计算机病毒与反病毒技术

第1章  计算机病毒概述    1
1.1  计算机病毒的定义    1
1.2  计算机病毒的基本特征与本质    3
1.2.1  计算机病毒的基本特征    3
1.2.2  计算机病毒的本质    6
1.3  计算机病毒的分类    7
1.3.1  分类的目的    7
1.3.2  按照计算机病毒的破坏能力、破坏情况分类    8
1.3.3  按照计算机病毒攻击的操作系统分类    8
1.3.4  按照计算机病毒攻击的机型分类    9
1.3.5  按照计算机病毒特有的算法分类    10
1.3.6  按照计算机病毒的链接方式分类    10
1.3.7  按照计算机病毒的传播媒介分类    11
1.3.8  按照计算机病毒的寄生对象和驻留方式分类    11
1.4  恶意程序、蠕虫与木马    12
1.4.1  恶意程序    12
1.4.2  蠕虫    13
1.4.3  特洛伊木马    14
1.5  计算机病毒的命名规则    15
1.5.1  通用命名规则    15
1.5.2  国际上对病毒命名的惯例    16
1.5.3  病毒命名亟待进一步规范、统一    19
1.6  计算机病毒的危害与症状    20
1.6.1  计算机病毒的危害    20
1.6.2  计算机病毒的症状    22
1.6.3  计算机病毒症状与计算机故障区别    25
1.7  计算机病毒的传播途径    29
1.8  计算机病毒的生命周期    30
1.9  计算机病毒的发展简史    31
1.9.1  病毒的起源    31
1.9.2  病毒的发展阶段    35
1.9.3  计算机病毒的新特点    37
1.9.4  导致计算机病毒产生的社会渊源    39
1.9.5  计算机病毒存在的必然性、长期性    40
1.10  计算机病毒的基本防治    41
1.11  研究计算机病毒的基本原则    42
课外阅读：中国计算机病毒狂潮实录    42
习题    46
第2章  预备知识    47
2.1  硬盘结构简介    47
2.1.1  硬盘的物理结构    48
2.1.2  硬盘的数据结构    51
2.1.3  扩展分区与扩展MBR简介    55
2.2  文件系统    58
2.2.1  文件系统简介    58
2.2.2  FAT32 DBR    60
2.2.3  保留扇区    62
2.2.4  FAT16与FAT32    63
2.2.5  NTFS文件系统    66
2.3  计算机的启动过程    69
2.3.1  系统启动过程简介    69
2.3.2  DOS引导程序    70
2.3.3  Windows 2000/XP启动过程简介    71
2.4  中断    72
2.4.1  中断简介    73
2.4.2  中断优先权    73
2.4.3  中断向量表    73
2.4.4  中断处理过程    75
2.4.5  中断与计算机病毒    76
2.5  内存管理    77
2.5.1  内存寻址技术的演变    77
2.5.2  DOS内存布局    78
2.5.3  保护模式与虚拟内存    79
2.5.4  Win32内存管理    82
2.6  EXE文件的格式    83
2.6.1  MZ文件格式    84
2.6.2  PE文件格式    86
课外阅读：CIH病毒始作俑者——陈盈豪其人    103
习题    105
第3章  病毒的逻辑结构与基本机制    106
3.1  计算机病毒的状态与基本环节    106
3.1.1  计算机病毒的状态    106
3.1.2  计算机病毒的基本环节    108
3.2  计算机病毒的基本结构    108
3.2.1  一个简单的计算机病毒    108
3.2.2  计算机病毒的逻辑结构    109
3.3  计算机病毒的传播机制    111
3.3.1  病毒实施感染的前提条件    111
3.3.2  病毒的感染对象和感染过程    112
3.3.3  引导型病毒传染机理    113
3.3.4  文件型病毒传染机理    113
3.3.5  混合感染和交叉感染    114
3.4  文件型病毒的感染方式    115
3.4.1  寄生感染    115
3.4.2  无入口点感染    118
3.4.3  滋生感染    120
3.4.4  链式感染    120
3.4.5  OBJ、LIB和源码的感染    121
3.5  计算机病毒的触发机制    121
3.6  计算机病毒的破坏机制    123
3.7  计算机病毒程序结构示例    125
课外阅读：Windows自动启动程序的十大藏身之所    155
习题    156
第4章  DOS病毒的基本原理与DOS病毒分析    157
4.1  病毒的重定位    157
4.1.1  病毒为什么需要重定位    158
4.1.2  病毒如何重定位    158
4.2  引导型病毒    159
4.2.1  引导型病毒的基本原理    159
4.2.2  引导型病毒的触发与INT 13H    160
4.2.3  引导型病毒样例分析    162
4.2.4  引导型病毒的特点与清除    167
4.3  文件型病毒    168
4.3.1  文件型病毒的基本原理    168
4.3.2  感染COM文件    169
4.3.3  感染EXE文件    177
4.4  混合型病毒的基本原理    181
课外阅读：后病毒时代，黑客与病毒共舞    182
习题    184
第5章  Windows病毒分析    185
5.1  PE病毒原理    185
5.1.1  获取API函数地址    186
5.1.2  搜索感染目标文件    189
5.1.3  内存映射文件    190
5.1.4  病毒感染PE文件的基本方法    191
5.1.5  病毒返回到HOST程序的方法    193
5.1.6  PE概念病毒感染分析    193
5.1.7  示例病毒感染测试与手工修复    212
5.1.8  CIH病毒分析    215
5.2  脚本病毒    219
5.2.1  WSH简介    219
5.2.2  脚本病毒的特点    223
5.2.3  脚本病毒原理分析    224
5.2.4  网页背后的秘密    234
5.2.5  脚本病毒的防范    235
5.2.6  爱虫病毒分析    236
5.3  宏病毒    246
5.3.1  宏病毒简介    247
5.3.2  宏病毒的基本原理    247
5.3.3  宏病毒的防治    255
5.3.4  梅丽莎病毒分析    256
课外阅读：关于NTFS文件系统中的数据流问题    260
习题    263
第6章  网络蠕虫    264
6.1  蠕虫的起源及其定义    264
6.1.1  蠕虫的起源    265
6.1.2  蠕虫的原始定义    265
6.1.3  计算机病毒的原始定义    265
6.1.4  蠕虫与病毒之间的区别及联系    266
6.1.5  蠕虫定义的进一步说明    266
6.2  蠕虫的分类与漏洞    267
6.2.1  蠕虫的分类    267
6.2.2  蠕虫与漏洞    267
6.3  蠕虫的基本原理    269
6.3.1  蠕虫的基本结构    269
6.3.2  蠕虫的工作方式与扫描策略    270
6.3.3  蠕虫的传播模型    272
6.3.4  蠕虫的行为特征    273
6.3.5  蠕虫技术的发展    275
6.4  蠕虫的防治    275
6.4.1  蠕虫的防治策略    275
6.4.2  蠕虫的防治周期    276
6.4.3  蠕虫的检测与清除    277
6.5 “冲击波清除者”分析    279
6.5.1 “冲击波清除者”概述    279
6.5.2 “冲击波清除者”主代码分析    280
课外阅读：缓冲区溢出与病毒攻击原理    286
习题    289
第7章  特洛伊木马    290
7.1  特洛伊木马概述    290
7.1.1  特洛伊木马的定义    290
7.1.2  特洛伊木马的结构    291
7.1.3  特洛伊木马的基本原理    291
7.1.4  特洛伊木马的传播方式    295
7.1.5  特洛伊木马的危害    295
7.2  特洛伊木马的特性与分类    296
7.2.1  特洛伊木马的特性    296
7.2.2  特洛伊木马的分类    298
7.3  特洛伊木马的伪装、隐藏与启动    300
7.3.1  木马的伪装方式    300
7.3.2  木马的隐藏方式    301
7.3.3  木马的启动方式    302
7.4  透视木马开发技术    304
7.4.1  特洛伊木马技术的发展    304
7.4.2  木马程序的自动启动技术    305
7.4.3  木马的伪隐藏技术    305
7.4.4  木马的真隐藏技术    307
7.4.5  木马的秘密信道技术    314
7.4.6  木马的远程监控技术    317
7.5  检测和清除特洛伊木马    320
7.5.1  中木马后常出现的状况    320
7.5.2  检测和清除木马的方法    321
7.5.3  木马“广外女生”的分析和清除    323
课外阅读：CIH病毒原理的应用——物理内存的读写    324
习题    327
第8章  计算机病毒常用技术综述    328
8.1  计算机病毒的隐藏技术    329
8.1.1  引导型病毒的隐藏技术    329
8.1.2  文件型病毒的隐藏技术    330
8.1.3  宏病毒的隐藏技术    331
8.1.4  Windows病毒的隐藏技术    331
8.2  病毒的加密与多态技术    332
8.2.1  加密解密技术与病毒的多态性    332
8.2.2  使用改变可执行代码技术的多态病毒    334
8.2.3  多态性的级别    335
8.2.4  多态病毒的原理    335
8.2.5  多态病毒的对抗    341
8.3  EPO技术简介    341
8.4  病毒进入系统核心态的方法    342
8.4.1  核心态与用户态    342
8.4.2  病毒进入系统核心态的方法    343
8.5  病毒驻留内存技术    345
8.5.1  DOS环境下文件型病毒的内存驻留    345
8.5.2  引导区病毒的内存驻留    346
8.5.3  Windows环境下病毒的内存驻留    347
8.5.4  宏病毒的内存驻留方法    348
8.6  计算机病毒截获系统操作的方法    348
8.6.1  DOS病毒截获系统服务的方法    348
8.6.2  Windows病毒截获系统服务的方法    348
8.7  计算机病毒直接API调用与异常处理技术    350
8.7.1  直接API调用技术    350
8.7.2  异常处理    351
8.8  计算机病毒的反调试、反跟踪、反分析技术    354
8.8.1  防调试器技术    354
8.8.2  反静态分析技术——花指令    355
8.8.3  其他技术    358
课外阅读：32位代码优化常识    359
习题    367
第9章  计算机病毒的检测、清除与免疫    368
9.1  反病毒技术综述    368
9.1.1  反病毒技术的产生与发展简介    368
9.1.2  计算机病毒防治技术的划分    370
9.2  计算机病毒的防范策略    371
9.2.1  计算机病毒防范的概念    371
9.2.2  必须具有的安全意识    371
9.2.3  预防计算机病毒的一般措施    372
9.3  计算机病毒的诊断方法及其原理    374
9.3.1  病毒检测方法综述    374
9.3.2  比较法诊断的原理    375
9.3.3  校验和法诊断的原理    375
9.3.4  扫描法诊断的原理    376
9.3.5  行为监测法诊断的原理    377
9.3.6  感染实验法诊断的原理    378
9.3.7  软件模拟法诊断的原理    379
9.3.8  分析法诊断的原理    380
9.4  启发式代码扫描技术    380
9.4.1  启发式代码扫描的基本原理    380
9.4.2  可疑程序功能及其权值与相应标志    381
9.4.3  关于虚警    382
9.4.4  传统扫描技术与启发式扫描技术的结合    384
9.4.5  启发式检测技术与反病毒技术发展趋势    385
9.5  虚拟机查毒技术    385
9.5.1  虚拟机简介    385
9.5.2  查毒虚拟机的基本原理    386
9.5.3  单步断点跟踪与虚拟执行    387
9.5.4  虚拟机的设计方案    388
9.5.5  反虚拟机技术    389
9.6  病毒实时监控技术    390
9.6.1  实时监控技术简介    390
9.6.2  病毒实时监控的基本原理及其设计难点    391
9.7  计算机病毒的清除    393
9.7.1  清除病毒的一般方法    393
9.7.2  引导型病毒的清除    394
9.7.3  文件型病毒的清除    394
9.8  计算机病毒的免疫技术    396
9.8.1  重入检测和病毒免疫    396
9.8.2  计算机病毒免疫的方法及其缺点    396
9.8.3  数字免疫系统简介    397
课外阅读：VxD技术及其在实时反病毒中的应用    399
习题    402
第10章  UNIX/Linux病毒与手机病毒简介    403
10.1  Linux系统启动过程    403
10.2  ELF文件格式    404
10.2.1  目标文件    405
10.2.2  ELF头    406
10.2.3  节    408
10.2.4  字符串表    413
10.2.5  符号表    414
10.2.6  重定位    415
10.2.7  程序载入和动态链接概述    418
10.3  UNIX病毒概述    423
10.3.1  有关UNIX病毒的几个误区    423
10.3.2  Shell脚本与病毒    424
10.3.3  蠕虫    424
10.3.4  欺骗库函数    425
10.3.5  UNIX/Linux的安全现状    426
10.4  基于ELF的计算机病毒    427
10.4.1  病毒机理    427
10.4.2  一个Linux病毒原型分析    429
10.5  手机病毒简介    433
10.5.1  手机病毒原理    433
10.5.2  手机病毒的攻击方式及危害    434
10.5.3  手机漏洞分析    434
10.5.4  手机病毒的发展趋势    436
10.5.5  手机病毒的防范    436
习题    437
附录A  中华人民共和国计算机信息系统安全保护条例    438
附录B  计算机病毒防治管理办法    441
附录C  DOS功能调用一览表    444
参考文献    450