*** 蠕虫的初步研究及探讨 金州[VIP/EST] *** 上一般对蠕虫和病毒阐述的不是很清楚。个人感觉蠕虫才是 *** 更大的威胁，所以写这一篇小文字，来对 *** 蠕虫进行一下初步的学习。 一.〉 *** 蠕虫和病毒的区别病毒和蠕虫是不同的概念，之所以要区分这个，是为了对蠕虫的重视。对于蠕虫的定义一些人的看法历来不同。蠕虫能真正危害到整个 *** 。如果有一天真的 *** 战争开始，金州觉得蠕虫在目前看来，会是一个终极的武器。 郑辉先生在其博士毕业论文《internet蠕虫研究》中分析两者的区别如下，1.存在形式，病毒是寄生，蠕虫是独立个体。2.复制形式，病毒是插入到宿主文件（金州注释：即依靠文件比如win系统的pe结构），蠕虫是自身的拷贝。（金州注释，这一点是任何蠕虫能发展的根本。）3.传染机制，病毒是宿主程序运行。（金州注释，即需要运行病毒文件或含病毒文件）蠕虫是系统漏洞。4.攻击目标，病毒是本地文件（金州注释，即某台机器）。蠕虫是 *** 上的其他计算机。5.触发传染，病毒是计算机使用者，蠕虫是程序自身。6.影响重点，病毒是文件系统，蠕虫是 *** 性能和系统性能。7.计算机使用者的角色，病毒传播中的关键环节。蠕虫无关。（金州注释，是不是会中毒，和计算机的操作者的水平有很大关系，水平越高，中毒的可能性越小，但是不论你水平多高，都很难防范蠕虫，这个问题下面解释。）8.防治措施，病毒从系统文件中摘除，蠕虫打补丁。9.对抗主体，病毒面对的是计算机使用者，反病毒的厂商。蠕虫面对的是系统软件和服务软件提供商， *** 管理人员。 从中不难看出，蠕虫和病毒的更大区别，用简单的话说就是，蠕虫是活的，有生命的，就像在 *** 中游走的一个人一样，而病毒却是半生命体，像是机器人，需要一定的触发机制。病毒也具有传播性，但是传播能力相对非常弱小。并且因为系统操作者的水平不同，病毒能造成的危害也不同。 二〉蠕虫对抗蠕虫的浅显看法以上郑辉先生列举的特点中略过了一点，也是我最喜欢的一点，个人感觉这一点很有前途。即病毒一般有害，否则也不叫病毒了。但是蠕虫不一定，有一些好的蠕虫，有些人也希望开发出好的蠕虫。例如最早的蠕虫，1980年Xerox PARC 研究人员编写蠕虫的目的是为了辅助科学实验。core war游戏中，Reaper(收割者)蠕虫会寻找 Creeper（爬行者）蠕虫，然后杀掉它，最后自杀。以后在lion蠕虫横行的时候，这个蠕虫据说是原来红盟的lion主创，为对付日本用的，后来好像出了问题，为了补救，出现了cheese蠕虫，就是针对lion蠕虫的，会清除lion,这应该是迄今为止的为数不多的一个真正在internet开展的蠕虫对抗，但是并不成功，因为蠕虫传播的基础是占用大量的 *** 资源。这几年来好像没有这样的蠕虫对抗出现。之所以出现cheese蠕虫和lion蠕虫的对抗，金州觉得很大原因是因为当时lion蠕虫套用了ramen蠕虫的部分代码，ramen代码当时已经为一些人掌握。lion蠕虫也很快被解析出来。2001.3月lion蠕虫被发现，2001.5.5日有人就在安全焦点技术论坛发布了《狮子蠕虫解析(LinuxAid)》一文（https://www.xfocus.net/bbs/index.php?act=SE&f=2&t=531&p=1729），这应该是国内比较早的比较好的对蠕虫具体问题的分析文章。2002年左晓栋，戴英侠发布《“狮子”蠕虫分析及相关讨论》，这篇文章我没有，不知道核心和《狮子蠕虫解析》是不是类似。那位大哥如果有（电子版的），不麻烦的话给小弟一份。：：））。lion蠕虫之所以能被很快的解析出来，主要是加密做的不好，具体可参考趋势病毒库中对它的描述。国外Max Vision也写过对抗ADM蠕虫的蠕虫。这篇文字是初步探讨，就不多说了。总之，依靠蠕虫对抗蠕虫的思路虽然不错，但是执行起来并不是很有可行性。金州浅显觉得原因有二1.是蠕虫因为利用漏洞传播，本身就具有时效性。当补丁打好之后，蠕虫基本就over了而且随着 *** 上一些硬件防火墙的推广和个人防火墙的性能提高， *** 安全监控和预警体系的加强，对蠕虫地 *** 能力大大提高。尤其是硬件防火墙。简单的蠕虫越来越难大范围的传播。使蠕虫对抗蠕虫失去了实际的空间，并且容易丧失时效性。2.凡是蠕虫都是依快速传播为本能，这种传播占用大量的 *** 资源，甚至极可能造成 *** 的瘫痪。这使蠕虫对抗蠕虫暗含了危险性。但是蠕虫对抗蠕虫毕竟是一个很好的思路，尤其是在小范围内。如某些关键系统，如银行或者军方系统，当针对这些系统的蠕虫在这些安全性较高的内部网快速传播的时候，用蠕虫对抗蠕虫应该是最快的