惡意代碼泛指所有不懷好意的程序代碼，包括計(jì)算機(jī)病毒、“蠕蟲(chóng)”病毒、特洛伊木馬和黑客后門(mén)。

1、惡意代碼的演化

計(jì)算機(jī)惡意代碼有一個(gè)演化過(guò)程，這一過(guò)程與全球計(jì)算機(jī)操作系統(tǒng)的發(fā)展有密切關(guān)系。Microsoft的操作系統(tǒng)一直是惡意代碼發(fā)展的主要平臺(tái)，這里以時(shí)間為主線(xiàn)對(duì)在該平臺(tái)上惡意代碼的演化進(jìn)行分析。在過(guò)去的10多年中Microsoft主要推出了4大操作系統(tǒng)：MS-DOS、16位的Windows 3.1、32位的Windows 9x/NT/2000及64位的Windows XP。

1987~1993：這時(shí)，個(gè)人計(jì)算機(jī)盛行及網(wǎng)絡(luò)處于萌芽階段，磁盤(pán)是主要的交換媒介。計(jì)算機(jī)則是采用8086/8088CPU的XT及80286的AT機(jī)為主。處于這個(gè)信息爆炸年代，加上版權(quán)保護(hù)觀念尚未普及，一套計(jì)算機(jī)軟件往往一傳十、十傳百，這也是造成開(kāi)機(jī)型及DOS文件格式病毒快速蔓延的主要原因。

1993~1995：繼MS-DOS之后，16位的操作系統(tǒng)Windows 3.1占領(lǐng)了市場(chǎng)，由于Windows 3.1操作系統(tǒng)需要在MS-DOS環(huán)境下激活，所以除了原有開(kāi)機(jī)型及DOS文件型病毒仍具威脅外，專(zhuān)門(mén)針對(duì)Windows 3.1操作系統(tǒng)設(shè)計(jì)的NE格式的計(jì)算機(jī)病毒也在這個(gè)時(shí)期問(wèn)世。

1996~2001：隨著Microsoft 32位操作系統(tǒng)的推出，宏病毒、PE格式的32位病毒、VBScript等惡意代碼紛紛出籠，而且這些惡意代碼大都具有編寫(xiě)容易、影響普遍的特點(diǎn)。計(jì)算機(jī)病毒的作者還大量使用了“變體引擎”、壓縮和加密等技術(shù)，以使程序很難被破解和偵察。

2002至今：隨著Microsoft 64位操作系統(tǒng)的推出，操作系統(tǒng)的網(wǎng)絡(luò)功能大大增強(qiáng)，Web服務(wù)器和網(wǎng)絡(luò)瀏覽器普及很快，公共網(wǎng)關(guān)接口(CGI，common gateway interface)腳本使用機(jī)會(huì)大大增多，而CGI腳本經(jīng)常是安全漏洞的來(lái)源。因?yàn)?/SPAN>CGI腳本的功能是很強(qiáng)的，能夠做以下事情：在主機(jī)上進(jìn)行讀和寫(xiě)、使用用戶(hù)設(shè)置的權(quán)限執(zhí)行等。

從以上分析，我們可以看出惡意代碼的進(jìn)化過(guò)程和操作系統(tǒng)有著密切關(guān)系。隨著操作平臺(tái)的發(fā)展，惡意代碼的功能及影響層面與日俱增。

2、惡意代碼的傳播趨勢(shì)

在計(jì)算機(jī)惡意代碼造成的危害中，“傳播媒介”一直起著推波助瀾的作用。PE_CIH的危害再大，也只能通過(guò)單部計(jì)算機(jī)進(jìn)行傳播，影響較小。而借助于電子郵件傳播的W97M_MALISSA.A和TROJ_SIRCAM.A惡意代碼可以在一周內(nèi)侵害全球數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)。就傳播的速度而言，電子郵件快于局域網(wǎng)，而局域網(wǎng)快于磁盤(pán)。目前DOS文件型和開(kāi)機(jī)型病毒幾乎已經(jīng)絕跡，以局域網(wǎng)為傳播媒介的惡意代碼也逐漸減少，取而代之的是借助于網(wǎng)絡(luò)進(jìn)行傳播的電子郵件類(lèi)型的惡意代碼。除了郵件以外，點(diǎn)對(duì)點(diǎn)的傳播方式也值得引起人們的重視。由于網(wǎng)絡(luò)的普及，許多人的計(jì)算機(jī)已經(jīng)處于隨時(shí)聯(lián)機(jī)的狀態(tài)，未來(lái)惡意代碼的傳播可能不必通過(guò)第三者（如文件服務(wù)器、郵件服務(wù)器）而直接傳播至各主機(jī)。

3、惡意代碼類(lèi)型

在因特網(wǎng)上的計(jì)算機(jī)，除了容易遭受黑客攻擊外，還存在如表1所示的4種惡意代碼的入侵威脅，它們的主要特性分別敘述如下。

表1：4種惡意代碼的特征

1）計(jì)算機(jī)病毒：它是一個(gè)自復(fù)制的計(jì)算機(jī)程序，能夠把自身添加到可執(zhí)行文件或磁盤(pán)上的系統(tǒng)區(qū)域中。當(dāng)使用者執(zhí)行已感染病毒的文件或者啟動(dòng)帶有病毒的磁盤(pán)時(shí)，病毒就會(huì)傳播出去。計(jì)算機(jī)病毒是否會(huì)在某一特定日期發(fā)作破壞系統(tǒng)，這要看該病毒是如何編寫(xiě)的。

2）“蠕蟲(chóng)”：它并不是另一個(gè)程序的一部分，它自身由一對(duì)獨(dú)立的程序組成，分別稱(chēng)作主程序和矢量程序。一旦它們?cè)谝蛱鼐W(wǎng)上的一個(gè)或更多個(gè)主機(jī)上被激活，主程序就自動(dòng)收集主機(jī)、網(wǎng)絡(luò)和用戶(hù)信息，并使用這些信息和利用主機(jī)的系統(tǒng)軟件存在的缺陷，首先通過(guò)局域網(wǎng)、互聯(lián)網(wǎng)或者電子郵件派遣矢量程序進(jìn)入其他機(jī)器，在矢量程序探明情況并成功完成入侵以后，再通過(guò)網(wǎng)絡(luò)傳播主程序，然后復(fù)制的新“蠕蟲(chóng)”（包括主程序和矢量程序）將采用同樣的方法嘗試感染其他機(jī)器。

3）特洛伊木馬：偽裝型木馬是隱藏在執(zhí)行合法功能的大型程序中一段惡意程序。網(wǎng)絡(luò)傳播型木馬由兩個(gè)程序組成，分別稱(chēng)作服務(wù)器端程序和客戶(hù)端程序。其中服務(wù)器端程序是安裝在入侵的計(jì)算機(jī)上，而客戶(hù)端程序是安裝在攻擊者的計(jì)算機(jī)上。

4）黑客后門(mén)：是攻擊者創(chuàng)建能迅速重新獲取訪(fǎng)問(wèn)權(quán)的機(jī)制。它通常采用遠(yuǎn)程shell 訪(fǎng)問(wèn)，即攻擊者在目標(biāo)系統(tǒng)緩沖區(qū)建立執(zhí)行代碼，并能遠(yuǎn)程控制它并執(zhí)行。