計算機(jī)病毒分析與防范大全（第3版）

第一篇 認(rèn)識計算機(jī)病毒
第1章 什么是計算機(jī)病毒
1.1 計算機(jī)病毒的定義
1.2 計算機(jī)病毒的特征
1.3 計算機(jī)病毒的結(jié)構(gòu)
1.3.1 計算機(jī)病毒的程序結(jié)構(gòu)
1.3.2 計算機(jī)病毒的存儲結(jié)構(gòu)
1.4 計算機(jī)病毒的分類及命名
1.4.1 根據(jù)寄生的數(shù)據(jù)存儲方式劃分
1.4.2 根據(jù)感染文件類型劃分
1.4.3 根據(jù)傳播途徑分類
1.4.4 列舉幾種具有代表性
的病毒類型
1.5 計算機(jī)病毒的命名規(guī)則
1.6 計算機(jī)病毒的入侵方式
1.7 計算機(jī)病毒的生命周期
1.8 計算機(jī)病毒的傳播
第2章 計算機(jī)病毒發(fā)展史
2.1 計算機(jī)病毒的起源及其發(fā)展過程
2.2 計算機(jī)病毒大事記
2.3 計算機(jī)病毒的發(fā)展趨勢
2.3.1 智能化
2.3.2 人性化
2.3.3 隱蔽化
2.3.4 多樣化
2.3.5 專用病毒生成工具的出現(xiàn)
2.3.6 攻擊反病毒軟件
2.3.7 病毒的互聯(lián)網(wǎng)化
第3章 計算機(jī)病毒的危害
3.1 計算機(jī)病毒編制者的目的
3.1.1 惡作劇（開玩笑）
3.1.2 報復(fù)心理
3.1.3 保護(hù)版權(quán)
3.1.4 娛樂需要
3.1.5 政治或軍事目的
3.1.6 獲取經(jīng)濟(jì)利益
3.2 計算機(jī)病毒對計算機(jī)應(yīng)用的影響
3.2.1 破壞數(shù)據(jù)
3.2.2 占用磁盤存儲空間
3.2.3 搶占系統(tǒng)資源
3.2.4 影響計算機(jī)運(yùn)行速度
3.2.5 計算機(jī)病毒錯誤與不可預(yù)見的危害
3.2.6 計算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的影響
3.2.7 計算機(jī)病毒給用戶造成嚴(yán)重的心理壓力
3.2.8 計算機(jī)病毒對計算機(jī)用戶隱私信息的威脅
3.3 計算機(jī)病毒造成的社會危害
3.4 計算機(jī)病毒在國家安全上的影響
3.4.1 直面軍事信息安全的挑戰(zhàn)
3.4.2 高度依賴信息系統(tǒng)的美軍青睞計算機(jī)病毒武器
3.4.3 防患未然要從細(xì)節(jié)做起
第二篇 計算機(jī)病毒分析
第4章 追根溯源——傳統(tǒng)計算機(jī)病毒概述
4.1 早期的DOS病毒介紹
4.1.1 DOS操作系統(tǒng)簡介
4.1.2 DOS病毒
4.2 Office殺手——宏病毒
4.2.1 什么是“宏”
4.2.2 宏病毒的定義
4.2.3 宏病毒的特點(diǎn)
4.2.4 宏病毒的發(fā)作現(xiàn)象及處理
4.2.5 典型的宏病毒——“七月殺手”病毒
4.2.6 防范宏病毒的安全建議
4.3 變化多端的文件型病毒
4.3.1 文件型病毒的復(fù)制機(jī)制
4.3.2 文件型病毒的分類
4.3.3 文件型病毒的發(fā)展史
4.3.4 文件型病毒簡介
4.3.5 典型的文件型病毒——WIN95.CIH病毒解剖
4.3.6 新CIH病毒（WIN32.Yami）剖析
4.4 攻擊磁盤扇區(qū)的引導(dǎo)型病毒
4.4.1 引導(dǎo)型病毒背景介紹
4.4.2 引導(dǎo)型病毒的主要特點(diǎn)和分類
4.4.3 引導(dǎo)型病毒的發(fā)作現(xiàn)象及處理
4.4.4 典型的引導(dǎo)型病毒——WYX病毒解析
4.4.5 防范引導(dǎo)區(qū)病毒的安全建議
第5章 互聯(lián)網(wǎng)時代的瘟疫——蠕蟲病毒
5.1 背景介紹
5.1.1 蠕蟲病毒的起源
5.1.2 蠕蟲病毒與普通病毒的比較
5.1.3 蠕蟲病毒的特點(diǎn)和發(fā)展趨勢
5.1.5 蠕蟲病毒的傳播
5.2 病毒的特點(diǎn)及危害
5.2.1 蠕蟲病毒的特點(diǎn)
5.2.2 蠕蟲病毒造成的社會危害
5.3 蠕蟲病毒的發(fā)作現(xiàn)象及處理方法
5.3.1 “SP2殺手”蠕蟲病毒
5.3.2 “魔波”（Worm.Mocbot.a）蠕蟲病毒
5.3.3 “SCO炸彈”（Worm.Novarg）
5.3.4 惡性蠕蟲病毒——“斯文”（Worm.Swen）
5.4 典型蠕蟲病毒解析
5.4.1 “熊貓燒香”病毒解析
5.4.2 Worm.Win32.WebDown.a蠕蟲病毒解析
5.5 防范蠕蟲病毒的安全建議
5.6 蠕蟲病毒防范實驗
5.6.1 實驗?zāi)康?
5.6.2 實驗大綱
5.6.3 實驗工具軟件
5.6.4 實驗過程簡述
第6章 隱藏的危機(jī)——木馬病毒分析
6.1 木馬病毒的背景介紹
6.2 木馬病毒的隱藏性
6.3 典型的木馬病毒
6.3.1 “灰鴿子”（Backdoor.Huigezi）
6.3.2 盜號木馬GameOnline
6.3.3 RootKit鍵盤記錄器木馬
6.4 木馬病毒的又一重要傳播途徑——網(wǎng)站掛馬
6.4.1 網(wǎng)頁掛馬的概念
6.4.2 常見的網(wǎng)頁掛馬方式
6.5 防范木馬病毒的安全建議
第7章 網(wǎng)頁沖浪的暗流——網(wǎng)頁腳本病毒分析
7.1 腳本病毒的背景知識介紹
7.1.1 VBScript概述
7.1.2 “WSH”概述
7.1.3 有關(guān)注冊表的基本知識
7.2 腳本病毒的特點(diǎn)
7.3 腳本病毒的發(fā)作現(xiàn)象及處理
7.4 典型腳本病毒分析
7.4.1 “自動播放”（Autorun）腳本病毒分析
7.4.2 腳本病毒Hack.Exploit.Script.JS.Iframe.z分析
7.5 防范腳本病毒的安全建議
7.6 腳本及惡意網(wǎng)頁實驗
7.6.1 實驗?zāi)康?
7.6.2 實驗內(nèi)容
7.6.3 實驗用工具軟件及操作系統(tǒng)
7.6.4 實驗背景知識及說明
7.6.5 實驗流程
7.7 注冊表維護(hù)實驗
7.7.1 實驗?zāi)康?
7.7.2 實驗內(nèi)容
7.7.3 實驗工具軟件
7.7.4 實驗步驟
7.7.5 實驗流程
7.8 通過惡意腳本進(jìn)行網(wǎng)頁掛馬演示
第8章 不要和陌生人說話——即時通信病毒分析
8.1 即時通信病毒背景介紹
8.1.1 什么是IM
8.1.2 主流即時通信軟件簡介
8.1.3 IM軟件的基本工作原理
8.1.4 IM軟件造成的安全威脅
8.2 即時通信病毒的特點(diǎn)及危害
8.3 即時通信病毒發(fā)作現(xiàn)象及處理方法
8.4 典型的即時通信病毒——“MSN性感雞”解析
8.5 防范即時通信病毒的安全建議
第9章 無孔不入——系統(tǒng)漏洞攻擊病毒分析
9.1 漏洞攻擊病毒背景介紹
9.2 漏洞攻擊的類型及原理
9.2.1 緩沖區(qū)溢出漏洞
9.2.2 內(nèi)存損壞漏洞
9.3 典型漏洞分析
9.3.1 微軟視頻控件（Microsoft Video ActiveX Control）漏洞
9.3.2 MS08-067漏洞分析
9.3.3 CVE-2008-0015漏洞分析
9.3.4 ARP協(xié)議安全漏洞攻擊
9.4 防范漏洞攻擊病毒的安全建議
第10章 病毒發(fā)展的新階段——移動通信病毒分析
10.1 移動通信病毒背景介紹
10.2 移動通信病毒的特點(diǎn)
10.2.1 手機(jī)病毒的傳播途徑
10.2.2 手機(jī)病毒的傳播特點(diǎn)
10.2.3 手機(jī)病毒的危害
10.3 移動通信病毒的發(fā)作現(xiàn)象
10.4 典型手機(jī)病毒分析
10.4.1 手機(jī)病毒發(fā)展過程
10.4.2 典型手機(jī)病毒——Cabir
10.4.3 “骷髏頭”手機(jī)病毒
10.4.4 “食人魚”手機(jī)病毒
10.5 WinCE.Dust手機(jī)病毒源代碼
10.6 防范移動通信病毒的安全建議
第11章 防人之心不可無——網(wǎng)絡(luò)釣魚概述
11.1 網(wǎng)絡(luò)釣魚背景介紹
11.2 網(wǎng)絡(luò)釣魚的手段及危害
11.2.1 利用電子郵件“釣魚”
11.2.2 利用木馬程序“釣魚”
11.2.3 利用虛假網(wǎng)址“釣魚”
11.2.4 假冒知名網(wǎng)站“釣魚”
11.2.5 其他釣魚方式
11.3 防范網(wǎng)絡(luò)釣魚的安全建議
11.3.1 金融機(jī)構(gòu)采取的網(wǎng)上安全防范措施
11.3.2 對于個人用戶的安全建議
第12章 強(qiáng)買強(qiáng)賣——流氓軟件概述
12.1 流氓軟件背景介紹
12.2 流氓軟件的分類及其流氓行徑
12.3 流氓軟件的危害
12.4 防范流氓軟件的安全建議
12.4.1 IE插件管理專家Upiea
12.4.2 超級兔子2011
12.4.3 瑞星卡卡安全助手
12.5 典型流氓軟件分析——“飄雪”
12.5.1 “飄雪”感染過程
12.5.2 清除方法
12.6 典型流氓軟件分析——“8749”
第13章 其他操作系統(tǒng)病毒
13.1 Linux與UNIX病毒
13.2 MAC OS系統(tǒng)病毒
13.3 其他典型系統(tǒng)病毒簡介
第三篇 反病毒技術(shù)
第14章 反病毒技術(shù)發(fā)展趨勢
14.1 反病毒保護(hù)措施日益全面和實時
14.2 反病毒產(chǎn)品體系結(jié)構(gòu)面臨突破
14.3 對未知病毒的防范能力日益增強(qiáng)
14.4 企業(yè)級別、網(wǎng)關(guān)級別的產(chǎn)品越來越重要
14.5 主動防御技術(shù)的應(yīng)用
14.6 關(guān)注移動設(shè)備和無線產(chǎn)品的安全
第15章 基礎(chǔ)知識——常見文件格式
15.1 病毒與文件格式
15.1.1 常見的文件格式
15.1.2 文檔能夠打開但無法正常顯示時采取的措施
15.1.3 文檔打不開時采取的措施
15.1.4 常見的文件后綴
15.1.5 雙擴(kuò)展名——病毒郵件所帶附件的特點(diǎn)之一
15.2 PE文件格式
15.2.1 PE文件格式一覽
15.2.2 檢驗PE文件的有效性
15.2.3 File Header
15.2.4 OptionalHeader
15.2.5 Section Table
15.2.6 Import Table（引入表）
15.2.7 Export Table（引出表）
第16章 搭建病毒分析實驗室
16.1 神奇的虛擬機(jī)
16.1.1 硬件要求與運(yùn)行環(huán)境
16.1.2 VMware
16.1.3 Virtual PC
16.1.4 VMware與Virtual PC的主要區(qū)別
16.1.5 病毒“蜜罐”
16.2 常用病毒分析軟件
16.2.1 系統(tǒng)監(jiān)測工具
16.2.2 文本編輯器
16.2.3 綜合軟件
16.3 靜態(tài)分析技術(shù)
16.3.1 基礎(chǔ)知識
16.3.2 W32Dasm簡介
16.3.3 IDA Pro
16.3.4 破解教程
16.4 動態(tài)分析技術(shù)
16.4.1 SoftICE
16.4.2 Windbg
16.4.3 OllyDBG
16.4.4 常用的Win32 API函數(shù)
16.4.5 破解實例
第17章 計算機(jī)病毒慣用技術(shù)解密
17.1 反靜態(tài)分析、檢測技術(shù)
17.1.1 花指令
17.1.2 動態(tài)改變指令
17.1.3 代碼隱蔽技術(shù)
17.1.4 入口點(diǎn)隱蔽
17.1.5 加密技術(shù)
17.1.6 高級代碼變形
17.1.7 加殼技術(shù)
17.2 反動態(tài)分析、檢測技術(shù)
17.2.1 檢測商用虛擬機(jī)
17.2.2 反-反病毒仿真技術(shù)
17.3 執(zhí)行體隱藏保護(hù)技術(shù)
17.3.1 文件隱藏
17.3.2 掛接遍歷文件相關(guān)API
17.3.3 進(jìn)程隱藏
17.3.4 文件保護(hù)
17.3.5 進(jìn)程保護(hù)
17.3.6 注冊表保護(hù)
17.4 反制技術(shù)
17.4.1 禁止反病毒軟件的運(yùn)行
17.4.2 破壞反病毒軟件的功能
17.5 壓縮與脫殼
17.5.1 自動脫殼
17.5.2 手動脫殼
17.5.3 脫殼技巧
17.6 加殼脫殼實驗
17.6.1 工具介紹
17.6.2 加殼操作
17.6.3 脫殼操作
第18章 捕捉計算機(jī)病毒
18.1 計算機(jī)病毒的癥狀
18.1.1 計算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象
18.1.2 計算機(jī)病毒發(fā)作時的表現(xiàn)現(xiàn)象
18.1.3 計算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象
18.2 Windows的自啟動方式
18.2.1 自啟動目錄
18.2.2 系統(tǒng)配置文件啟動
18.2.3 注冊表啟動
18.2.4 其他啟動方式
18.3 計算機(jī)病毒排查流程詳解
18.3.1 故障初步判斷
18.3.2 通過系統(tǒng)自帶工具進(jìn)行排查
18.3.3 使用第三方工具輔助進(jìn)行檢測
18.3.4 對病毒程序進(jìn)行清理
第19章 典型病毒的源代碼分析
19.1 AdWare.Win32.Fsutk.a
19.2 Hack.Exploit.Win32.MS08-067.kt
19.3 Win32.KUKU.kj
19.4 Worm.Win32.Bonew.a
19.5 Worm.Nimaya
第20章 反病毒技術(shù)剖析
20.1 病毒診治技術(shù)剖析
20.1.1 反病毒技術(shù)概述
20.1.2 病毒診斷技術(shù)
20.1.3 虛擬機(jī)在反病毒技術(shù)中的應(yīng)用
20.2 反病毒引擎技術(shù)剖析
20.2.1 反病毒引擎在整個殺毒軟件中的地位
20.2.2 反病毒引擎的發(fā)展歷程
20.2.3 反病毒引擎的體系架構(gòu)
20.2.4 反病毒引擎的技術(shù)特征
20.2.5 反病毒引擎的發(fā)展方向
20.3 主動防御技術(shù)詳解
第四篇 反病毒產(chǎn)品及解決方案
第21章 “云安全”在反病毒領(lǐng)域的應(yīng)用
21.1 國內(nèi)外廠商的現(xiàn)狀和發(fā)展趨勢
21.1.1 國際信息安全廠商的現(xiàn)狀和發(fā)展趨勢
21.1.2 國內(nèi)信息安全廠商的現(xiàn)狀和發(fā)展趨勢
21.2 瑞星云安全的產(chǎn)生和技術(shù)發(fā)展歷史
第22章 中國反病毒產(chǎn)業(yè)發(fā)展概述
第23章 主流反病毒產(chǎn)品特點(diǎn)介紹
23.1 瑞星殺毒軟件
23.2 江民殺毒軟件
23.3 金山毒霸
23.4 諾頓殺毒軟件
23.5 趨勢殺毒軟件
23.6 熊貓衛(wèi)士
23.7 卡巴斯基殺毒軟件
23.8 安全衛(wèi)士
第24章 反病毒安全體系的建立
24.1 建設(shè)安全體系遵循的原則
24.1.1 法律
24.1.2 思想意識
24.1.3 技術(shù)手段
24.1.4 管理手段
24.1.5 技能手段
24.2 如何選擇反病毒產(chǎn)品
24.2.1 使用方面
24.2.2 服務(wù)方面
附錄A 計算機(jī)安全法規(guī)
附錄B 新病毒處理流程
附錄C 常用文件后綴名列表