計算機病毒分析與防范大全（第2版）

第一篇　認識計算機病毒
第1章　什么是計算機病毒 2
1.1　計算機病毒的定義 2
1.2　計算機病毒的特征 3
1.3　計算機病毒的結(jié)構(gòu) 8
1.3.1　計算機病毒的程序結(jié)構(gòu) 8
1.3.2　計算機病毒的存儲結(jié)構(gòu) 8
1.4　計算機病毒的分類 10
1.4.1　根據(jù)寄生的數(shù)據(jù)存儲方式劃分 11
1.4.2　根據(jù)感染文件類型劃分 12
1.4.3　根據(jù)病毒攻擊的操作系統(tǒng)劃分 12
1.4.4　根據(jù)病毒攻擊的計算機類型劃分 13
1.4.5　根據(jù)病毒的鏈接方式劃分 13
1.4.6　根據(jù)病毒的破壞情況劃分 14
1.4.7　根據(jù)傳播途徑劃分 14
1.4.8　根據(jù)運行的連續(xù)性劃分 15
1.4.9　根據(jù)激發(fā)機制劃分 15
1.4.10　根據(jù)病毒自身變化性劃分 15
1.4.11　根據(jù)與被感染對象的關(guān)系劃分 15
1.4.12　其他幾種具有代表性的病毒類型 16
1.5　計算機病毒的入侵方式 17
1.6　計算機病毒的命名 17
1.7　計算機病毒的生命周期 18
1.8　計算機病毒的傳播 19
第2章　計算機病毒發(fā)展史 20
2.1　計算機病毒的起源 20
2.2　計算機病毒的發(fā)展階段 26
2.2.1　根據(jù)病毒的特點劃分 26
2.2.2　根據(jù)病毒的技術(shù)性劃分 28
2.3　計算機病毒大事記 30
2.4　計算機病毒的發(fā)展趨勢 39
2.4.1　智能化 39
2.4.2　人性化 39
2.4.3　隱蔽化 39
2.4.4　多樣化 39
2.4.5　專用病毒生成工具的出現(xiàn) 40
2.4.6　攻擊反病毒軟件 40
第3章　計算機病毒的危害 41
3.1　計算機病毒編制者的目的 41
3.1.1　惡作?。ㄩ_玩笑） 41
3.1.2　報復心理 42
3.1.3　保護版權(quán) 43
3.1.4　娛樂需要 43
3.1.5　政治或軍事目的 43
3.2　計算機病毒對計算機應(yīng)用的影響 44
3.2.1　破壞數(shù)據(jù) 44
3.2.2　占用磁盤存儲空間 44
3.2.3　搶占系統(tǒng)資源 45
3.2.4　影響計算機運行速度 45
3.2.5　計算機病毒錯誤與不可預見的危害 45
3.2.6　計算機病毒的兼容性對系統(tǒng)運行的影響 45
3.2.7　計算機病毒給用戶造成嚴重的心理壓力 46
3.3　計算機病毒發(fā)作癥狀 46
3.4　計算機故障與病毒現(xiàn)象的區(qū)分 47
3.4.1　計算機病毒的現(xiàn)象 48
3.4.2　與病毒現(xiàn)象類似的硬件故障 48
3.4.3　與病毒現(xiàn)象類似的軟件故障 49
3.5　計算機病毒造成的經(jīng)濟損失 50
3.6　計算機病毒在軍事上的影響 53
3.6.1　直面軍事信息安全的挑戰(zhàn) 53
3.6.2　高度依賴信息系統(tǒng)的美軍青睞計算機病毒武器 55
3.6.3　防患未然要從細節(jié)做起 56
3.7　計算機病毒的預防 56
第二篇　計算機病毒分析
第4章　追根溯源——傳統(tǒng)計算機病毒概述 60
4.1　早期的DOS病毒介紹 60
4.1.1　DOS簡介 60
4.1.2　DOS病毒 60
4.2　Office殺手——宏病毒 61
4.2.1　什么是“宏” 61
4.2.2　宏病毒的定義 62
4.2.3　宏病毒的特點 63
4.2.4　宏病毒的發(fā)作現(xiàn)象及處理 63
4.2.5　典型的宏病毒——“七月殺手”病毒 65
4.2.6　防范宏病毒的安全建議 66
4.3　變化多端的文件型病毒 67
4.3.1　文件型病毒的復制機制 67
4.3.2　文件型病毒的分類 68
4.3.3　文件型病毒的發(fā)展史 68
4.3.4　文件型病毒簡介 70
4.3.5　典型的文件型病毒——
4.3.5　WIN95.CIH病毒解剖 73
4.3.6　新CIH病毒（WIN32.Yami）剖析 77
4.4　攻擊磁盤扇區(qū)的引導型病毒 77
4.4.1　引導型病毒背景介紹 77
4.4.2　引導型病毒的主要特點和分類 80
4.4.3　引導型病毒的發(fā)作現(xiàn)象及處理 80
4.4.4　典型的引導型病毒——WYX病毒解析 83
4.4.5　防范引導區(qū)病毒的安全建議 86
第5章　互聯(lián)網(wǎng)時代的瘟疫——蠕蟲病毒 87
5.1　背景介紹 87
5.1.1　蠕蟲病毒的起源 88
5.1.2　蠕蟲病毒與普通病毒的比較 89
5.1.3　蠕蟲病毒造成的破壞 89
5.1.4　蠕蟲病毒的特點和發(fā)展趨勢 89
5.1.5　蠕蟲病毒的傳播 90
5.2　病毒的特點及危害 90
5.2.1　蠕蟲病毒的特點 90
5.2.2　蠕蟲病毒造成的社會危害 93
5.3　蠕蟲病毒的發(fā)作現(xiàn)象及處理方法 94
5.3.1　尼姆達（Nimda）病毒 95
5.3.2 “魔波（Worm.Mocbot.a）”蠕蟲病毒 98
5.3.3　SCO炸彈（Worm.Novarg） 101
5.3.4　惡性蠕蟲病毒“斯文（Worm.Swen）” 101
5.4　典型蠕蟲病毒解析 103
5.4.1 “熊貓燒香”病毒解析 103
5.4.2　Worm.Win32.WebDown.a 112
5.5　防范蠕蟲病毒的安全建議 115
5.6　蠕蟲病毒防范實驗 116
5.6.1　實驗?zāi)康?117
5.6.2　實驗大綱 117
5.6.3　實驗工具軟件 117
5.6.4　實驗內(nèi)容 117
5.6.5　實驗步驟 120
第6章　隱藏的危機——木馬病毒分析 121
6.1　木馬病毒的背景介紹 121
6.2　木馬病毒的隱藏性 122
6.3　典型的木馬病毒 127
6.3.1　灰鴿子（Backdoor.Huigezi） 127
6.3.2　馬吉斯蠕蟲（Worm.Magistr.g） 131
6.4　防范木馬病毒的安全建議 133
第7章　網(wǎng)頁沖浪的暗流——網(wǎng)頁腳本病毒分析 135
7.1　腳本病毒的背景知識介紹 135
7.1.1　VBScript概述 135
7.1.2 “WSH”概述 136
7.1.3　有關(guān)注冊表的基本知識 136
7.2　腳本病毒的特點 137
7.3　腳本病毒的發(fā)作現(xiàn)象及處理 138
7.4　典型腳本病毒——歡樂時光病毒解析 143
7.4.1　HAPPYTIME病毒分析 143
7.4.2　情人谷惡意網(wǎng)頁分析 146
7.5　防范腳本病毒的安全建議 149
7.6　腳本及惡意網(wǎng)頁實驗 151
7.6.1　實驗?zāi)康?151
7.6.2　實驗內(nèi)容 151
7.6.3　實驗用工具軟件及操作系統(tǒng) 151
7.6.4　實驗背景知識及說明 151
7.6.5　實驗流程 157
7.7　注冊表維護實驗 159
7.7.1　實驗?zāi)康?159
7.7.2　實驗內(nèi)容 159
7.7.3　實驗工具軟件 159
7.7.4　實驗步驟 159
7.7.5　實驗流程 168
第8章　不要和陌生人說話——即時通信病毒分析 170
8.1　即時通信病毒背景介紹 170
8.1.1　什么是IM 170
8.1.2　主流即時通信軟件簡介 170
8.1.3　IM軟件的基本工作原理 172
8.2　即時通信病毒的特點及危害 173
8.3　即時通信病毒發(fā)作現(xiàn)象及處理方法 175
8.4　典型的即時通信病毒——“MSN性感雞”解析 178
8.5　防范即時通信病毒的安全建議 180
第9章　無孔不入——操作系統(tǒng)漏洞攻擊病毒分析 181
9.1　漏洞攻擊病毒背景介紹 181
9.2　漏洞攻擊病毒造成的危害 182
9.2.1　沖擊波病毒造成的危害 182
9.2.2　振蕩波病毒造成的危害 183
9.2.3　嚴防微軟MS05-040漏洞 183
9.3　漏洞攻擊病毒發(fā)作現(xiàn)象及處理 184
9.3.1　紅色代碼發(fā)作現(xiàn)象 184
9.3.2　沖擊波病毒的發(fā)作現(xiàn)象 185
9.3.3　振蕩波病毒發(fā)作現(xiàn)象 189
9.3.4　針對ARP協(xié)議安全漏洞的網(wǎng)絡(luò)攻擊 191
9.4　防范漏洞攻擊病毒的安全建議 196
第10章　病毒發(fā)展的新階段——移動通信病毒分析 198
10.1　移動通信病毒背景介紹 198
10.2　移動通信病毒的特點 200
10.2.1　手機病毒的傳播途徑 200
10.2.2　手機病毒的傳播特點 202
10.2.3　手機病毒的危害 202
10.3　移動通信病毒的發(fā)作現(xiàn)象 202
10.4　典型手機病毒分析 204
10.4.1　手機病毒發(fā)展過程 204
10.4.2　典型手機病毒Cabir 205
10.5　防范移動通信病毒的安全建議 205
第11章　防人之心不可無——網(wǎng)絡(luò)釣魚概述 207
11.1　網(wǎng)絡(luò)釣魚背景介紹 207
11.2　網(wǎng)絡(luò)釣魚的手段及危害 208
11.2.1　利用電子郵件“釣魚” 208
11.2.2　利用木馬程序“釣魚” 208
11.2.3　利用虛假網(wǎng)址“釣魚” 209
11.2.4　假冒知名網(wǎng)站釣魚 209
11.2.5　其他釣魚方式 210
11.3　防范網(wǎng)絡(luò)釣魚的安全建議 211
11.3.1　金融機構(gòu)采取的網(wǎng)上安全防范措施 211
11.3.2　對于個人用戶的安全建議 212
第12章　強買強賣——惡意軟件概述 213
12.1　惡意軟件背景介紹 213
12.2　惡意軟件的分類及其惡意行徑 214
12.3　惡意軟件的危害 215
12.4　防范惡意軟件的安全建議 216
12.4.1　IE插件管理專家Upiea 216
12.4.2　超級兔子魔法設(shè)置 217
12.4.3　瑞星卡卡安全助手 217
12.4.4　微軟反間諜軟件（Giant Antispyware） 218
12.5　典型惡意軟件分析 219
12.5.1　病毒感染過程 219
12.5.2　清除方法 221
第13章　其他操作系統(tǒng)病毒 223
13.1　操作系統(tǒng)概述 223
13.1.1　Linux操作系統(tǒng) 223
13.1.2　蘋果公司的MAC OS 224
13.2　Linux與Unix病毒 225
13.3　MAC OS系統(tǒng)病毒 226
13.4　其他新型病毒簡介 226
第三篇　反病毒技術(shù)
第14章　反病毒技術(shù)發(fā)展趨勢 228
14.1　反病毒保護措施日益全面和實時 228
14.2　反病毒產(chǎn)品體系結(jié)構(gòu)面臨突破 229
14.3　對未知病毒的防范能力日益增強 229
14.4　企業(yè)級別、網(wǎng)關(guān)級別的產(chǎn)品越來越重要 230
14.5　關(guān)注移動設(shè)備和無線產(chǎn)品的安全 230
第15章　基礎(chǔ)知識——常見文件格式 231
15.1　病毒與文件格式 231
15.1.1　常見的文件格式 231
15.1.2　文檔能夠打開但無法正常顯示時采取的措施 239
15.1.3　文檔打不開時采取的措施 240
15.1.4　常見的文件后綴 241
15.1.5　雙擴展名——病毒郵件所帶附件的特點之一 247
15.2　PE文件格式 248
15.2.1　PE文件格式一覽 248
15.2.2　檢驗PE文件的有效性 249
15.2.3　File Header 250
15.2.4　OptionalHeader 251
15.2.5　Section Table 252
15.2.6　Import Table（引入表） 253
15.2.7　Export Table（引出表） 255
第16章　搭建病毒分析實驗室 257
16.1　神奇的虛擬機 257
16.1.1　硬件要求與運行環(huán)境 257
16.1.2　VMware 258
16.1.3　Virtual PC 262
16.1.4　VMWare與Virtual PC的主要區(qū)別 267
16.1.5　病毒“蜜罐” 268
16.2　常用病毒分析軟件 269
16.2.1　系統(tǒng)監(jiān)測工具 269
16.2.2　文本編輯器 290
16.2.3　綜合軟件 297
16.3　靜態(tài)分析技術(shù) 306
16.3.1　基礎(chǔ)知識 306
16.3.2　W32Dasm簡介 307
16.3.3　IDA Pro 315
16.3.4　破解教程 318
16.4　動態(tài)分析技術(shù) 320
16.4.1　SoftICE和TRW2000的安裝與配置 320
16.4.2　SoftICE與TRW2000操作入門 330
16.4.3　常用的Win32 API函數(shù) 336
16.4.4　破解實例 338
第17章　計算機病毒慣用技術(shù)解密 341
17.1　壓縮與脫殼 341
17.1.1　自動脫殼 341
17.1.2　手動脫殼 350
17.1.3　脫殼技巧 353
17.2　郵件蠕蟲 361
17.2.1　郵件蠕蟲的局限與解決方法 361
17.2.2　垃圾郵件的關(guān)鍵技術(shù) 364
17.3　追蹤?quán)]件來源 366
17.3.1　郵件頭分析 366
17.3.2　郵件傳輸過程 367
17.3.3　郵件頭分析實例 368
17.3.4　郵件偽造 370
17.3.5　垃圾郵件分析 370
17.3.6　總結(jié) 372
17.4　病毒分析常用工具實驗 373
17.4.1　實驗?zāi)康?373
17.4.2　實驗內(nèi)容 373
17.4.3　實驗工具 373
17.4.4　實驗步驟 374
17.4.5　實驗流程 379
第18章　捕捉計算機病毒 381
18.1　計算機病毒的癥狀 381
18.1.1　計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象 381
18.1.2　計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象 383
18.1.3　計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象 385
18.2　Windows的自啟動方式 386
18.2.1　自啟動目錄 386
18.2.2　系統(tǒng)配置文件啟動 387
18.2.3　注冊表啟動 390
18.2.4　其他啟動方式 392
18.2.5　自啟動方式 394
18.3　名詞解釋 396
18.3.1　惡意軟件 396
18.3.2　惡意軟件類別詳述 397
18.3.3　惡意軟件的特征 398
18.3.4　攜帶者對象 398
18.3.5　傳輸機制 399
18.3.6　負載 400
18.3.7　觸發(fā)機制 402
18.3.8　防護機制 402
第19章　病毒代碼分析 404
19.1　2003蠕蟲王（SQL Server蠕蟲） 404
19.2 “振蕩波”（Worm.Sasser）病毒代碼 406
19.3 “莫國防”病毒（win32.mgf）的源程序 412
19.3.1　相關(guān)技術(shù) 412
19.3.2　危害估計 412
19.3.3　源代碼分析 412
19.4　木馬下載器 438
19.5　熊貓燒香的代碼 460
第20章　反病毒技術(shù)剖析 467
20.1　病毒診治技術(shù)剖析 467
20.1.1　反病毒技術(shù)概述 467
20.1.2　病毒診斷技術(shù) 468
20.1.3　虛擬機在反病毒技術(shù)中的應(yīng)用 473
20.2　反病毒引擎技術(shù)剖析 476
20.2.1　反病毒引擎在整個殺毒軟件中的地位 476
20.2.2　反病毒引擎的發(fā)展歷程 477
20.2.3　反病毒引擎的體系架構(gòu) 478
20.2.4　反病毒引擎的技術(shù)特征 478
20.2.5　反病毒引擎的發(fā)展方向 481
第四篇　反病毒產(chǎn)品及解決方案
第21章　中國反病毒產(chǎn)業(yè)發(fā)展概述 484
第22章　主流反病毒產(chǎn)品特點介紹 489
22.1　瑞星殺毒軟件 489
22.2　江民殺毒軟件 491
22.3　金山毒霸 492
22.4　諾頓殺毒軟件 493
22.5　卡巴斯基殺毒軟件 493
第23章　反病毒安全體系的建立 495
23.1　建設(shè)安全體系遵循的原則 495
23.1.1　法律 495
23.1.2　思想意識 497
23.1.3　技術(shù)手段 497
23.1.4　管理手段 498
23.1.5　技能手段 499
23.2　如何選擇反病毒產(chǎn)品 500
23.2.1　使用方面 500
23.2.2　服務(wù)方面 500
附錄A　計算機安全法規(guī) 501
附錄B　新病毒處理流程 512