计算机病毒与反病毒技术PDF电子书下载

第1章　计算机病毒概述 1

1.1　计算机病毒的定义 1

目录 1

1.2　计算机病毒的基本特征与本质 3

1.2.1　计算机病毒的基本特征 3

1.2.2　计算机病毒的本质 6

1.3　计算机病毒的分类 7

1.3.1　分类的目的 7

1.3.3　按照计算机病毒攻击的操作系统分类 8

1.3.2　按照计算机病毒的破坏能力、破坏情况分类 8

1.3.4　按照计算机病毒攻击的机型分类 9

1.3.5　按照计算机病毒特有的算法分类 10

1.3.6　按照计算机病毒的链接方式分类 10

1.3.7　按照计算机病毒的传播媒介分类 11

1.3.8　按照计算机病毒的寄生对象和驻留方式分类 11

1.4　恶意程序、蠕虫与木马 12

1.4.1　恶意程序 12

1.4.2　蠕虫 13

1.4.3　特洛伊木马 14

1.5　计算机病毒的命名规则 15

1.5.1　通用命名规则 15

1.5.2　国际上对病毒命名的惯例 16

1.5.3　病毒命名亟待进一步规范、统一 19

1.6　计算机病毒的危害与症状 20

1.6.1　计算机病毒的危害 20

1.6.2　计算机病毒的症状 22

1.6.3　计算机病毒症状与计算机故障区别 25

1.7　计算机病毒的传播途径 29

1.8　计算机病毒的生命周期 30

1.9　计算机病毒的发展简史 31

1.9.1　病毒的起源 31

1.9.2　病毒的发展阶段 35

1.9.3　计算机病毒的新特点 37

1.9.4　导致计算机病毒产生的社会渊源 39

1.9.5　计算机病毒存在的必然性、长期性 40

1.10　计算机病毒的基本防治 41

课外阅读：中国计算机病毒狂潮实录 42

1.11　研究计算机病毒的基本原则 42

习题 46

第2章　预备知识 47

2.1　硬盘结构简介 47

2.1.1　硬盘的物理结构 48

2.1.2　硬盘的数据结构 51

2.1.3　扩展分区与扩展MBR简介 55

2.2.1　文件系统简介 58

2.2　文件系统 58

2.2.2　FAT32 DBR 60

2.2.3　保留扇区 62

2.2.4　FAT16与FAT32 63

2.2.5　NTFS文件系统 66

2.3　计算机的启动过程 69

2.3.1　系统启动过程简介 69

2.3.2　DOS引导程序 70

2.3.3　Windows 2000/XP启动过程简介 71

2.4　中断 72

2.4.1 中断简介 73

2.4.2　中断优先权 73

2.4.3 中断向量表 73

2.4.4　中断处理过程 75

2.4.5　中断与计算机病毒 76

2.5 内存管理 77

2.5.1 内存寻址技术的演变 77

2.5.2　DOS内存布局 78

2.5.3　保护模式与虚拟内存 79

2.5.4　Win32内存管理 82

2.6　EXE文件的格式 83

2.6.1 MZ文件格式 84

2.6.2　PE文件格式 86

课外阅读：CIH病毒始作俑者——陈盈豪其人 103

习题 105

3.1.1　计算机病毒的状态 106

3.1　计算机病毒的状态与基本环节 106

第3章　病毒的逻辑结构与基本机制 106

3.1.2　计算机病毒的基本环节 108

3.2　计算机病毒的基本结构 108

3.2.1 一个简单的计算机病毒 108

3.2.2　计算机病毒的逻辑结构 109

3.3　计算机病毒的传播机制 111

3.3.1 病毒实施感染的前提条件 111

3.3.2　病毒的感染对象和感染过程 112

3.3.3 引导型病毒传染机理 113

3.3.4　文件型病毒传染机理 113

3.3.5　混合感染和交叉感染 114

3.4　文件型病毒的感染方式 115

3.4.1　寄生感染 115

3.4.2　无入口点感染 118

3.4.3 滋生感染 120

3.4.4　链式感染 120

3.5　计算机病毒的触发机制 121

3.4.5　OBJ、LIB和源码的感染 121

3.6　计算机病毒的破坏机制 123

3.7　计算机病毒程序结构示例 125

课外阅读：Windows自动启动程序的十大藏身之所 155

习题 156

第4章　DOS病毒的基本原理与DOS病毒分析 157

4.1　病毒的重定位 157

4.1.2　病毒如何重定位 158

4.1.1　病毒为什么需要重定位 158

4.2　引导型病毒 159

4.2.1 引导型病毒的基本原理 159

4.2.2　引导型病毒的触发与INT 13H 160

4.2.3 引导型病毒样例分析 162

4.2.4 引导型病毒的特点与清除 167

4.3　文件型病毒 168

4.3.1 文件型病毒的基本原理 168

4.3.2　感染COM文件 169

4.3.3　感染EXE文件 177

4.4　混合型病毒的基本原理 181

课外阅读：后病毒时代，黑客与病毒共舞 182

习题 184

第5章　Windows病毒分析 185

5.1　PE病毒原理 185

5.1.1　获取API函数地址 186

5.1.2　搜索感染目标文件 189

5.1.3 内存映射文件 190

5.1.4　病毒感染PE文件的基本方法 191

5.1.6　PE概念病毒感染分析 193

5.1.5　病毒返回到HOST程序的方法 193

5.1.7　示例病毒感染测试与手工修复 212

5.1.8　CIH病毒分析 215

5.2　脚本病毒 219

5.2.1　WSH简介 219

5.2.2　脚本病毒的特点 223

5.2.3　脚本病毒原理分析 224

5.2.4　网页背后的秘密 234

5.2.5　脚本病毒的防范 235

5.2.6　爱虫病毒分析 236

5.3　宏病毒 246

5.3.1　宏病毒简介 247

5.3.2　宏病毒的基本原理 247

5.3.3　宏病毒的防治 255

5.3.4　梅丽莎病毒分析 256

课外阅读：关于NTFS文件系统中的数据流问题 260

习题 263

6.1　蠕虫的起源及其定义 264

第6章　网络蠕虫 264

6.1.1　蠕虫的起源 265

6.1.2　蠕虫的原始定义 265

6.1.3　计算机病毒的原始定义 265

6.1.4　蠕虫与病毒之间的区别及联系 266

6.1.5　蠕虫定义的进一步说明 266

6.2　蠕虫的分类与漏洞 267

6.2.1　蠕虫的分类 267

6.2.2　蠕虫与漏洞 267

6.3.1　蠕虫的基本结构 269

6.3　蠕虫的基本原理 269

6.3.2　蠕虫的工作方式与扫描策略 270

6.3.3　蠕虫的传播模型 272

6.3.4　蠕虫的行为特征 273

6.3.5　蠕虫技术的发展 275

6.4　蠕虫的防治 275

6.4.1　蠕虫的防治策略 275

6.4.2　蠕虫的防治周期 276

6.4.3　蠕虫的检测与清除 277

6.5　“冲击波清除者”分析 279

6.5.1　“冲击波清除者”概述 279

6.5.2　“冲击波清除者”主代码分析 280

课外阅读：缓冲区溢出与病毒攻击原理 286

习题 289

第7章　特洛伊木马 290

7.1　特洛伊木马概述 290

7.1.1　特洛伊木马的定义 290

7.1.3　特洛伊木马的基本原理 291

7.1.2　特洛伊木马的结构 291

7.1.4　特洛伊木马的传播方式 295

7.1.5　特洛伊木马的危害 295

7.2　特洛伊木马的特性与分类 296

7.2.1　特洛伊木马的特性 296

7.2.2　特洛伊木马的分类 298

7.3　特洛伊木马的伪装、隐藏与启动 300

7.3.1　木马的伪装方式 300

7.3.2　木马的隐藏方式 301

7.3.3　木马的启动方式 302

7.4　透视木马开发技术 304

7.4.1　特洛伊木马技术的发展 304

7.4.2　木马程序的自动启动技术 305

7.4.3 木马的伪隐藏技术 305

7.4.4　木马的真隐藏技术 307

7.4.5　木马的秘密信道技术 314

7.4.6　木马的远程监控技术 317

7.5.1 中木马后常出现的状况 320

7.5　检测和清除特洛伊木马 320

7.5.2　检测和清除木马的方法 321

7.5.3　木马“广外女生”的分析和清除 323

课外阅读：CIH病毒原理的应用——物理内存的读写 324

习题 327

第8章　计算机病毒常用技术综述 328

8.1　计算机病毒的隐藏技术 329

8.1.1 引导型病毒的隐藏技术 329

8.1.2　文件型病毒的隐藏技术 330

8.1.4　Windows病毒的隐藏技术 331

8.1.3　宏病毒的隐藏技术 331

8.2　病毒的加密与多态技术 332

8.2.1 加密解密技术与病毒的多态性 332

8.2.2　使用改变可执行代码技术的多态病毒 334

8.2.3　多态性的级别 335

8.2.4　多态病毒的原理 335

8.2.5　多态病毒的对抗 341

8.3　EPO技术简介 341

8.4.1　核心态与用户态 342

8.4　病毒进入系统核心态的方法 342

8.4.2　病毒进入系统核心态的方法 343

8.5　病毒驻留内存技术 345

8.5.1　DOS环境下文件型病毒的内存驻留 345

8.5.2　引导区病毒的内存驻留 346

8.5.3　Windows环境下病毒的内存驻留 347

8.5.4　宏病毒的内存驻留方法 348

8.6　计算机病毒截获系统操作的方法 348

8.6.1　DOS病毒截获系统服务的方法 348

8.6.2　Windows病毒截获系统服务的方法 348

8.7　计算机病毒直接API调用与异常处理技术 350

8.7.1 直接API调用技术 350

8.7.2　异常处理 351

8.8　计算机病毒的反调试、反跟踪、反分析技术 354

8.8.1 防调试器技术 354

8.8.2　反静态分析技术——花指令 355

8.8.3　其他技术 358

课外阅读：32位代码优化常识 359

习题 367

第9章　计算机病毒的检测、清除与免疫 368

9.1　反病毒技术综述 368

9.1.1 反病毒技术的产生与发展简介 368

9.1.2　计算机病毒防治技术的划分 370

9.2　计算机病毒的防范策略 371

9.2.1　计算机病毒防范的概念 371

9.2.2　必须具有的安全意识 371

9.2.3　预防计算机病毒的一般措施 372

9.3　计算机病毒的诊断方法及其原理 374

9.3.1　病毒检测方法综述 374

9.3.2 比较法诊断的原理 375

9.3.3　校验和法诊断的原理 375

9.3.4　扫描法诊断的原理 376

9.3.5　行为监测法诊断的原理 377

9.3.6　感染实验法诊断的原理 378

9.3.7　软件模拟法诊断的原理 379

9.4.1 启发式代码扫描的基本原理 380

9.3.8　分析法诊断的原理 380

9.4　启发式代码扫描技术 380

9.4.2　可疑程序功能及其权值与相应标志 381

9.4.3 关于虚警 382

9.4.4　传统扫描技术与启发式扫描技术的结合 384

9.4.5 启发式检测技术与反病毒技术发展趋势 385

9.5　虚拟机查毒技术 385

9.5.1　虚拟机简介 385

9.5.2　查毒虚拟机的基本原理 386

9.5.3 单步断点跟踪与虚拟执行 387

9.5.4　虚拟机的设计方案 388

9.5.5　反虚拟机技术 389

9.6　病毒实时监控技术 390

9.6.1 实时监控技术简介 390

9.6.2　病毒实时监控的基本原理及其设计难点 391

9.7　计算机病毒的清除 393

9.7.1　清除病毒的一般方法 393

9.7.3 文件型病毒的清除 394

9.7.2　引导型病毒的清除 394

9.8　计算机病毒的免疫技术 396

9.8.1 重入检测和病毒免疫 396

9.8.2　计算机病毒免疫的方法及其缺点 396

9.8.3　数字免疫系统简介 397

课外阅读：VxD技术及其在实时反病毒中的应用 399

习题 402

10.1 Linux系统启动过程 403

第10章　UNIX/Linux病毒与手机病毒简介 403

10.2　ELF文件格式 404

10.2.1 目标文件 405

10.2.2　ELF头 406

10.2.3 节 408

10.2.4　字符串表 413

10.2.5 符号表 414

10.2.6　重定位 415

10.2.7　程序载入和动态链接概述 418

10.3.1 有关UNIX病毒的几个误区 423

10.3　UNIX病毒概述 423

10.3.2　Shell脚本与病毒 424

10.3.3　蠕虫 424

10.3.4　欺骗库函数 425

10.3.5　UNIX/Linux的安全现状 426

10.4　基于ELF的计算机病毒 427

10.4.1　病毒机理 427

10.4.2　一个Linux病毒原型分析 429

10.5.1　手机病毒原理 433

10.5　手机病毒简介 433

10.5.2　手机病毒的攻击方式及危害 434

10.5.3　手机漏洞分析 434

10.5.4　手机病毒的发展趋势 436

10.5.5　手机病毒的防范 436

习题 437

附录A 中华人民共和国计算机信息系统安全保护条例 438

附录B　计算机病毒防治管理办法 441

附录C　DOS功能调用一览表 444

参考文献 450