恶意代码与计算机病毒 原理、技术和实践PDF电子书下载

第1章 恶意代码概述 1

1.1 恶意代码的产生 1

1.2 恶意代码的概念 2

1.3 恶意代码的发展历史 3

1.4 恶意代码的种类 7

1.5 恶意代码的传播途径 11

1.6 感染恶意代码的症状 13

1.6.1 恶意代码的表现现象 13

1.6.2 与恶意代码现象类似的硬件故障 16

1.6.3 与恶意代码现象类似的软件故障 17

1.7 恶意代码的命名规则 17

1.8 恶意代码的最新发展趋势 19

1.9 习题 21

第2章 恶意代码模型及机理 22

2.1 基本定义 22

2.2 基于图灵机的传统计算机病毒模型 24

2.2.1 随机访问计算机模型 24

2.2.2 随机访问存储程序模型 26

2.2.3 图灵机模型 26

2.2.4 带后台存储的RASPM模型 27

2.2.5 操作系统模型 32

2.2.6 基于RASPM＿ABS的病毒 33

2.3 基于递归函数的计算机病毒的数学模型 37

2.3.1 Adlemen病毒模型 38

2.3.2 Adlemen病毒模型的分析 38

2.4 Internet蠕虫传播模型 39

2.4.1 SIS模型和SI模型 40

2.4.2 SIR模型 40

2.4.3 网络模型中蠕虫传播的方式 42

2.5 恶意代码预防理论模型 42

2.6 传统计算机病毒的结构和工作机制 44

2.6.1 引导模块 45

2.6.2 感染模块 45

2.6.3 破坏模块 46

2.6.4 触发模块 47

2.7 习题 48

第3章 传统计算机病毒 49

3.1 引导型病毒编制技术 50

3.1.1 引导型病毒编制原理 50

3.1.2 引导型病毒实验 51

3.2 16位可执行文件病毒编制技术 55

3.2.1 16位可执行文件结构及运行原理 55

3.2.2 COM文件病毒原理 58

3.2.3 COM文件病毒实验 58

3.3 32位可执行文件病毒编制技术 61

3.3.1 PE文件结构及其运行原理 62

3.3.2 PE文件型病毒关键技术 62

3.3.3 从Ring3到Ring0的简述 68

3.3.4 PE文件格式实验 69

3.4 综合实验一：32位文件型病毒实验 69

3.5 习题 70

第4章 宏病毒 71

4.1 宏病毒概述 71

4.1.1 宏病毒的运行环境 72

4.1.2 宏病毒的特点 72

4.1.3 经典宏病毒 73

4.1.4 宏病毒的共性 75

4.2 宏病毒的作用机制 75

4.2.1 Word中的宏 75

4.2.2 Word宏语言 77

4.2.3 宏病毒关键技术 78

4.2.4 宏复制实验 80

4.3 Word宏病毒查杀 81

4.3.1 人工发现宏病毒的方法 81

4.3.2 手工清除宏病毒的方法 81

4.3.3 宏病毒查杀方法 82

4.3.4 宏病毒清除工具 83

4.4 预防宏病毒 84

4.5 综合实验二：类TaiWan NO.1 病毒实验 84

4.6 习题 85

第5章 特洛伊木马 86

5.1 基本概念 86

5.1.1 木马的定义 86

5.1.2 木马的分类 88

5.1.3 远程控制、木马与病毒 89

5.1.4 木马的工作流程 89

5.1.5 木马的技术发展 90

5.2 简单木马程序实验 91

5.2.1 自动隐藏 93

5.2.2 自动加载 94

5.2.3 实现Server端功能 95

5.2.4 实现Client端功能 99

5.2.5 实施阶段 101

5.3 木马程序的关键技术 101

5.3.1 植入技术 101

5.3.2 自启动技术 104

5.3.3 隐藏技术 107

5.3.4 远程线程插入实验 116

5.3.5 其他技术 117

5.4 木马防范技术 122

5.4.1 防治特洛伊木马基本知识 122

5.4.2 几种常见木马病毒的杀除方法 124

5.4.3 已知木马病毒的端口列表 126

5.5 综合实验 127

5.5.1 综合实验三：网站挂马实验 127

5.5.2 综合实验四：BO2K木马实验 130

5.5.2 综合实验五：木马病毒清除实验 131

5.6 习题 131

第6章 Linux恶意代码技术 133

6.1 Linux系统的公共误区 134

6.2 Linux系统病毒分类 134

6.3 Shell恶意脚本 135

6.3.1 Shell恶意脚本编制技术 136

6.3.2 Shell恶意脚本实验 139

6.4 ELF文件格式 139

6.5 ELF格式文件感染原理 140

6.5.1 无关ELF格式的感染方法 140

6.5.2 利用ELF格式的感染方法 143

6.5.3 高级感染技术 149

6.6 Linux ELF病毒实例 151

6.6.1 病毒技术汇总 151

6.6.2 原型病毒实现 157

6.7 综合实验六：Linux ELF病毒实验 165

6.8 习题 166

第7章 蠕虫 167

7.1 蠕虫的基本概念 167

7.1.1 蠕虫的分类 168

7.1.2 蠕虫和其他恶意代码的关系 168

7.1.3 蠕虫的危害 168

7.1.4 “震网”蠕虫 169

7.2 蠕虫的特征 170

7.3 蠕虫病毒的机理 171

7.4 基于RPC漏洞蠕虫 172

7.4.1 RPC漏洞 172

7.4.2 冲击波病毒 173

7.4.3 冲击波的Shellcode分析 174

7.4.4 冲击波实验 178

7.5 综合实验七：基于U盘传播的蠕虫实验 181

7.6 习题 183

第8章 移动智能终端恶意代码 184

8.1 移动终端恶意代码概述 184

8.2 智能手机操作系统及其弱点 186

8.2.1 常见的手机操作系统 186

8.2.2 手机操作系统的弱点 189

8.3 移动终端恶意代码关键技术 189

8.3.1 移动终端恶意代码传播途径 190

8.3.2 移动终端恶意代码攻击方式 190

8.3.3 移动终端恶意代码生存环境 190

8.3.4 移动终端设备的漏洞 191

8.4 Android恶意功能开发实验 192

8.4.1 Android短信拦截 192

8.4.2 Android电话监听 194

8.5 移动终端恶意代码实例 195

8.6 移动终端恶意代码的防范 197

8.7 移动终端安全防护工具 198

8.7.1 国外移动终端安全防护工具 198

8.7.2 国内移动终端安全防护工具 199

8.8 综合实验八：Android手机木马实验 200

8.9 习题 200

第9章 其他恶意代码 202

9.1 流氓软件 202

9.1.1 流氓软件定义 202

9.1.2 应对流氓软件的政策 203

9.1.3 流氓软件的主要特征 203

9.1.4 流氓软件的发展过程 204

9.1.5 流氓软件的分类 205

9.2 利用Outlook漏洞的恶意代码 206

9.2.1 邮件型恶意代码的传播方式 207

9.2.2 邮件型恶意代码的传播原理 207

9.2.3 邮件型恶意代码的预防 210

9.3 WebPage中的恶意代码 211

9.3.1 脚本病毒基本类型 211

9.3.2 Web恶意代码的工作机理 211

9.3.3 Web恶意代码实验 214

9.4 僵尸网络 214

9.5 Rootkit恶意代码 218

9.6 综合实验九：邮件型恶意代码实验 221

9.7 习题 222

第10章 恶意代码防范技术 223

10.1 恶意代码防范技术的发展 223

10.2 中国恶意代码防范技术的发展 224

10.3 恶意代码防范思路 226

10.4 恶意代码的检测 227

10.4.1 恶意代码的检测原理 228

10.4.2 恶意代码的检测方法 232

10.4.3 自动检测程序核心部件 233

10.4.4 恶意代码查找实验 234

10.5 恶意代码的清除 236

10.5.1 恶意代码清除的原理 236

10.5.2 恶意代码的清除方法 237

10.6 恶意代码的预防 238

10.6.1 系统监控技术 238

10.6.2 源监控技术 239

10.6.3 个人防火墙技术 239

10.6.4 系统加固技术 240

10.7 恶意代码的免疫 240

10.7.1 恶意代码免疫的原理 240

10.7.2 免疫的方法及其特点 241

10.7.3 数字免疫系统 241

10.8 数据备份与数据恢复的意义 243

10.8.1 数据备份 243

10.8.2 数据恢复 247

10.8.3 数据恢复工具 249

10.9 综合实验十：恶意代码检测实验（OAV） 251

10.10 习题 251

第11章 常用杀毒软件及其解决方案 252

11.1 恶意代码防范产业发展 252

11.2 国内外反病毒软件评测机构 254

11.2.1 WildList 254

11.2.2 AV-Test 255

11.2.3 Virus Bulletin 255

11.2.4 AV-Comparatives 256

11.2.5 ICSA 256

11.2.6 WestCoastLabs 257

11.2.7 中国的反病毒软件评测机构 258

11.3 国内外著名杀毒软件比较 258

11.3.1 杀毒软件必备功能 258

11.3.2 流行杀毒产品比较 261

11.3.3 恶意代码防范产品的地缘性 262

11.4 企业级恶意代码防治方案 265

11.4.1 企业恶意代码防范需求 266

11.4.2 企业网络的典型结构 267

11.4.3 企业网络的典型应用 268

11.4.4 恶意代码在网络上传播的过程 269

11.4.5 企业网络恶意代码防范方案 270

11.5 习题 272

第12章 恶意代码防治策略 273

12.1 恶意代码防治策略的基本准则 273

12.2 国家层面上的防治策略 274

12.3 单机用户防治策略 275

12.3.1 一般技术措施 276

12.3.2 个人用户上网基本策略 276

12.4 如何建立安全的单机系统 277

12.4.1 打牢基础 277

12.4.2 选好工具 282

12.4.3 注意方法 283

12.4.4 应急措施 283

12.4.5 自我提高 283

12.5 企业用户防治策略 284

12.5.1 如何建立防御计划 284

12.5.2 执行计划 287

12.5.3 恶意代码扫描引擎相关问题 291

12.5.4 额外的防御工具 292

12.6 未来的防范措施 295

12.7 恶意代码犯罪相关法律法规基础 298

12.7.1 中华人民共和国刑法 298

12.7.2 中华人民共和国治安管理处罚法 299

12.7.3 计算机病毒防治管理办法（公安部51号令） 299

12.7.4 全国人民代表大会常务委员会关于维护互联网安全的决定 301

12.7.5 中华人民共和国计算机信息系统安全保护条例（国务院第147号令） 301

12.7.6 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 302

12.7.7 计算机信息网络国联网安全保护管理办法（公安部第33号令） 302

12.7.8 互联网上网服务营业场所管理条例（国务院第363号令） 303

12.8 习题 303

附录A 恶意代码相关网上资源 304

附录B 相关法律法规 306

参考文献 307