計(jì)算機(jī)病毒與反病毒技術(shù)

第1章  計(jì)算機(jī)病毒概述    1
1.1  計(jì)算機(jī)病毒的定義    1
1.2  計(jì)算機(jī)病毒的基本特征與本質(zhì)    3
1.2.1  計(jì)算機(jī)病毒的基本特征    3
1.2.2  計(jì)算機(jī)病毒的本質(zhì)    6
1.3  計(jì)算機(jī)病毒的分類    7
1.3.1  分類的目的    7
1.3.2  按照計(jì)算機(jī)病毒的破壞能力、破壞情況分類    8
1.3.3  按照計(jì)算機(jī)病毒攻擊的操作系統(tǒng)分類    8
1.3.4  按照計(jì)算機(jī)病毒攻擊的機(jī)型分類    9
1.3.5  按照計(jì)算機(jī)病毒特有的算法分類    10
1.3.6  按照計(jì)算機(jī)病毒的鏈接方式分類    10
1.3.7  按照計(jì)算機(jī)病毒的傳播媒介分類    11
1.3.8  按照計(jì)算機(jī)病毒的寄生對(duì)象和駐留方式分類    11
1.4  惡意程序、蠕蟲與木馬    12
1.4.1  惡意程序    12
1.4.2  蠕蟲    13
1.4.3  特洛伊木馬    14
1.5  計(jì)算機(jī)病毒的命名規(guī)則    15
1.5.1  通用命名規(guī)則    15
1.5.2  國(guó)際上對(duì)病毒命名的慣例    16
1.5.3  病毒命名亟待進(jìn)一步規(guī)范、統(tǒng)一    19
1.6  計(jì)算機(jī)病毒的危害與癥狀    20
1.6.1  計(jì)算機(jī)病毒的危害    20
1.6.2  計(jì)算機(jī)病毒的癥狀    22
1.6.3  計(jì)算機(jī)病毒癥狀與計(jì)算機(jī)故障區(qū)別    25
1.7  計(jì)算機(jī)病毒的傳播途徑    29
1.8  計(jì)算機(jī)病毒的生命周期    30
1.9  計(jì)算機(jī)病毒的發(fā)展簡(jiǎn)史    31
1.9.1  病毒的起源    31
1.9.2  病毒的發(fā)展階段    35
1.9.3  計(jì)算機(jī)病毒的新特點(diǎn)    37
1.9.4  導(dǎo)致計(jì)算機(jī)病毒產(chǎn)生的社會(huì)淵源    39
1.9.5  計(jì)算機(jī)病毒存在的必然性、長(zhǎng)期性    40
1.10  計(jì)算機(jī)病毒的基本防治    41
1.11  研究計(jì)算機(jī)病毒的基本原則    42
課外閱讀：中國(guó)計(jì)算機(jī)病毒狂潮實(shí)錄    42
習(xí)題    46
第2章  預(yù)備知識(shí)    47
2.1  硬盤結(jié)構(gòu)簡(jiǎn)介    47
2.1.1  硬盤的物理結(jié)構(gòu)    48
2.1.2  硬盤的數(shù)據(jù)結(jié)構(gòu)    51
2.1.3  擴(kuò)展分區(qū)與擴(kuò)展MBR簡(jiǎn)介    55
2.2  文件系統(tǒng)    58
2.2.1  文件系統(tǒng)簡(jiǎn)介    58
2.2.2  FAT32 DBR    60
2.2.3  保留扇區(qū)    62
2.2.4  FAT16與FAT32    63
2.2.5  NTFS文件系統(tǒng)    66
2.3  計(jì)算機(jī)的啟動(dòng)過程    69
2.3.1  系統(tǒng)啟動(dòng)過程簡(jiǎn)介    69
2.3.2  DOS引導(dǎo)程序    70
2.3.3  Windows 2000/XP啟動(dòng)過程簡(jiǎn)介    71
2.4  中斷    72
2.4.1  中斷簡(jiǎn)介    73
2.4.2  中斷優(yōu)先權(quán)    73
2.4.3  中斷向量表    73
2.4.4  中斷處理過程    75
2.4.5  中斷與計(jì)算機(jī)病毒    76
2.5  內(nèi)存管理    77
2.5.1  內(nèi)存尋址技術(shù)的演變    77
2.5.2  DOS內(nèi)存布局    78
2.5.3  保護(hù)模式與虛擬內(nèi)存    79
2.5.4  Win32內(nèi)存管理    82
2.6  EXE文件的格式    83
2.6.1  MZ文件格式    84
2.6.2  PE文件格式    86
課外閱讀：CIH病毒始作俑者——陳盈豪其人    103
習(xí)題    105
第3章  病毒的邏輯結(jié)構(gòu)與基本機(jī)制    106
3.1  計(jì)算機(jī)病毒的狀態(tài)與基本環(huán)節(jié)    106
3.1.1  計(jì)算機(jī)病毒的狀態(tài)    106
3.1.2  計(jì)算機(jī)病毒的基本環(huán)節(jié)    108
3.2  計(jì)算機(jī)病毒的基本結(jié)構(gòu)    108
3.2.1  一個(gè)簡(jiǎn)單的計(jì)算機(jī)病毒    108
3.2.2  計(jì)算機(jī)病毒的邏輯結(jié)構(gòu)    109
3.3  計(jì)算機(jī)病毒的傳播機(jī)制    111
3.3.1  病毒實(shí)施感染的前提條件    111
3.3.2  病毒的感染對(duì)象和感染過程    112
3.3.3  引導(dǎo)型病毒傳染機(jī)理    113
3.3.4  文件型病毒傳染機(jī)理    113
3.3.5  混合感染和交叉感染    114
3.4  文件型病毒的感染方式    115
3.4.1  寄生感染    115
3.4.2  無入口點(diǎn)感染    118
3.4.3  滋生感染    120
3.4.4  鏈?zhǔn)礁腥?nbsp;   120
3.4.5  OBJ、LIB和源碼的感染    121
3.5  計(jì)算機(jī)病毒的觸發(fā)機(jī)制    121
3.6  計(jì)算機(jī)病毒的破壞機(jī)制    123
3.7  計(jì)算機(jī)病毒程序結(jié)構(gòu)示例    125
課外閱讀：Windows自動(dòng)啟動(dòng)程序的十大藏身之所    155
習(xí)題    156
第4章  DOS病毒的基本原理與DOS病毒分析    157
4.1  病毒的重定位    157
4.1.1  病毒為什么需要重定位    158
4.1.2  病毒如何重定位    158
4.2  引導(dǎo)型病毒    159
4.2.1  引導(dǎo)型病毒的基本原理    159
4.2.2  引導(dǎo)型病毒的觸發(fā)與INT 13H    160
4.2.3  引導(dǎo)型病毒樣例分析    162
4.2.4  引導(dǎo)型病毒的特點(diǎn)與清除    167
4.3  文件型病毒    168
4.3.1  文件型病毒的基本原理    168
4.3.2  感染COM文件    169
4.3.3  感染EXE文件    177
4.4  混合型病毒的基本原理    181
課外閱讀：后病毒時(shí)代，黑客與病毒共舞    182
習(xí)題    184
第5章  Windows病毒分析    185
5.1  PE病毒原理    185
5.1.1  獲取API函數(shù)地址    186
5.1.2  搜索感染目標(biāo)文件    189
5.1.3  內(nèi)存映射文件    190
5.1.4  病毒感染PE文件的基本方法    191
5.1.5  病毒返回到HOST程序的方法    193
5.1.6  PE概念病毒感染分析    193
5.1.7  示例病毒感染測(cè)試與手工修復(fù)    212
5.1.8  CIH病毒分析    215
5.2  腳本病毒    219
5.2.1  WSH簡(jiǎn)介    219
5.2.2  腳本病毒的特點(diǎn)    223
5.2.3  腳本病毒原理分析    224
5.2.4  網(wǎng)頁(yè)背后的秘密    234
5.2.5  腳本病毒的防范    235
5.2.6  愛蟲病毒分析    236
5.3  宏病毒    246
5.3.1  宏病毒簡(jiǎn)介    247
5.3.2  宏病毒的基本原理    247
5.3.3  宏病毒的防治    255
5.3.4  梅麗莎病毒分析    256
課外閱讀：關(guān)于NTFS文件系統(tǒng)中的數(shù)據(jù)流問題    260
習(xí)題    263
第6章  網(wǎng)絡(luò)蠕蟲    264
6.1  蠕蟲的起源及其定義    264
6.1.1  蠕蟲的起源    265
6.1.2  蠕蟲的原始定義    265
6.1.3  計(jì)算機(jī)病毒的原始定義    265
6.1.4  蠕蟲與病毒之間的區(qū)別及聯(lián)系    266
6.1.5  蠕蟲定義的進(jìn)一步說明    266
6.2  蠕蟲的分類與漏洞    267
6.2.1  蠕蟲的分類    267
6.2.2  蠕蟲與漏洞    267
6.3  蠕蟲的基本原理    269
6.3.1  蠕蟲的基本結(jié)構(gòu)    269
6.3.2  蠕蟲的工作方式與掃描策略    270
6.3.3  蠕蟲的傳播模型    272
6.3.4  蠕蟲的行為特征    273
6.3.5  蠕蟲技術(shù)的發(fā)展    275
6.4  蠕蟲的防治    275
6.4.1  蠕蟲的防治策略    275
6.4.2  蠕蟲的防治周期    276
6.4.3  蠕蟲的檢測(cè)與清除    277
6.5 “沖擊波清除者”分析    279
6.5.1 “沖擊波清除者”概述    279
6.5.2 “沖擊波清除者”主代碼分析    280
課外閱讀：緩沖區(qū)溢出與病毒攻擊原理    286
習(xí)題    289
第7章  特洛伊木馬    290
7.1  特洛伊木馬概述    290
7.1.1  特洛伊木馬的定義    290
7.1.2  特洛伊木馬的結(jié)構(gòu)    291
7.1.3  特洛伊木馬的基本原理    291
7.1.4  特洛伊木馬的傳播方式    295
7.1.5  特洛伊木馬的危害    295
7.2  特洛伊木馬的特性與分類    296
7.2.1  特洛伊木馬的特性    296
7.2.2  特洛伊木馬的分類    298
7.3  特洛伊木馬的偽裝、隱藏與啟動(dòng)    300
7.3.1  木馬的偽裝方式    300
7.3.2  木馬的隱藏方式    301
7.3.3  木馬的啟動(dòng)方式    302
7.4  透視木馬開發(fā)技術(shù)    304
7.4.1  特洛伊木馬技術(shù)的發(fā)展    304
7.4.2  木馬程序的自動(dòng)啟動(dòng)技術(shù)    305
7.4.3  木馬的偽隱藏技術(shù)    305
7.4.4  木馬的真隱藏技術(shù)    307
7.4.5  木馬的秘密信道技術(shù)    314
7.4.6  木馬的遠(yuǎn)程監(jiān)控技術(shù)    317
7.5  檢測(cè)和清除特洛伊木馬    320
7.5.1  中木馬后常出現(xiàn)的狀況    320
7.5.2  檢測(cè)和清除木馬的方法    321
7.5.3  木馬“廣外女生”的分析和清除    323
課外閱讀：CIH病毒原理的應(yīng)用——物理內(nèi)存的讀寫    324
習(xí)題    327
第8章  計(jì)算機(jī)病毒常用技術(shù)綜述    328
8.1  計(jì)算機(jī)病毒的隱藏技術(shù)    329
8.1.1  引導(dǎo)型病毒的隱藏技術(shù)    329
8.1.2  文件型病毒的隱藏技術(shù)    330
8.1.3  宏病毒的隱藏技術(shù)    331
8.1.4  Windows病毒的隱藏技術(shù)    331
8.2  病毒的加密與多態(tài)技術(shù)    332
8.2.1  加密解密技術(shù)與病毒的多態(tài)性    332
8.2.2  使用改變可執(zhí)行代碼技術(shù)的多態(tài)病毒    334
8.2.3  多態(tài)性的級(jí)別    335
8.2.4  多態(tài)病毒的原理    335
8.2.5  多態(tài)病毒的對(duì)抗    341
8.3  EPO技術(shù)簡(jiǎn)介    341
8.4  病毒進(jìn)入系統(tǒng)核心態(tài)的方法    342
8.4.1  核心態(tài)與用戶態(tài)    342
8.4.2  病毒進(jìn)入系統(tǒng)核心態(tài)的方法    343
8.5  病毒駐留內(nèi)存技術(shù)    345
8.5.1  DOS環(huán)境下文件型病毒的內(nèi)存駐留    345
8.5.2  引導(dǎo)區(qū)病毒的內(nèi)存駐留    346
8.5.3  Windows環(huán)境下病毒的內(nèi)存駐留    347
8.5.4  宏病毒的內(nèi)存駐留方法    348
8.6  計(jì)算機(jī)病毒截獲系統(tǒng)操作的方法    348
8.6.1  DOS病毒截獲系統(tǒng)服務(wù)的方法    348
8.6.2  Windows病毒截獲系統(tǒng)服務(wù)的方法    348
8.7  計(jì)算機(jī)病毒直接API調(diào)用與異常處理技術(shù)    350
8.7.1  直接API調(diào)用技術(shù)    350
8.7.2  異常處理    351
8.8  計(jì)算機(jī)病毒的反調(diào)試、反跟蹤、反分析技術(shù)    354
8.8.1  防調(diào)試器技術(shù)    354
8.8.2  反靜態(tài)分析技術(shù)——花指令    355
8.8.3  其他技術(shù)    358
課外閱讀：32位代碼優(yōu)化常識(shí)    359
習(xí)題    367
第9章  計(jì)算機(jī)病毒的檢測(cè)、清除與免疫    368
9.1  反病毒技術(shù)綜述    368
9.1.1  反病毒技術(shù)的產(chǎn)生與發(fā)展簡(jiǎn)介    368
9.1.2  計(jì)算機(jī)病毒防治技術(shù)的劃分    370
9.2  計(jì)算機(jī)病毒的防范策略    371
9.2.1  計(jì)算機(jī)病毒防范的概念    371
9.2.2  必須具有的安全意識(shí)    371
9.2.3  預(yù)防計(jì)算機(jī)病毒的一般措施    372
9.3  計(jì)算機(jī)病毒的診斷方法及其原理    374
9.3.1  病毒檢測(cè)方法綜述    374
9.3.2  比較法診斷的原理    375
9.3.3  校驗(yàn)和法診斷的原理    375
9.3.4  掃描法診斷的原理    376
9.3.5  行為監(jiān)測(cè)法診斷的原理    377
9.3.6  感染實(shí)驗(yàn)法診斷的原理    378
9.3.7  軟件模擬法診斷的原理    379
9.3.8  分析法診斷的原理    380
9.4  啟發(fā)式代碼掃描技術(shù)    380
9.4.1  啟發(fā)式代碼掃描的基本原理    380
9.4.2  可疑程序功能及其權(quán)值與相應(yīng)標(biāo)志    381
9.4.3  關(guān)于虛警    382
9.4.4  傳統(tǒng)掃描技術(shù)與啟發(fā)式掃描技術(shù)的結(jié)合    384
9.4.5  啟發(fā)式檢測(cè)技術(shù)與反病毒技術(shù)發(fā)展趨勢(shì)    385
9.5  虛擬機(jī)查毒技術(shù)    385
9.5.1  虛擬機(jī)簡(jiǎn)介    385
9.5.2  查毒虛擬機(jī)的基本原理    386
9.5.3  單步斷點(diǎn)跟蹤與虛擬執(zhí)行    387
9.5.4  虛擬機(jī)的設(shè)計(jì)方案    388
9.5.5  反虛擬機(jī)技術(shù)    389
9.6  病毒實(shí)時(shí)監(jiān)控技術(shù)    390
9.6.1  實(shí)時(shí)監(jiān)控技術(shù)簡(jiǎn)介    390
9.6.2  病毒實(shí)時(shí)監(jiān)控的基本原理及其設(shè)計(jì)難點(diǎn)    391
9.7  計(jì)算機(jī)病毒的清除    393
9.7.1  清除病毒的一般方法    393
9.7.2  引導(dǎo)型病毒的清除    394
9.7.3  文件型病毒的清除    394
9.8  計(jì)算機(jī)病毒的免疫技術(shù)    396
9.8.1  重入檢測(cè)和病毒免疫    396
9.8.2  計(jì)算機(jī)病毒免疫的方法及其缺點(diǎn)    396
9.8.3  數(shù)字免疫系統(tǒng)簡(jiǎn)介    397
課外閱讀：VxD技術(shù)及其在實(shí)時(shí)反病毒中的應(yīng)用    399
習(xí)題    402
第10章  UNIX/Linux病毒與手機(jī)病毒簡(jiǎn)介    403
10.1  Linux系統(tǒng)啟動(dòng)過程    403
10.2  ELF文件格式    404
10.2.1  目標(biāo)文件    405
10.2.2  ELF頭    406
10.2.3  節(jié)    408
10.2.4  字符串表    413
10.2.5  符號(hào)表    414
10.2.6  重定位    415
10.2.7  程序載入和動(dòng)態(tài)鏈接概述    418
10.3  UNIX病毒概述    423
10.3.1  有關(guān)UNIX病毒的幾個(gè)誤區(qū)    423
10.3.2  Shell腳本與病毒    424
10.3.3  蠕蟲    424
10.3.4  欺騙庫(kù)函數(shù)    425
10.3.5  UNIX/Linux的安全現(xiàn)狀    426
10.4  基于ELF的計(jì)算機(jī)病毒    427
10.4.1  病毒機(jī)理    427
10.4.2  一個(gè)Linux病毒原型分析    429
10.5  手機(jī)病毒簡(jiǎn)介    433
10.5.1  手機(jī)病毒原理    433
10.5.2  手機(jī)病毒的攻擊方式及危害    434
10.5.3  手機(jī)漏洞分析    434
10.5.4  手機(jī)病毒的發(fā)展趨勢(shì)    436
10.5.5  手機(jī)病毒的防范    436
習(xí)題    437
附錄A  中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例    438
附錄B  計(jì)算機(jī)病毒防治管理辦法    441
附錄C  DOS功能調(diào)用一覽表    444
參考文獻(xiàn)    450