計(jì)算機(jī)病毒防護(hù)技術(shù)

第1章計(jì)算機(jī)病毒基礎(chǔ)
1.1計(jì)算機(jī)病毒的起源
1.1.1代碼的自復(fù)制理論基礎(chǔ)
1.1.2磁芯大戰(zhàn)
1.1.3典型的計(jì)算機(jī)病毒
1.2計(jì)算機(jī)病毒的定義
1.2.1計(jì)算機(jī)病毒的結(jié)構(gòu)
1.2.2計(jì)算機(jī)病毒的分類
1.3計(jì)算機(jī)病毒的基本原理
1.3.1計(jì)算機(jī)病毒的形式化模型
1.3.2計(jì)算機(jī)病毒的傳播模型
1.3.3系統(tǒng)安全模型
1.3.4計(jì)算機(jī)病毒的防御
1.3.5計(jì)算機(jī)病毒的特征
1.4計(jì)算機(jī)病毒的命名
1.4.1命名規(guī)則
1.4.2計(jì)算機(jī)病毒的環(huán)境依賴性
第2章Win32系統(tǒng)關(guān)鍵技術(shù)
2.1Windows體系結(jié)構(gòu)
2.1.1Win32的含義
2.1.2x86 CPU的工作模式
2.1.3內(nèi)核態(tài)和用戶態(tài)
2.1.4地址空間
2.2內(nèi)存管理機(jī)制
2.2.1地址綁定
2.2.2Windows的分頁(yè)機(jī)制
2.2.3i386的地址轉(zhuǎn)換
2.2.4內(nèi)存保護(hù)
2.2.5虛擬內(nèi)存
2.2.6內(nèi)存映射文件
2.3中斷和異常
2.3.1中斷
2.3.2Win32系統(tǒng)服務(wù)調(diào)用
2.3.3異常
2.4存儲(chǔ)和文件系統(tǒng)
2.4.1硬盤(pán)物理結(jié)構(gòu)
2.4.2硬盤(pán)分區(qū)結(jié)構(gòu)
2.4.3FAT文件系統(tǒng)
2.4.4NTFS文件系統(tǒng)
2.5典型的可執(zhí)行文件格式
2.5.1Windows可執(zhí)行文件
2.5.2.com文件
2.5.3可移植文件格式
2.5.4加載器
第3章計(jì)算機(jī)病毒的感染機(jī)制
3.1引導(dǎo)型病毒
3.1.1系統(tǒng)引導(dǎo)過(guò)程
3.1.2引導(dǎo)型病毒的感染原理
3.1.3主引導(dǎo)扇區(qū)代碼分析
3.1.4引導(dǎo)型病毒的實(shí)現(xiàn)
3.2文件型病毒
3.2.1文件型病毒的感染機(jī)制
3.2.2可移植文件的操作方法
3.2.3空洞病毒的實(shí)現(xiàn)
3.2.4追加新節(jié)的實(shí)現(xiàn)
3.2.5病毒編寫(xiě)技術(shù)
3.3腳本病毒
3.3.1VBS病毒的原理
3.3.2VBS病毒的自保技巧
3.3.3VBS病毒生產(chǎn)機(jī)
3.4代碼進(jìn)化技術(shù)
3.4.1加密病毒
3.4.2寡態(tài)病毒
3.4.3多態(tài)病毒
3.4.4變形病毒
3.4.5病毒生產(chǎn)機(jī)
第4章計(jì)算機(jī)病毒防御技術(shù)
4.1掃描器技術(shù)
4.1.1特征碼掃描
4.1.2快速掃描
4.1.3骨架檢測(cè)
4.1.4精確識(shí)別技術(shù)
4.1.5算法掃描
4.2啟發(fā)式檢測(cè)
4.2.1靜態(tài)啟發(fā)式檢測(cè)
4.2.2動(dòng)態(tài)啟發(fā)檢測(cè)技術(shù)
4.2.3神經(jīng)網(wǎng)絡(luò)啟發(fā)式檢測(cè)
4.3行為檢測(cè)器
4.4完整性檢測(cè)器
4.5殺毒技術(shù)
4.5.1內(nèi)存殺毒
4.5.2文件殺毒
4.5.3通用殺毒
第5章惡意代碼技術(shù)的發(fā)展
5.1惡意代碼及其分類
5.1.1惡意代碼攻擊機(jī)制
5.1.2常見(jiàn)的惡意代碼
5.2特洛伊木馬技術(shù)
5.2.1木馬的攻擊機(jī)制
5.2.2木馬的傳播技術(shù)
5.2.3木馬的隱藏技術(shù)
5.2.4木馬的通信技術(shù)
5.3蠕蟲(chóng)技術(shù)
5.4緩沖區(qū)溢出攻擊
5.4.1緩沖區(qū)溢出攻擊的原理
5.4.2緩沖區(qū)溢出攻擊的實(shí)現(xiàn)
5.4.3ShellCode的編寫(xiě)技巧
第6章惡意代碼的分析技術(shù)
6.1代碼分析環(huán)境
6.2靜態(tài)分析技術(shù)
6.2.1x86的指令編碼格式
6.2.2x86反匯編
6.3動(dòng)態(tài)跟蹤技術(shù)
6.3.1Win32調(diào)試API
6.3.2Win32調(diào)試機(jī)制
6.3.3Win32的異常處理機(jī)制
第7章代碼的自保護(hù)技術(shù)
7.1防反匯編技術(shù)
7.1.1采用加密常量
7.1.2采用復(fù)雜指令
7.1.3在操作碼中混合數(shù)據(jù)
7.1.4使用壓縮（加密）代碼
7.1.5顯式鏈接外部函數(shù)
7.1.6使用隱式的字符串
7.2反調(diào)試技術(shù)
7.2.1使用IsDebuggerPresent() API
7.2.2掛接x86系統(tǒng)調(diào)試中斷
7.2.3利用代碼的校驗(yàn)和檢測(cè)斷點(diǎn)
7.2.4在執(zhí)行過(guò)程中檢查棧狀態(tài)
7.2.5通過(guò)異常處理器執(zhí)行代碼
7.3反啟發(fā)式檢測(cè)技術(shù)
7.3.1利用加殼技術(shù)
7.3.2追加多個(gè)病毒節(jié)
7.3.3偽造文件頭部
7.3.4感染首節(jié)的空隙
7.3.5擴(kuò)大首節(jié)的空洞
7.3.6壓縮首節(jié)
7.3.7使用隨機(jī)入口點(diǎn)
7.3.8隱藏代碼節(jié)的屬性
7.3.9重新計(jì)算校驗(yàn)和
7.3.10避免使用CALLtoPOP技巧
7.3.11使用非常規(guī)指令
7.3.12隨機(jī)執(zhí)行病毒代碼
7.4抗替罪羊與反轉(zhuǎn)錄病毒
7.4.1抗替罪羊技術(shù)
7.4.2反轉(zhuǎn)錄病毒技術(shù)
7.4.3反轉(zhuǎn)錄病毒的典型行為
7.4.4反轉(zhuǎn)錄病毒的防范措施
第8章病毒實(shí)驗(yàn)設(shè)計(jì)
8.1實(shí)驗(yàn)總目的和要求
8.2引導(dǎo)型病毒的編寫(xiě)
8.3空洞病毒的編寫(xiě)
8.4追加病毒的編寫(xiě)
8.5腳本病毒的編寫(xiě)
8.6手工殺毒技巧
8.7惡意代碼的分析
參考文獻(xiàn)