谍变——反间谍技术的困惑与未来

“间谍，从来是没有尽头的游戏”，这是布拉德·彼特在电影《Spy Game》中的一句台词。在计算机舞台上演的反间谍软件剧目中，这句台词同样可以成为最合适的旁白。

潜  流

在黑客看来，间谍软件应该是所有攻击手段中最让人“沉迷”的，它完美地体现了斗争的智慧和操控的快感。

和病毒不同，间谍软件的第一个特征就是“低调”。它不会像爆发的蠕虫一样，雷霆一击，声势惊人，在短短的几分钟内使系统宕机、网络瘫痪，从而使全世界的计算机用户都知道它的名号。

相比之下，间谍软件如同潜流暗涌，在不知不觉间，进入用户的信息系统，获取所需的资料，成功的间谍软件在达到目的后，甚至会销踪灭迹，自我蒸发。

因此，间谍软件的目的不在于破坏成名，而是要获取实实在在的经济利益。正是这一原因，注定了它比一般病毒更为狡诈、难缠。

只要你是一位计算机网络的使用者，基本上，间谍潜入的可能性，包含在你所有的应用之中。

使用电子邮件时，你可能收到由熟人发来的游戏或者应用程序，一旦打开就中了圈套。当然，在反反复复的安全宣传下，你可能已经有了防备之心，不运行任何可疑的程序，但同样的，黑客可以仅仅发给你网上一个有趣而热门的话题，当你点击链接，“间谍”已经利用浏览器的漏洞，悄然进入。

如果你习惯于在网上下载各种免费软件，请记住，这也是间谍入侵的最佳途径之一。在商业利益的驱动下，即使很多合法的广告商或程序作者，也会在有价值的软件中植入间谍，并附上一则冗长模糊的声明，通常情况下，我们不假思索就会点击同意，并进行安装。而另外一些别有用心的黑客，更是将正版软件加入“间谍”后，以“破解版”的名义在网上免费发放。

你热衷于网上娱乐吗？比如网络游戏、在线电影、在线音乐广播、实时聊天等。那么，祝贺你，你和“间谍”亲近的机会大大增加了。由于这些应用通常是广告商最青睐的，他们会利用存在的漏洞，千方百计将间谍软件植入其中。

你喜欢时髦的博客和RSS吗？就在不久前举办的Gartner IT安全峰会上，安全专家指出，这些应用，正逐步成为间谍软件的“未来天堂”。原因是它们大量使用了JavaScript和ActiveX，同时由于RSS有自动化的特性，这种入侵会变得更加快捷。 

最后，即便你已经成为惊弓之鸟，去网上下载反间谍软件，同样不能高枕无忧，因为不少间谍程序正是把自己装扮成安全软件，有的甚至真具有一定的杀毒和反间谍功能，但所有这些都是为了从心理上麻痹使用者，这些打着“反间谍”旗号的软件，很可能其本身就是更可怕的间谍软件。

寄  生

在成功地进入了使用者的电脑后，间谍软件首先会将自己很好地隐藏起来，随着技术的发展，这种隐藏寄生的技巧也在不断进步。

最基本的隐藏方式，是隐藏窗体和文件，我们知道，Windows应用程序通常会有程序界面窗体，间谍软件虽然本质上也是一种应用程序，但其通常不包含窗体或者将其隐藏。

在运行时，间谍软件中危害最大的木马程序会采用“进程插入”的方式来达到目的。也就是把间谍软件的DLL文件插入到正常程序进程的地址空间，从而实现自己监控、窃取信息的目的。

过去，这种DLL的植入通常通过修改注册表来实现，往往需要再次启动才能发挥作用，也容易被杀毒软件等程序发现，而现在的一些间谍软件，则使用挂钩(Hook)和远程线程函数(CreateRemoteThread)来进行植入，这种方式的可怕之处在于，“间谍”在达到目的之后，可以从正常的进程之中完全“蒸发”，不留下任何痕迹。实际上，它是将自己的信息在掩护之下提前抹去了，其原理就像把监控摄像的一端接到已经录制好的录像机上，我们观察到的影像没有任何问题，但犯罪已经完成。

上述技术的出现，让目前的反间谍工具在“间谍”活动时进行变得无能为力，只能在间谍软件刚进入电脑时予以拦截，而各种“壳”加密技术，使这一步也越来越艰难。 

进入用户电脑的间谍软件如同一条有毒的藤蔓，缠绕在系统和应用程序之上，并和系统中的某些功能或应用程序建立关联。这种关联往往纷繁错节，难以理清头绪，因此，当用户试图清除间谍软件时，经常会引起系统或某些应用程序瘫痪。一些新的间谍软件建立了自我保护机制，在部分文件被删除后，可以自动修复，另一些则会“死缠烂打”，一旦发现反间谍软件，则通过修改注册表关联等方式，让整个操作系统无法正常使用。

合  围

间谍软件的无孔不入和技术的快速发展，使得它以前所未有的速度蔓延，我们的计算机网络，已经处在间谍软件的包围之中！

IDC在早前公布的数据中，估计大约67%的电脑都带有某种形式的间谍软件，而在权威机构不久前进行的一次调查显示，91%的接受调查者的计算机上都被安装了间谍软件。美国电信提供商Earthlink，曾经利用间谍软件扫描工具对联网的计算机用户进行扫描，在约106万台计算机上，发现了包括广告软件、木马程序在内的间谍软件超过2900多万个，平均每台电脑中隐藏了大约28个间谍软件！

由中国互联网络信息中心22日发布的《第十六次中国互联网发展状况统计报告》也显示：随着网民数量的急剧增长和宽带网络的普及，网民在电脑设备上存储的账号、密码等机密信息也越来越多，以窃取用户机密文件和个人隐私为目的的“间谍”软件已经超过传统意义上的病毒成为网民的最大威胁。

来自专业反病毒厂商的数据同样印证了这一观点，赛门铁克和趋势科技新的互联网安全威胁报告指出，在经过“红色代码”、“振荡波”等病毒的洗礼后，人们普遍增强了这方面的防范意识，现在这种利用漏洞进行大规模传播与破坏的病毒，已经不是黑客攻击的“主流”，而以商业和经济利益为目的的间谍软件，则获得了前所未有的发展，成为目前网络安全威胁的头号敌人。在赛门铁克公司截获的最多的50种恶意代码中，窃取用户的机密身份资料的攻击占了54%，较去年上半年增长了44%。

国内的反病毒企业瑞星、金山也表示，收到用户对间谍软件的投诉不断增多，由于这些软件具有欺骗隐瞒用户、强制弹出广告、秘密收集信息、难以卸载等特点，被用户形象地称之为“流氓软件”。

利  诱

天下熙熙，皆为利来，某项技术发展的动力，通常都不是技术本身，而是其背后的经济利益。间谍软件之所以在短时间内形成燎原之势，也和商业利益密不可分。

计算机安全专家表示，在过去，病毒、间谍软件等恶意程序的作者通常是些好奇的年轻人和一些希望自己扬名的程序员。但现在一切都变了，金钱成为赤螺螺的动机。据调查显示，目前现实中所发现的恶意软件的样本中，有70%是受利益驱动的。 

赛门铁克认为，2003年，针对电子商务的攻击行为只有4%，而今年这种攻击行为增长了四倍，其中不少更是直接面对商业的核心——金融。

比如今年三月，一个高科技犯罪团伙就曾经涉嫌企图利用间谍软件，从日本住友银行集团伦敦办公室窃取2.2亿英镑。这种间谍软件就是上文提到的新式木马，可以记录敲击键盘的动作，从而窃取信用卡号、身份证号码，密码等重要信息，据称该木马已经被成功植入，后来因偶然的机会转换操作系统才被发现，令银行相关人员惊出一身冷汗。

不久前在国内被频繁报道的“网银大盗”同样是间谍软件的一种。它会把用户正常登陆网的银行页面，自动跳转到一个没有安全控件的登陆页面，以窃取用户的账号及密码。

在网络游戏领域，利用间谍软件盗取玩家重要信息的事情更是屡见不鲜，有些程序员更是专门针对某个游戏，分析各个环节，开发对应的间谍软件，操作得手后，一两个月就可能获得数十万元的非法收益。

觉得只有上述的这些行业会受到间谍软件攻击的想法是天真幼稚的，“间谍”之网，正越撒越大，甚至逐渐变得明目张胆。

据报道，一家俄罗斯网络公司竟然公开宣布，将向传播其间谍软件的“合作”网站，支付每千台感染计算机61美元的报酬。这家名为iframeDOLLARS.biz的网络公司把包括广告、木马在内的九种间谍程序发放给“合作者”，再通过他们的网站，散布给成千上万的用户。由于利用了操作系统的漏洞，这些间谍软件无需借助任何ActiveX插件或弹出窗口，用户在访问包含有这些间谍软件的网站时，会在不知不觉地把“间谍”领进门。

尽管有很多人对此表示谴责，但该网站生意却相当不错，据报道，iframeDOLLARS在一周内籍此赚取了75000美元广告费，而其支付给“合作”网站的费用不到12000美元，利润的确相当丰厚。

如果这种厚颜无耻的“商业模式”不被有效阻止，一旦蔓延开来，其对网络安全的危害将难以估算。

浑  水

从理论上讲，要想有效地清除间谍软件，首先就要有一个清晰的标准来定义它，并以此作为准绳进行判断和查杀，但要做到这一点却是如此的困难。这也使得针对间谍软件的通缉令迟迟无法完成。

和病毒不同，间谍软件的标准并不是非黑即白，而是存在很大的灰色空间。通常情况下，我们认为，任何在计算机用户不知不觉的情况下，秘密搜集使用者的相关信息，并将其发给幕后操纵者的软件都可以称之为间谍软件，但是，很多合法的广告软件实现的也是类似的功能，这使得界定起来非常困难。

有的人认为，可以通过传送信息的最终结果是否带有恶意来进行判定，但实际上，是否具有“恶意”，人类能够通过智力和直觉来判断，但要没有意识的计算机软件来进行区分，却难以实现。

上述的原因，使得反间谍联盟内部就已经矛盾重重，因为有的企业本身就依靠广告软件来获利，它们加入反间谍联盟的重要目的之一，就是希望通过清晰的定义，把自己的软件划分到被清除的范围之外，而另一些公司则反对这种做法。这使得反间谍的工作，只能在一滩浑水里完成，各种麻烦层出不穷。例如，Gator的广告软件本来被CA公司列在间谍软件名单中，但今年年初，Gator提出了投诉，ＣＡ只得将其从黑名单中消除。在另外一起案例中，微软也面临着是否要提高广告软件Claria的威胁等级的两难境地。微软的反间谍软件AntiSpyware此前建议用户要隔离Claria的产品，而现在，微软仍对Claria的软件进行监控，但不再建议列为清除对象。同样的，赛门铁克也面临Trekeight LLC公司的投诉，因为它把后者的产品列为广告软件。而赛门铁克则认为，它是站在用户的立场上，并且有权利采取这样的行动。　

挑  战

间谍软件上的纠缠不清，经济利益是一个重要原因，间谍软件可以给幕后操纵者带来巨大的经济利益，同样的，如果从生意的角度来看，反间谍市场也是“大有可为”。

据统计，2004年具备反间谍功能的套装软件销售额仅为850万美元，但预计2005年此类软件的销售额将产生500%以上的增长，Radicati集团发表的一份相关报告预测，安装反间谍件工具的用户数量将由2005年的1600万增长到2009年的5.4 亿，未来4 年内，反间谍软件工具的销售收入也将由1.03亿美元增长至10亿美元。

这些数字无疑也暗示出，间谍软件和反间谍工具的斗争将进入一个前所未有的白热化阶段。

不过，和“间谍”作斗争，显然比清除病毒要困难得多，因为应对后者，最重要的是能够及时捕捉，而前者即使仅从技术角度来看，就牵扯到了很多棘手的问题。

比如前面所提到的对间谍软件准确判断的问题，由于缺乏统一的标准，不同的厂家都有不同的方式，比较严谨合理的像赛门铁克所采取的“风险影响模型”，就是综合多种行为因素，包括能否让用户自由选择删除等，来判定是不是间谍软件。