《计算机病毒与反病毒技术》PDF下载

第1章 引论 1

1．1 莫里斯事件 1

1．2 病毒大事记 2

1．3 计算机脆弱性和病毒起因 6

1．3．1 脆弱的计算机系统 6

1．3．2 脆弱的MS-DOS 7

1．3．3 恶作剧论 8

1．3．4 加密既然如此阱论 9

1．3．5 游戏程序起源说 9

1．4 冯·诺依曼体系一计算机病毒 10

1．5 信息共享与计算机病毒 10

第2 章 计算机病毒基本概念 12

2．1 病毒定义 12

2．1．1 Fred Cohen这义 12

2．1．2 Dean Dennis Longly 和Michael Shain定义 12

2．1．3 其他论述 13

2．1．4 对Fred Cohen定义的新理解 13

2．2 病毒的基本特性 14

2．2．1 感染性 14

2．2．2 潜伏性 14

2．2．3 可触发性 15

2．2．4 破坏性 15

2．3 病毒的一般特性 16

2．3．1 病毒的杠杆效应 16

2．3．2 传播速度快 16

2．3．3 难于扑灭 16

2．3．4 载体特性 17

2．3．5 检测困难 17

2．4 计算机病毒的结构 17

2．4．1 感染标记 17

2．4．2 感染模块 18

2．4．3 破坏模块 18

2．4．4 触发模块 18

2．4．5 主控模埠 18

2．4．6 病毒程序结构举例 19

2．4．7 压缩病毒程序例 20

2．5 计算机病毒分类 20

2．5．1 按感染方式分类 20

2．5．2 按功能分类 21

2．5．3 按感染、能力分类 23

2．5．4 按感染目标分类 23

2．5．5 按链接方式分类 24

2．5．6 链式病毒 25

2．5．7 计算机细菌 25

第3章 计算机病毒的感染机制 27

3．1 美观毒感染目标 27

3．2 病毒感染的一般过程 27

3．2．1 病毒宿主程序和控制权 27

3．2．2 病毒常驻内存 29

3．2．3 修改中断 29

3．3 感染长度 30

3．4 单次感染 31

3．5 重复感染 31

3．5．1 简单人重复感染 31

2．5．2 有限次数重复感染 32

3．5．3 变长度重复感染 32

3．5．4 变位重复感染 32

3．6 寄生感染和滋生感染 33

3．7 综合感染 34

3．8 交叉感染 34

3．9 插入感染 35

3．10 逆插入感染 36

3．11 替代感染 37

3．12 携带感染 37

3．13 链式感染 37

3．14 零长度感染 38

3．15 破坏性感染 39

3．16 系统隐含文件的感染 40

第4章 计算机病毒的触发机制 42

4．1 触发条件 42

4．2 日期触发 42

4．2．1 特定日期触发 43

4．2．2 月份触发 43

4．2．3 前半年、后半年触发 43

4．3 时间触发 44

4．4 键盘触发 44

4．5 感染触发 45

4．5．1 运行感染文件个数触发 45

4．5．2 感染序列数触发 45

4．5．3 感染磁盘数触发 45

4．5．4 感染失败触发 46

4．6 启动触发 46

4．7 访问磁盘次数触发 46

4．8 调用中断功能触发 46

4．9 CPU型号触发 47

4．10 FLIP病毒激少条件分析 47

第5章 计算机病毒的破坏行为 49

5．1 攻击系统数据区 49

5．2 攻击文件 51

5．2．1 删除文件 51

5．2．2 更改文件名 51

5．2．3 替换内容 51

5．2．4 技失部分代码 52

5．2．5 内容颠倒 52

5．2．6 写入时间变空白 52

5．2．7 变碎片 52

5．2．8 假冒文件 53

5．2．9 丢失文件簇 53

5．2．10 攻击数据文件 53

5．3 攻击内存 53

5．3．1 占用大量内存 54

5．3．2 改变内存总量 54

5．3．3 禁止分配内存 54

5．3．4 蚕食内存 54

5．4 干扰系统的运行 55

5．4．1 不执行命令 55

5．4．2 干扰内部命令的执行 55

5．4．3 虚拟报警 55

5．4．4 打不开文件 56

5．4．5 内部栈溢出 56

5．4．6 占用特殊数据区 56

5．4．7 换现行盘 56

5．4．8 时钟倒转 57

5．4．9 重启动 57

5．4．10 死机 57

5．4．11 强制游戏 57

5．4．12 颀乱串并行口 58

5．5 速度上降 58

5．6 攻击磁盘 58

5．6．1 下写盘 58

5．6．2 写操作改为读操作 58

5．6．3 写盘时丢字节 58

5．7 扰乱民间幕显示 59

5．7．1 字符跌落 59

5．7．2 环绕 59

5．73 倒置 59

5．．7．4 显示前一屏 60

5．7．5 光标下跌 60

5．7．6 滚动 60

5．7．7 抖动 60

5．7．8 乱写屏幕 60

5．7．9 吃字符 60

5．8 键盘 61

5．8．1 响铃 61

5．8．2 封锁键盘 61

5．8．3 换字 61

5．8．4 抹掉缓存区字符 62

5．8．5 重复 62

5．8．6 输入紊乱 62

5．9 嗽叭 62

5．9．1 演奏曲子 62

5．9．2 警笛声 63

5．9．3 炸弹噪声 63

5．9．4 鸣叫 63

5．9．5 咔咔声 63

5．9．6 嘀嗒声 63

5．10攻击CMOS 63

5．1．1 干扰打印机 64

5．1．11假报警 64

5．1．12 间断性打印 64

5．1．13 更换字符 64

第6章 病毒演化与病毒家族 65

6．1 程序演化 65

6．2 病毒演化 65

6．2．1 病毒演化不确定性 65

6．2．2 病毒演化的后果 66

6．2．3 谨慎处理病毒样本 67

6．3 病毒变种 67

6．4 病毒变种类型 67

6．5 病毒家族 67

6．5．1 Vienna病毒家族 68

6．5．2 Jerusalem家族 68

6．6 病毒家族的相互识别 70

6．6．1 亲密家族和松散家族 70

6．6．2 Vienna-Yankee家族 71

6．7 病毒相克——互相攻击 71

6．8 病毒相生——互相救助 72

第7章 病毒与密码技术 74

7．1 密码概念 74

7．1．1 密码系统应具备的条件 74

7．1．2 密码系统的种类 75

7．2 对称型密码系统与DES系统 76

7．2．1 称位法 76

7．2．2 换字法 76

7．2．3 DES密码系统 76

7．3 公开密钥系统 77

7．3．1 公开密钥系统的具体实现 77

7．3．2 MH法 78

7．3．3 RSA法 78

第8章 蠕虫 80

8．1 什么是蠕虫 80

8．2 莫里斯蠕虫 81

8．2．1 Arpanet网络 81

8．2．2 蠕虫工作原量 81

8．2．3 蠕虫入侵一瞬 82

8．2．4 蠕虫蔓延过程 83

8．3 莫里斯蠕虫的消除 83

8．4 莫里斯蠕虫的经济损失 84

8．5 审判中的新问题 84

8．6 莫里斯事件的反啊 84

第9章 病毒的隐蔽技术和欺骗行为 86

9．1 变化隐蔽 86

9．2 脱皮技术 86

9．3 病毒自杀 87

9．4 病毒密码 87

9．5 隐蔽型病毒病例——4049病毒 88

9．6 隐蔽技术的危害 93

第10章 病毒技术的新动向 94

10．1 隐蔽型病毒 95

10．2 多态性病毒 95

10．3 病毒自支图形成技术 97

10．4 越级病毒 98

10．5 绝症——破坏性感染病毒 98

第11章 第病毒技术 100

11．1 一般预防对策 100

11．2 病毒征兆 101

11．3 反病毒处理 103

11．3．1 诊断 103

11．3．2 病毒的清除 107

11．3．3 免疫处理 111

11．4 病毒的预防 112

11．4．1 反病毒工具 115

第12章 病毒检测 117

12．1 特征代码法 117

12．2 校验和法 118

12．3 行为监测法 119

12．4 多态性病毒检测——软件模拟法 120

12．5 感染实验法 120

12．6 病毒检测工具一览 121

12．7 SCAN 122

12．8 病毒检测实验 125

第13章 病毒的消除 136

13．1 消毒的可能性 136

13．1．1 引导型病毒的消毒 136

13．1．2 文件型病毒的消毒 136

13．2 交叉感染时的消毒 137

13．2．1 EXE型文件交叉感染 137

13．2．2 COM型文件交叉感染 137

13．3 病毒治疗软件的研制 139

13．4 治疗工具CLEAN-UP 140

13．5 病毒治疗实验 144

13．5．1 DISK KILLER（磁盘杀手） 144

13．5．2 Michelangelo（米开郎基罗） 146

13．5．3 Jerusalem 149

13．5．4 Vinenna 病毒（维也纳） 152

13．5．5 1701/1704-b 病毒（雨点） 155

13．5．6 Yankee Doodle（扬基歇） 160

13．5．7 4096病毒（100年） 163

13．5．8 Ping Pong（小球） 165

13．5．9 Mart juana（大麻） 168

第14章 病毒预防 170

14．1 硬件引起的数据病毒 170

14．2 硬盘数据备份 171

14．2．1 使用DEBUG保存硬舯主引导扇区 171

14．2．2 使用DEBUG保存硬盘的Boot扇区 172

14．2．3 使用 DEBUG保存硬盘的FAT表，文件目录 173

14．2．4 使用Mirror命令 175

14．3 硬盘系统数据修复 175

14．3．1 回写硬盘主引导扇区 176

14．3．2 回写硬盘Boot扇区 176

14．3．3 回写硬盘FAT表、根目录 177

14．3．4 Unformat的使用 177

14．4 磁盘读写监视 178

14．5 行为准则监视技术 178

14．6 类病毒行为和误报警 178

14．7 CD-ROM光盘——病毒新载体 179

第15章 世界流行的MS-DOS病毒 180

151 154 种病毒特性 180

15．．2 2728 种病毒的新信息 198

15．3 病毒技术的新动向和反病毒技术的困惑 234

15．3．1 从backer谈起 235

15．3．2 病毒检查技术的局限 235

15．3．3 隐藏性病毒技术 236

15．3．4 多态性病毒技术 236

15．3．5 插入型病毒技术 237

15．3．6 超级病毒 237

15．3．7 病毒检测工具的杀手——病毒自动生产技术 238

15．3．8 杀毒工具的困惑——夏天坏感染病毒 238

15．3．9 对反病毒技术的期望 239

15．3．10 笔者的有关研究 239

结束语 241