第1章 引论 1
1.1 莫里斯事件 1
1.2 病毒大事记 2
1.3 计算机脆弱性和病毒起因 6
1.3.1 脆弱的计算机系统 6
1.3.2 脆弱的MS-DOS 7
1.3.3 恶作剧论 8
1.3.4 加密既然如此阱论 9
1.3.5 游戏程序起源说 9
1.4 冯·诺依曼体系一计算机病毒 10
1.5 信息共享与计算机病毒 10
第2 章 计算机病毒基本概念 12
2.1 病毒定义 12
2.1.1 Fred Cohen这义 12
2.1.2 Dean Dennis Longly 和Michael Shain定义 12
2.1.3 其他论述 13
2.1.4 对Fred Cohen定义的新理解 13
2.2 病毒的基本特性 14
2.2.1 感染性 14
2.2.2 潜伏性 14
2.2.3 可触发性 15
2.2.4 破坏性 15
2.3 病毒的一般特性 16
2.3.1 病毒的杠杆效应 16
2.3.2 传播速度快 16
2.3.3 难于扑灭 16
2.3.4 载体特性 17
2.3.5 检测困难 17
2.4 计算机病毒的结构 17
2.4.1 感染标记 17
2.4.2 感染模块 18
2.4.3 破坏模块 18
2.4.4 触发模块 18
2.4.5 主控模埠 18
2.4.6 病毒程序结构举例 19
2.4.7 压缩病毒程序例 20
2.5 计算机病毒分类 20
2.5.1 按感染方式分类 20
2.5.2 按功能分类 21
2.5.3 按感染、能力分类 23
2.5.4 按感染目标分类 23
2.5.5 按链接方式分类 24
2.5.6 链式病毒 25
2.5.7 计算机细菌 25
第3章 计算机病毒的感染机制 27
3.1 美观毒感染目标 27
3.2 病毒感染的一般过程 27
3.2.1 病毒宿主程序和控制权 27
3.2.2 病毒常驻内存 29
3.2.3 修改中断 29
3.3 感染长度 30
3.4 单次感染 31
3.5 重复感染 31
3.5.1 简单人重复感染 31
2.5.2 有限次数重复感染 32
3.5.3 变长度重复感染 32
3.5.4 变位重复感染 32
3.6 寄生感染和滋生感染 33
3.7 综合感染 34
3.8 交叉感染 34
3.9 插入感染 35
3.10 逆插入感染 36
3.11 替代感染 37
3.12 携带感染 37
3.13 链式感染 37
3.14 零长度感染 38
3.15 破坏性感染 39
3.16 系统隐含文件的感染 40
第4章 计算机病毒的触发机制 42
4.1 触发条件 42
4.2 日期触发 42
4.2.1 特定日期触发 43
4.2.2 月份触发 43
4.2.3 前半年、后半年触发 43
4.3 时间触发 44
4.4 键盘触发 44
4.5 感染触发 45
4.5.1 运行感染文件个数触发 45
4.5.2 感染序列数触发 45
4.5.3 感染磁盘数触发 45
4.5.4 感染失败触发 46
4.6 启动触发 46
4.7 访问磁盘次数触发 46
4.8 调用中断功能触发 46
4.9 CPU型号触发 47
4.10 FLIP病毒激少条件分析 47
第5章 计算机病毒的破坏行为 49
5.1 攻击系统数据区 49
5.2 攻击文件 51
5.2.1 删除文件 51
5.2.2 更改文件名 51
5.2.3 替换内容 51
5.2.4 技失部分代码 52
5.2.5 内容颠倒 52
5.2.6 写入时间变空白 52
5.2.7 变碎片 52
5.2.8 假冒文件 53
5.2.9 丢失文件簇 53
5.2.10 攻击数据文件 53
5.3 攻击内存 53
5.3.1 占用大量内存 54
5.3.2 改变内存总量 54
5.3.3 禁止分配内存 54
5.3.4 蚕食内存 54
5.4 干扰系统的运行 55
5.4.1 不执行命令 55
5.4.2 干扰内部命令的执行 55
5.4.3 虚拟报警 55
5.4.4 打不开文件 56
5.4.5 内部栈溢出 56
5.4.6 占用特殊数据区 56
5.4.7 换现行盘 56
5.4.8 时钟倒转 57
5.4.9 重启动 57
5.4.10 死机 57
5.4.11 强制游戏 57
5.4.12 颀乱串并行口 58
5.5 速度上降 58
5.6 攻击磁盘 58
5.6.1 下写盘 58
5.6.2 写操作改为读操作 58
5.6.3 写盘时丢字节 58
5.7 扰乱民间幕显示 59
5.7.1 字符跌落 59
5.7.2 环绕 59
5.73 倒置 59
5..7.4 显示前一屏 60
5.7.5 光标下跌 60
5.7.6 滚动 60
5.7.7 抖动 60
5.7.8 乱写屏幕 60
5.7.9 吃字符 60
5.8 键盘 61
5.8.1 响铃 61
5.8.2 封锁键盘 61
5.8.3 换字 61
5.8.4 抹掉缓存区字符 62
5.8.5 重复 62
5.8.6 输入紊乱 62
5.9 嗽叭 62
5.9.1 演奏曲子 62
5.9.2 警笛声 63
5.9.3 炸弹噪声 63
5.9.4 鸣叫 63
5.9.5 咔咔声 63
5.9.6 嘀嗒声 63
5.10攻击CMOS 63
5.1.1 干扰打印机 64
5.1.11假报警 64
5.1.12 间断性打印 64
5.1.13 更换字符 64
第6章 病毒演化与病毒家族 65
6.1 程序演化 65
6.2 病毒演化 65
6.2.1 病毒演化不确定性 65
6.2.2 病毒演化的后果 66
6.2.3 谨慎处理病毒样本 67
6.3 病毒变种 67
6.4 病毒变种类型 67
6.5 病毒家族 67
6.5.1 Vienna病毒家族 68
6.5.2 Jerusalem家族 68
6.6 病毒家族的相互识别 70
6.6.1 亲密家族和松散家族 70
6.6.2 Vienna-Yankee家族 71
6.7 病毒相克——互相攻击 71
6.8 病毒相生——互相救助 72
第7章 病毒与密码技术 74
7.1 密码概念 74
7.1.1 密码系统应具备的条件 74
7.1.2 密码系统的种类 75
7.2 对称型密码系统与DES系统 76
7.2.1 称位法 76
7.2.2 换字法 76
7.2.3 DES密码系统 76
7.3 公开密钥系统 77
7.3.1 公开密钥系统的具体实现 77
7.3.2 MH法 78
7.3.3 RSA法 78
第8章 蠕虫 80
8.1 什么是蠕虫 80
8.2 莫里斯蠕虫 81
8.2.1 Arpanet网络 81
8.2.2 蠕虫工作原量 81
8.2.3 蠕虫入侵一瞬 82
8.2.4 蠕虫蔓延过程 83
8.3 莫里斯蠕虫的消除 83
8.4 莫里斯蠕虫的经济损失 84
8.5 审判中的新问题 84
8.6 莫里斯事件的反啊 84
第9章 病毒的隐蔽技术和欺骗行为 86
9.1 变化隐蔽 86
9.2 脱皮技术 86
9.3 病毒自杀 87
9.4 病毒密码 87
9.5 隐蔽型病毒病例——4049病毒 88
9.6 隐蔽技术的危害 93
第10章 病毒技术的新动向 94
10.1 隐蔽型病毒 95
10.2 多态性病毒 95
10.3 病毒自支图形成技术 97
10.4 越级病毒 98
10.5 绝症——破坏性感染病毒 98
第11章 第病毒技术 100
11.1 一般预防对策 100
11.2 病毒征兆 101
11.3 反病毒处理 103
11.3.1 诊断 103
11.3.2 病毒的清除 107
11.3.3 免疫处理 111
11.4 病毒的预防 112
11.4.1 反病毒工具 115
第12章 病毒检测 117
12.1 特征代码法 117
12.2 校验和法 118
12.3 行为监测法 119
12.4 多态性病毒检测——软件模拟法 120
12.5 感染实验法 120
12.6 病毒检测工具一览 121
12.7 SCAN 122
12.8 病毒检测实验 125
第13章 病毒的消除 136
13.1 消毒的可能性 136
13.1.1 引导型病毒的消毒 136
13.1.2 文件型病毒的消毒 136
13.2 交叉感染时的消毒 137
13.2.1 EXE型文件交叉感染 137
13.2.2 COM型文件交叉感染 137
13.3 病毒治疗软件的研制 139
13.4 治疗工具CLEAN-UP 140
13.5 病毒治疗实验 144
13.5.1 DISK KILLER(磁盘杀手) 144
13.5.2 Michelangelo(米开郎基罗) 146
13.5.3 Jerusalem 149
13.5.4 Vinenna 病毒(维也纳) 152
13.5.5 1701/1704-b 病毒(雨点) 155
13.5.6 Yankee Doodle(扬基歇) 160
13.5.7 4096病毒(100年) 163
13.5.8 Ping Pong(小球) 165
13.5.9 Mart juana(大麻) 168
第14章 病毒预防 170
14.1 硬件引起的数据病毒 170
14.2 硬盘数据备份 171
14.2.1 使用DEBUG保存硬舯主引导扇区 171
14.2.2 使用DEBUG保存硬盘的Boot扇区 172
14.2.3 使用 DEBUG保存硬盘的FAT表,文件目录 173
14.2.4 使用Mirror命令 175
14.3 硬盘系统数据修复 175
14.3.1 回写硬盘主引导扇区 176
14.3.2 回写硬盘Boot扇区 176
14.3.3 回写硬盘FAT表、根目录 177
14.3.4 Unformat的使用 177
14.4 磁盘读写监视 178
14.5 行为准则监视技术 178
14.6 类病毒行为和误报警 178
14.7 CD-ROM光盘——病毒新载体 179
第15章 世界流行的MS-DOS病毒 180
151 154 种病毒特性 180
15..2 2728 种病毒的新信息 198
15.3 病毒技术的新动向和反病毒技术的困惑 234
15.3.1 从backer谈起 235
15.3.2 病毒检查技术的局限 235
15.3.3 隐藏性病毒技术 236
15.3.4 多态性病毒技术 236
15.3.5 插入型病毒技术 237
15.3.6 超级病毒 237
15.3.7 病毒检测工具的杀手——病毒自动生产技术 238
15.3.8 杀毒工具的困惑——夏天坏感染病毒 238
15.3.9 对反病毒技术的期望 239
15.3.10 笔者的有关研究 239
结束语 241