第一章 揭开计算机病毒的面纱 1
1.1 计算机病毒的历史 1
1.1.1 计算机病毒的早期历史 1
1.1.2 1989年以后的计算机病毒发展 2
1.2 计算机病毒在中国 5
1.3 操作系统是否有故意的缺陷? 6
1.4 善待计算机病毒 7
1.4.1 利用计算机病毒消除病毒 7
1.4.2 利用计算机病毒进行软件保护 7
1.4.3 利用计算机病毒对硬盘加密 7
1.4.4 利用病毒获取信息 8
1.4.5 利用计算机病毒节省磁盘空间 8
1.5 计算机病毒在军事上的应用 8
1.5.1 军事病毒的历史 9
1.5.2 军事病毒的特点 9
1.5.4 计算机病毒武器的作战步骤 10
1.5.3 来自美国的消息 10
第二章 计算机病毒原理解析 11
2.1 计算机病毒的特点与机理 11
2.1.1 再生机制 11
2.1.2 控制权夺取机制 12
2.1.3 隐蔽机制 13
2.1.4 潜伏机制 13
2.1.5 破坏机制 14
2.2 计算机病毒的结构描述 15
2.3 计算机病毒宿主 17
2.3.1 病毒寄生于程序P的尾部 18
3.2.2 毒寄生于程序P头部 19
2.3.3 寄生于程序P的中间 20
2.3.4 病毒侵占合法程序的自由空间 20
2.4 计算机病毒的传染方法 22
2.4.1 添附 22
2.4.2 嵌入 22
2.4.5 置换 23
2.4.4 改址 23
2.4.3 截取 23
2.4.6 病毒病壳 24
2.5 计算机的病毒类型 24
2.5.1 引导记录病毒 24
2.5.2 软引导记录病毒 24
2.5.3 分区引导记录(PBR)病毒 27
2.5.4 主引导记录病毒 29
2.5.5 程序文件病毒 31
2.5.6 伙伴病毒 35
2.5.7 文件感染病毒的潜在破坏 36
2.5.8 宏病毒 37
第三章 计算机病毒解析基础知识 38
3.1 DOS 38
3.1.1 DOS的基本结构 38
3.1.2 DOS的启动过程 40
3.1.3 DOS引导记录 43
3.1.4 DOS文件的管理 44
3.1.5 DOS的程序加载过程 49
3.1.6 DOS的中断系统 57
3.2 Windows的基本知识 65
3.2.1 Windws基本元件 65
3.2.2 基本系统 66
3.2.3 Windows文件系统 67
3.3 DOS与Windows下的计算机病毒与软件 70
3.3.2 DOS和WINDOWS下的杀毒软件 71
3.4 熟练使用Debug 71
3.3.1 Windows和DOS下病毒 71
3.4.1 DEBUG的命令集 72
3.4.2 练一练 75
第四章 经典病毒剖析 77
4.1 火炬病毒 77
4.1.1 引导记录病毒的预备知识 77
4.1.2 火炬病毒的发作机理 78
4.1.3 火炬病毒的源代码分析 79
4.2.1 维也纳病毒源代码 85
4.2 维也纳病毒 85
4.2.2 维也纳病毒源代码分析 90
4.3 一个组合起来的引导区病毒的解析 92
4.3.1 基本感染程序 92
4.3.2 配套处理程序 97
4.3.3 原始感染文件 97
第五章 最新流行病毒 100
5.1 CIH病毒 100
5.1.1 CIH病毒的作用机理 101
5.1.2 CIH的各版本 101
5.1.3 CIH的免疫 102
5.1.4 KV300杀CIH病毒 102
5.1.5 BIOS的改写 103
5.2 黑客程序 104
5.2.1 黑客程序Back Orifice 104
5.2.2 黑客程序:PICTURE.EXE 105
5.3.2 破坏与表现 106
5.3 几种变形病毒 106
5.3.1 “变形魔师”病毒 106
5.3.3 NATAS(拿他死幽灵王)/4744/4746变形病毒 107
5.3.4 1982、1748、1680、2106/(福州大学HXH)、HXH+-1575、2560/(福州大学HYY)、3532/HYY(福州1号变形王)变形病毒 107
5.3.5 “变形大玩笑JOKE-1、-2、-3、-4”病毒 107
5.3.6 “CONNIE2-台湾2号变形王”病毒 108
5.4 “无政府一号”病毒介绍 108
5.4.1 破坏与表现 108
5.4.2 解毒方法 108
5.5 “CMOS设置破坏者”病毒 109
5.5.1 破坏与表现 109
5.5.2 杀毒方法 109
5.6 BUPT9146病毒 110
5.6.1 破坏与表现 110
5.6.2 杀毒方法 110
5.7 两个感染PE格式文件病毒 110
5.8.1 破坏与现象 111
5.8 DIR2-3、DIR2-6、NEW-DIR2/BYWAY-A病毒 111
5.8.2 杀毒方法 112
5.9 Monkey/猴子、Monkey-A,-B/猴子、PC-LOCK/锁硬盘几种病毒 113
5.9.1 破坏与现象 113
5.9.2 解毒方法 113
5.10 DIE-HARD/HD2、GranmaGrave/Burglar/1150-1、-2几种病毒 113
5.10.1 破坏与表现 113
5.11 “双料性”、“双重性”3783(TPVO)病毒 114
5.10.2 解毒方法 114
5.11.1 破坏与表现 115
5.11.2 杀毒方法 115
5.12 “8888-变形鬼魂病毒/合肥1号”、“合肥2号”病毒 116
5.12.1 破坏与表现 116
5.12.2 杀毒方法 116
5.13 One-Half(3544幽灵)病毒的清除方法 117
5.13.1 破坏与表现 117
5.13.2 解毒方法 117
6.1.1 攻击对象趋于混合型 118
第六章 计算机病毒的攻击和用户对策 118
6.1 现代计算机病毒流行特性 118
6.1.2 采用反动态跟踪技术 119
6.1.3 降低代码可阅读性 119
6.1.4 增强感染的隐密性 121
6.1.5 改变进驻和感染系统的途径 122
6.1.6 加密技术处理 123
6.1.7 病毒体繁衍不同变种 124
6.2 几种具有代表性的计算机病毒类型 124
6.2.1 多态病毒 124
6.2.2 Stealth病毒 125
6.2.3 Slow病毒 127
6.2.4 Retro病毒 127
6.3 商用杀毒软件的杀毒方法 128
6.3.1 杀毒软件是如何工作的 128
6.3.2 商用防毒软件防治原理介绍 136
6.4 计算机病毒防治 138
6.4.1 防计算机病毒要从操作系统入手 139
6.4.3 用户安全操作措施 140
6.4.2 防计算机病毒的方法 140
6.4.4 计算机病毒的免疫 141
6.5 计算机病毒攻击后的治疗 144
6.5.1 防止和修复引导记录病毒 144
6.5.2 防止和修复可执行文件病毒 145
6.5.3 修复读取隐藏病毒感染的文件 145
第七章 网络计算机病毒 147
7.1 网络计算机病毒的特点与病毒征兆 148
7.1.1 网络计算机病毒的特点 148
7.1.2 网络病毒的征兆 149
7.2 网络和Internet对病毒的敏感性 149
7.2.1 网络对文件病毒的敏感性 149
7.2.2 引导病毒 151
7.2.3 宏病毒 151
7.3.1 网络病毒GPI的防治 152
7.3 关于几种网络病毒 152
7.3.2 网络病毒GP3的防治 153
7.3.3 HTML.Prepend病毒 154
7.4 电子邮件病毒 155
7.4.1 电子邮件病毒概述 156
7.4.2 E-mail的Good Times病毒的真假 156
7.4.3 一种通过E-mail传播的Word病毒 157
7.5 Windows NT下病毒行为概况 157
7.5.1 Windows NT下的主引导记录病毒 158
7.5.2 Windows NT下的引导记录病毒 159
7.5.3 Windows NT DOS框内的DOS文件病毒 161
7.5.4 Windows NT下的Windows3.1病毒 162
7.5.5 Windows NT下的宏病毒 163
7.6 反病毒公司的安全解决方案 163
7.6.1 NAI防病毒的安全解决方案 163
7.6.2 趋势科技的病毒防御体系 165
8.1 宏病毒演义 168
第八章 宏病毒 168
8.1.1 1995年 169
8.1.2 1996年 169
8.1.3 1997年 172
8.1.4 1998年 173
8.2 宏与宏病毒 176
8.2.1 什么是宏 176
8.2.2 宏病毒的特点 177
8.2.3 宏病毒的兼容性 177
8.2.4 宏病毒的共性 177
8.3 几种典型宏病毒 178
8.3.1 台湾No.1计算机病毒 178
8.3.2 TAIWAN SUPER NO.1 179
8.3.3 核弹病毒 179
8.3.4 “白晓燕”宏病毒 179
8.3.6 Excel宏病毒XM Laroux 180
8.3.5 亚特兰大病毒和wazzu病毒 180
8.4 赤手屠龙——不使用软件的宏病毒清除方法 181
8.4.1 防止执行自动宏 181
8.4.2 Prompt to Save Normal Template 181
8.4.3 创建Payload宏 181
8.4.4 通过shift键来禁止自动宏 181
8.4.6 使用DisableAutoMacros宏 182
8.4.7 选择Tools/Macros 182
8.4.5 用Tools/Macro菜单查看宏代码并删除之 182
8.4.8 office97的报警设置 183
8.4.9 Normal.dot的只连属性 183
8.4.10 Normal.dot的密码保护 184
8.5 反宏病毒软件 185
8.5.1 俄罗斯Kami公司的AntiVirus Pro 3.0.124 185
8.5.2 美国Symantec公司的Norton AntiVirus 5.0 185
8.5.3 美国NAI公司的VirusScan 4.01 185
8.5.4 芬兰Data Fellow公司的F-Secure 4.0 185
8.5.7 美国Cheyenne公司的InocuLAN 5.0 186
8.5.8 荷兰ThunderByte公司的ThunderByte AntiVirus 8.08 186
8.5.6 芬兰Data Fellow公司的F-Macro 186
8.5.5 台湾Trend公司的PC-cillin98 186
第九章 引导你编两个无害的病毒 187
9.1 DOS批处理病毒 187
9.1.1 DOS批处理病毒的初步编制 187
9.2 感染C语言源文件的病毒 192
9.2.1 深入了解TURBOC 192
9.2.2 两个十分有用的函数 192
9.2.3 感染C语言的源文件 193
9.2.4 感染实况 196
第十章 黑客与计算机安全问题 207
10.1 口令、特洛伊木马、电子邮件炸弹 207
10.1.1 口令的重要性 207
10.1.2 特洛伊木马 211
10.1.3 电子邮件炸弹 212
10.2 PGP的安全性 213
10.2.1 理论上的漏洞 213
10.2.2 现实中的PGP攻击方法 214
10.3 UNIX系统的安全 215
10.3.1 SUN OS结构体系的安全性 215
10.3.2 网络的通信安全 221
10.3.3 SUN OS的漏洞 222
10.3.4 安全忠告 223
10.4 网络端口攻击 226
10.4.1 IP Spoofing 226
10.4.3 TCP端口的秘密检测 227
10.4.2 Source routing Attack 227
10.5 www的安全 228
10.5.1 CGI和Perl 228
10.5.2 Java 232
10.6 计算机两千年问题 234
10.6.1 解剖千年虫 235
10.6.2 最大的小问题 236
10.6.3 我们的对策 240
11.1.1 计算机反病毒软件产品的分类 252
11.1 反病毒软件通论 252
第十一章 利刃斩毒瘤——反病毒软件介绍 252
11.1.2 计算机反病毒软件产品的评价 254
11.2 KV300 258
11.2.1 功能简介 258
11.2.2 辅助文件名与功能 259
11.2.3 KV300使用功能和格式 259
11.2.4 如何自升级增加KV300查病毒和查变形病毒的数量 262
11.2.5 KV300广谱性、抗变种、抗改写、抗变形的特征码 264
11.2.8 KV300/B——检查或备份硬盘主引导信息功能 265
11.2.6 如何自升级增加KV300杀病毒的数量 265
11.2.7 自我检查、自我修复、自我解除所有感染上的病毒 265
11.2.9 安全解除所有主引导区病毒 266
11.3 KILL 266
11.3.1 KILL快速入门 267
11.3.2 KILL的扫描屏幕概述 267
11.3.3 工具栏 267
11.3.4 “选项”设置 268
11.3.5 关于KILL使用的一些问题 271
11.4 行天98 273
11.4.1 行天98基本操作 273
11.4.2 行天98操作指南 274
11.4.3 行天98的主菜单及用法 279
11.5 单机反病毒软件的选择 281
11.5.1 病毒检测方式 281
11.5.2 病毒检测和清除能力 282
11.5.4 服务的及时性 284
11.5.3 功能性的全面 284
11.6 网上免费或共享的反毒软件 285
11.6.1 国内免费反毒软件 285
11.6.2 国外免费反毒软件 286
附录一 288
天津市预防和控制计算机病毒办法 288
附录二 290
北京市公安局通告(第20号) 290
北京市计算机信息系统病毒预防和控制管理办法 290