1、“.....对恶意行为特征的动态实时监控可以通过虚拟机或沙盒系统实现，虚拟机和沙盒系统提供的虚拟环境是对真实客户端系统的仿真，能像真实操作系统样运恶意代码的威胁现状应用作为种常见的网络应用方式被广泛使用，而针对应用的恶意代码问题对互联网的安全构成了严重威胁。根据年月发布的年度互联网安全报告，年新发现的恶意代码数为亿个，较年增加了从恶意代码类型分析，前十位的如广告推广类木马恶意下载器间谍程序等均与应用相关。互联网安全中心应用型恶意代码机理与检测技术分析论文原稿需要的各种安全漏洞结合网络爬虫技术，蜜罐系统可以通过浏览器主动访问各种应用，并监视和记录访问过程中客户端系统中的所有行为和状态变化访问完成后，对记录的行为和系统状态变化进行分析......”。

2、“.....摘要应用型恶意代码对网络环境造成了极大的安全威胁，针对该类恶意代行为特征可應用于恶意代码检测与分析，将这些具有共性的行为特征汇集组成恶意行为规则库，同时定义应用程序的合法行为规则库，在应用执行过程中，实时监控其行为，综合多种行为所归属的规则库，进而判断该应用中是否包含恶意代码。对恶意行为特征的动态实时监控可以通过虚拟机或沙盒系统实实现攻击效果的最大化。动态行为技术重点关注恶意代码运行时的行为特性，而非代码本身的编码序列，所以相对于静态特征码技术，不受多态变形混淆技术的影响，对已知或未知类型的恶意代码都可以检测，具有直观快速等特点。但该检测技术需要依托个真实的计算机系统实现，因此系统代价和时间代价较高同时......”。

3、“.....被植入恶意代码的主要功能是通过网页重定向等技术将用户自动引导至恶意软件宿主页，这种自动引导可能是直接引导至宿主页，也可能是经过多次跳转后到达宿主页。扫描并利用用户漏洞当用户访问而易举的完成了入侵过程。社会工程学攻击的另种典型方式是使用钓鱼网站，攻击者通过链接诱骗用户访问与真实网站相似度极高的钓鱼网站，以窃取用户机密信息或自动安装恶意代码软件等。基于社会工程学的攻击方式最典型的特点是利用用户的认知偏差，而非利用系统本身漏洞完成攻击过程。基于路过式下载的攻击方式路过式下载国要可以分为两类静态检测和动态检测。下面以这两类中较为常用的检测技术进行分析。静态特征码检测技术目前......”。

4、“.....攻击者般用脚本语言生成恶意代码，这部分代码从机器角度观察就是段进制字符串序列，而同类型恶意代码入侵手段相同，其部用户的认知偏差，而非利用系统本身漏洞完成攻击过程。基于路过式下载的攻击方式路过式下载国外称为，在典型的路过式下载的攻击方式中，攻击者针对用户浏览器或系统漏洞，将包含恶意代码的脚本写入站点中，当用户访问包含恶意代码的网页时，会在不知情的情况下自动下载并安装恶意代码漏洞浏览器解析型漏洞内存溢出型漏洞等，攻击者常会针对系统浏览器插件版本的多个漏洞编写恶意代码，已实现攻击效果的最大化。基于社会工程学的攻击方式攻击者借助社会工程学原理，利用用户好奇贪心等人性弱点，诱骗用户下载并安装恶意代码软件，以达到入侵目的......”。

5、“.....在典型的路过式下载的攻击方式中，攻击者针对用户浏览器或系统漏洞，将包含恶意代码的脚本写入站点中，当用户访问包含恶意代码的网页时，会在不知情的情况下自动下载并安装恶意代码软件，从而完成攻击者的入侵目的。次完整的路过式下载攻击可分为个阶段。检测的页面中包含恶意代码。基于社会工程学的攻击方式攻击者借助社会工程学原理，利用用户好奇贪心等人性弱点，诱骗用户下载并安装恶意代码软件，以达到入侵目的。例如攻击者在站点中添加些免费的热门软件链接，此链接的目标是包含恶意代码的文件，用户出于需要下载并安装了该链接目标文件，攻击者轻法运行，检测不出其行为特征，从而导致漏报......”。

6、“.....攻击者植入恶意代码攻击者首先通过服务器漏洞将准备好的恶意代码植入到具有较高访问量的站点页面中。被植入恶意代码的主要功能是通过网页重定向等技术将用户自动引导至恶意软件宿主页，这种分特征代码也相同。对包含恶意代码的页面进行逆向分析，归类提取出该恶意行为所对应的字符串序列，即可作为此类恶意代码的特征标识，不同类型的恶意代码提取出的特征字符串共同组成恶意代码特征码库。当对未知网页进行检测时，只需将网页源码与特征码库中的特征字符串进行比对，若匹配成功，则可判断被软件，从而完成攻击者的入侵目的。次完整的路过式下载攻击可分为个阶段。应用型恶意代码机理与检测技术分析论文原稿。恶意代码的检测技术恶意代码的种类数量日益增多......”。

7、“.....可有效阻止攻击者对用户的入侵。国内外针对恶意代码主流的检测技术主接，此链接的目标是包含恶意代码的文件，用户出于需要下载并安装了该链接目标文件，攻击者轻而易举的完成了入侵过程。社会工程学攻击的另种典型方式是使用钓鱼网站，攻击者通过链接诱骗用户访问与真实网站相似度极高的钓鱼网站，以窃取用户机密信息或自动安装恶意代码软件等。基于社会工程学的攻击方式最典型的特点是利用自动引导可能是直接引导至宿主页，也可能是经过多次跳转后到达宿主页。扫描并利用用户漏洞当用户访问站点中包含恶意代码的页面时，站点服务器将该页面发送到用户浏览器执行，执行过程中恶意代码会扫描当前用户系统可利用漏洞，从而得到所需的系统权限，为下载安装恶意软件做准备......”。

8、“.....不受多态变形混淆技术的影响，对已知或未知类型的恶意代码都可以检测，具有直观快速等特点。但该检测技术需要依托个真实的计算机系统实现，因此系统代价和时间代价较高同时，由于操作系统浏览器插件的漏洞版本众多，如果检测环境中安装的漏洞版本与恶意代码入侵所需利用的漏洞对象不匹配，就会使得该恶意代码无行应用程序，并动态跟踪收集应用程序的运行状态及产生的行为，作为判断程序是否恶意的基础。动态行为检测的种典型实现方法是通过高交互客户端蜜罐。此类蜜罐系统中安装了真实的客户端操作系统和浏览器，存在恶意代码入侵所需要的各种安全漏洞结合网络爬虫技术，蜜罐系统可以通过浏览器主动访问各种应用在年月公布的年度中国网站安全报告数据中指出......”。

9、“.....扫出存在漏洞的网站万个，占比为，较年增长了从拦截漏洞攻击次数最多的漏洞类型来看，大部分仍是针对应用。以上入侵执行过程中所表现出的行为特征可應用于恶意代码检测与分析，将这些具有共性的行为特征汇集组成码种类繁杂检测防御困难等问题，对其攻击原理进行了分类描述并以静态动态检测方法为基础，先后分析了静态特征码和动态行为两种常用恶意代码检测技术的检测机制，指出了两种技术的优缺点最后对动静结合检测技术的研究方向进行了展望。关键词恶意代码攻击原理静态检测动态检测中图分类号文献标识码文章编号现，虚拟机和沙盒系统提供的虚拟环境是对真实客户端系统的仿真，能像真实操作系统样运行应用程序，并动态跟踪收集应用程序的运行状态及产生的行为，作为判断程序是否恶意的基础......”。