户下载病毒文件或授予权限等操作。

2.恶意程序攻击恶意程序的攻击方式是指利用漏洞和灰色法门来植入恶意程序进行攻击。

攻击者利用恶意程序指令植入，控制用户设备，从而执行恶意活动。

3.移动远控攻击移动恶意代码通常是由攻击者通过网络发送的，攻击者可以通过远程控制渗透到设备中，并获取用户所有的数据。

2022-2023学年浙江省舟山市全国计算机等级考试网络安全素质教育真题二卷(含答案)学校:________ 班级:________ 姓名:________ 考号:________一、单选题(10题)1.（）是恶意代码的基本特征，是判别一个程序或代码片段是否为恶意代码的最重要的特征，也是法律上判断恶意代码的标准。

A.目的性B.传播性C.破坏性D.隐蔽性2.以下关于防火墙的说法，正确的是（）。

A.防火墙只能检查外部网络访问内网的合法性B.只要安装了防火墙，则系统就不会受到黑客的攻击C.防火墙的主要功能是查杀病毒D.防火墙不能防止内部人员对其内网的非法访问3.从编程框架上来看，特洛伊木马是一种基于()模式的远程控制程序，通过这个控制程序，黑客可以远程控制被控制端。

A.BSB.SocketC.C/SD.API4.篡改信息攻击破坏信息的（）。

A.可靠性B.可用性C.完整性D.保密性5.WinRAR的压缩率一般能达到（）以上。

A.40%B.50%C.60%D.30%6.关于系统还原，错误的说法是()。

A.系统还原不等于重装系统B.系统还原肯定会重新启动计算机C.系统还原的还原点可以自行设定D.系统还原后，所有原来可以执行的程序，肯定还可以执行7.访问控制根据实现技术不同，可分为三种，它不包括（）。

A.强制访问控制B.自由访问控制C.基于角色的访问控制D.自主访问控制8.下列不属于网络安全的技术是()。

A.防火墙B.加密狗C.认证D.防病毒9.Windows优化大师提供的系统清理功能中不包括（）。

A.冗余DLL清理B.开机速度优化C.安全补丁清理D.历史痕迹清理10.ACDSee图像编辑模式下，要调节图片的光线，可单击编辑面板中的（）命令。

A.曝光B.色彩C.红眼D.锐化二、多选题(10题)11.保持杀毒软件对恶意代码的识别和杀灭能力的有效方法是（）。

A.购买正版杀毒软件B.定期升级正版的杀毒软件C.购买杀毒软件光盘D.到软件专卖店购买杀毒软件E.使用国外品牌的杀毒软件12.故障管理知识库的主要作用包括()、()和()。

移动终端环境下基于机器学习的恶意代码检测与防范技术随着移动终端的普及以及移动应用的广泛使用，移动平台上的恶意代码问题也愈发突出。

恶意代码为黑客或病毒制作者提供了攻击和入侵移动设备的凭借，不仅会损害用户的隐私和数据安全，而且会对整个移动互联网的合法运营和发展造成威胁。

因此，如何在移动终端环境下有效检测和防范恶意代码的威胁是一个非常重要的问题。

传统的恶意代码检测技术往往采用基于模拟器或虚拟机的静态分析或基于特征码的动态分析，但这些技术在检测率、误报率和计算性能等方面都存在较大的局限性。

随着机器学习的迅速发展和广泛应用，越来越多的研究者开始将机器学习应用于恶意代码检测中，以提高检测的准确性和效率。

机器学习是一种通过从数据中获取知识和经验来优化预测和决策的方法。

在恶意代码检测中，机器学习可以通过训练数据集和学习算法，自动地识别恶意行为和模式，从而达到提高恶意代码检测效率和准确性的目的。

目前常见的基于机器学习的恶意代码检测技术主要包括以下几种：1. 基于统计分析的机器学习检测法：该方法通过统计恶意代码的实际样本数据，提取出与恶意代码相关的特征，再用机器学习算法建立模型，从而实现对未知的恶意代码的自动检测。

此方法的优点是对于新出现的恶意代码具有相对较好的检测效率，但是需要大量的恶意代码样本进行训练，而且随着时间的推移，该方法的检测效果会受到恶意代码样本的演化影响。

2. 基于行为分析的机器学习检测法：该方法通过对恶意代码的行为特征进行分析，提取出与恶意行为相关的特征，建立机器学习模型，从而实现对恶意代码的检测。

此方法的优点是通过检测恶意代码的行为，可以更加准确地判断是否为恶意代码，但是由于恶意代码的行为可以模拟常规应用程序的行为，因此检测效率仍需要进一步提高。

3. 基于深度学习的机器学习检测法：该方法采用深度神经网络模型，从原始的恶意代码二进制流中提取特征，建立深度学习模型，从而能够对未知的恶意代码进行检测。

移动终端恶意代码行为分析研究报告移动终端恶意代码行为分析研究报告安天实验室移动终端恶意代码行为分析研究报告安天实验室武汉研究中心一、移动终端恶意代码的概念与计算机病毒相似，手机病毒也是一段计算机程序。

不同的是手机病毒的感染或破坏对象是手机（包括PDA）。

手机病毒是以移动通信网络和计算机网络为传播平台，利用发送信息（包括SMS、EMS和MMS）、网络下载、蓝牙、红外传输或存储卡等方式，实现网络到手机、手机与手机或PC与手机之间的传播，从而对手机进行攻击，造成手机异常的一种新型病毒。

这里讨论的是广义上的手机病毒。

它不仅包括狭义的病毒，还包括一些没有病毒的传染性特征的恶意代码。

手机病毒产生的危害可以分为两类：一类是与硬件无关的，如导致手机重启、死机、关机、删除存储卡的资料、软件不能使用、个人信息泄露、话费损失（如不经用户同意订阅付费服务、拨打电话、发送彩信）、垃圾（广告等）信息干扰等；另一类则与硬件相关，如损毁SIM卡或芯片等。

如果一个操作系统上可以运行第三方软件，由于操作系统和软件本身不可避免地存在漏洞，这个操作系统和软件就有可能遭受恶意程序的攻击。

理论上说，支持安装第三方软件的手机都有可能感染手机病毒，这样一来智能手机和支持JA V A扩展的手机（包括智能与非智能手机）都是可能被感染的对象。

目前针对智能手机的操作系统除了Windows Mobile和RIM外都已开放，用户可以利用这些系统厂商提供的SDK和API进行第三方软件的开发，这在方便用户的同时也使得编写手机病毒非常容易。

而非智能手机操作平台是不开放的，其受病毒感染的几率也小很多，因此目前的绝大部分手机病毒都是针对智能手机的。

但是支持JA V A扩展的非智能手机也有感染病毒的可能，因为可以在这些手机上安装运行JA V A程序，这就为病毒的感染创造了条件，使用J2ME开发的手机木马RedBrowser就是一种这样的病毒。

RIM系统虽然不是开放的，但由于它支持JA V A扩展，也可以感染这种木马。

提纲一．恶意移动代码二．计算机病毒技术分析三．网络蠕虫及传播模型四．恶意代码分析与防御恶意移动代码（MMC）q恶意移动代码(Malicious Mobile Code)是一段计算机程序，能够在计算机或网络之间传播，未经授权、故意修改计算机系统。

•代码（Code）•移动（Mobile）•恶意（Malicious）病毒、蠕虫与木马的比较需要不需要需要宿主留下后门，窃取信息侵占资源破坏数据完整性、系统完整性主要危害慢极快快传播速度依靠用户主动传播自主传播依赖宿主文件或介质传播方式伪装成其他文件独立的文件不以文件形式存在表现形式木马蠕虫病毒特性最常见的MMCq其他可执行的内容•Macro•Java Applet•ActiveX•Java Scripts•VB Scriptsq Logic Bombq Spammer Programsq Floodersq Keyloggersq Rootkits各种恶意移动代码的融合趋势q计算机网络的普及，文件共享q电子邮件应用q黑客攻击的手段（利用系统漏洞）q社会工程（social engineering )q Code Red 和Nimda一、计算机病毒技术分析1.计算机病毒的产生2.病毒感染技术3.病毒的自保护技术Core War: The Fighting Programsq National SecurityAgency (NSA)chief scientistRobert Morrisq RedCode/PDP-1q Darwin, Core Warq Simplest program:•MOV 0，1q多种定义方式•计算机病毒是一个指令序列，它能够把自身的拷贝插入到其他宿主程序中；•计算机病毒是隐藏在计算机系统的数据资源中，利用系统数据资源进行繁殖并生存，并能影响计算机系统正常运行的并通过系统数据共享进行传染的程序。

•我国《中华人民共和国计算机信息系统安全保护条例》第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2021-2022学年湖南省益阳市全国计算机等级考试网络安全素质教育真题一卷（含答案）学校:________ 班级:________ 姓名:________ 考号:________一、单选题(10题)1.下列不属于网络安全的技术是()。

A.防火墙B.加密狗C.认证D.防病毒2.下面属于被动攻击的技术手段是()。

A.搭线窃听B.重发消息C.插入伪消息D.拒绝服务3.下列情况中，破坏了数据的完整性的攻击是()。

A.假冒他人地址发送数据B.不承认做过信息的递交行为C.数据在传输中途被篡改D.数据在传输中途被破译4.根据《中华人民共和国保守国家秘密法》规定，国家秘密包括三个级别，他们是：()。

A.一般秘密、秘密、绝密B.秘密、机密、绝密C.秘密、机密、高级机密D.机密、高级机密、绝密5.在密钥的分类中，用于对传送的会话或文件密钥进行加密时所采用的密钥是（）。

A.基本密钥B.密钥加密密钥C.会话密钥D.主机主密钥6.下列术语中，（）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。

A.安全攻击B.安全技术C.安全服务D.安全机制7.病毒采用的触发方式中不包括（）。

A.日期触发B.鼠标触发C.键盘触发D.中断调用触发8.以下关于计算机病毒的特征说法正确的是()。

A.计算机病毒只具有破坏性和传染性，没有其他特征B.计算机病毒具有隐蔽性和潜伏性C.计算机病毒具有传染性，但不能衍变D.计算机病毒都具有寄生性，即所有计算机病毒都不是完整的程序9.根据我国《电子签名法》的规定，数据电文是以电子、光学、磁或者类似手段()的信息。

A.生成、发送B.生产、接收C.生成、接收、储存D.生成、发送、接收、储存10.下列选项中，属于计算机病毒特征的是()。

A.并发性B.周期性C.衍生性D.免疫性二、多选题(10题)11.以下哪项属于防范假冒网站的措施()。

A.直接输入所要登录网站的网址，不通过其他链接进入B.登录网站后留意核对所登录的网址与官方公布的网址是否相符C.登录官方发布的相关网站辨识真伪D.安装防范ARP攻击的软件12.CSRF攻击防范的方法有?（）A.使用随机TokenB.校验refererC.过滤文件类型D.限制请求频率13.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施()。