第1章 引导型病毒EXEBUG/GENB机理 1
1.1 概述 1
1.2 感染磁盘的引导机理 1
1.3 中断盗用的工作原理 3
1.3.1 中断盗用13H的工作原理 3
1.3.2 辅助模块工作原理 3
1.4 反EXEBUG/GENB病毒 4
1.4.1 反EXEBUG/GENB病毒的基本思想 4
1.4.2 反EXEBUG/GENB病毒源程序 5
1.5 感染磁盘数据映像及变量示例 10
1.5.1 感染磁盘数据映像 10
1.5.2 EXEBUG病毒工作区间使用的变量示例 11
习题一 11
一、填空题 11
二、选择题 11
三、简答题 12
第2章 文件单一型病毒GRAVE机理 13
2.1 概述 13
2.2 感染文件的加载执行 13
2.2.1 感染文件的执行过程 13
2.2.2 辅助模块工作原理 15
2.3 中断盗用的工作原理 16
2.3.1 中断盗用21H的工作原理 16
2.3.2 中断盗用24H的工作原理 18
2.3.3 辅助模块工作原理 18
2.4 反GRAVE病毒 23
2.4.1 反GRAVE病毒的基本思想 23
2.4.2 反病毒源程序 24
2.5 病毒数据的磁盘映像 28
习题二 30
一、填空题 30
二、选择题 30
三、简答题 30
第3章 文件综合型病毒DA01机理 32
3.1 概述 32
3.2 感染文件的加载执行 33
3.2.1 感染可执行文件的加载执行 33
3.2.2 如何解密获得正确的译码数据 36
3.3 中断盗用的工作原理 38
3.3.1 中断盗用08H的工作原理 38
3.3.2 中断盗用09H的工作原理 39
3.3.3 中断盗用21H的工作原理 39
3.3.4 插入恢复点程序的工作原理 40
3.3.5 中断盗用24H的工作原理 45
3.4 反DA01病毒 46
3.4.1 概述 46
3.4.2 反DA01病毒的基本思路 46
3.4.3 基本的反病毒程序 47
3.5 DA01病毒数据及变量示例 52
3.5.1 DA01病毒数据示例 52
3.5.2 DA01病毒变量示例 54
习题三 56
一、填空题 56
二、选择题 56
三、简答题 57
第4章 简单复合型病毒NEW CENTURY机理 58
4.1 概述 58
4.2 感染磁盘的引导机理 59
4.3 中断盗用的工作原理 60
4.3.1 中断盗用13H的工作原理 60
4.3.2 中断盗用21H的工作原理 62
4.3.3 中断盗用08H的工作原理 70
4.3.4 中断盗用24H的工作原理 70
4.4 感染文件的加载执行 70
4.4.1 感染文件的加载运行 70
4.4.2 辅助模块工作原理 73
4.5 反NEW CENTURY病毒 74
4.5.1 概述 74
4.5.2 反病毒源程序 74
4.6 病毒磁盘数据映像 80
4.6.1 被感染硬盘的主引导记录数据 80
4.6.2 被感染硬盘保存的病毒代码 81
4.6.3 NEW CENTURY病毒在内存中数据的映像 83
4.6.4 NEW CENTURY病毒工作变量使用数据区示例 83
习题四 84
一、填空题 84
二、选择题 85
三、简答题 85
第5章 复杂复合/NE文件型病毒SPY机理 86
5.1 计算机病毒SPY磁盘引导机理 86
5.2 中断13H的盗用 86
5.2.1 中断13盗用主程序 86
5.2.2 辅助模块01ED工作原理 87
5.2.3 中断盗用13H的工作原理 88
5.2.4 辅助模块00F0工作原理 90
5.3 SPY病毒感染文件的执行 90
5.3.1 文件感染概述 90
5.3.2 感染文件的带毒执行 90
5.4 SPY病毒中断盗用2AH机理 94
5.4.1 概述 94
5.4.2 中断盗用2AH的工作原理 95
5.5 SPY病毒中断盗用21H机理 97
5.5.1 中断21H处理指令的盗用工作过程 97
5.5.2 中断21H善后指令的盗用工作过程 108
5.5.3 中断21H盗用程序使用辅助模块分析 108
5.5.4 模块使用的数据区示例 123
5.6 SPY反病毒机理 124
5.6.1 SPY反病毒原理 124
5.6.2 SPY反病毒源程序 124
5.7 SPY病毒数据示例 130
5.7.1 SPY病毒引导记录数据示例 130
5.7.2 SPY病毒8扇区存储于磁盘扇区的程序主体数据示例 131
5.7.3 SPY病毒附加于的文件数据示例 135
习题五 138
一、填空题 138
二、选择题 139
三、简答题 139
第6章 PE文件型病毒CIH V1.2机理 140
6.1 关于PE格式EXE文件头的分析 140
6.1.1 感染CIH V1.2病毒PE格式EXE文件头的基本结构 140
6.1.2 PE格式EXE文件入口表数据分析 141
6.2 CIH病毒代码结构分析 143
6.2.1 CIH病毒代码分块结构 143
6.2.2 CIH病毒代码占用的内存空间结构 144
6.3 感染CIH病毒PE EXE文件的运行机理 144
6.3.1 感染CIH病毒PE EXE文件的执行主程序 144
6.3.2 中断盗用门03H机理分析 145
6.4 CIH病毒感染PE EXE文件的工作机理 147
6.4.1 CIH病毒感染PE EXE文件主程序工作流程 147
6.4.2 CIH病毒感染PE EXE文件主程序分析 148
6.4.3 辅助模块分析 154
6.5 CIH病毒的发现与消除 154
6.5.1 CIH V1.2病毒代码清单 154
6.5.2 系统与文件感染CIH病毒的发现 155
6.5.3 文件感染CIH病毒的手工消除 156
习题六 159
一、填空题 159
二、选择题 159
三、简答题 160
第7章 Word宏病毒Melissa机理 161
7.1 关于Word宏病毒 161
7.1.1 概述 161
7.1.2 Word宏病毒的拦截与处理 161
7.2 Melissa宏病毒分析 161
7.3 Melissa宏病毒源程序清单 162
7.3.1 几点说明 162
7.3.2 Melissa宏病毒源程序 162
习题七 164
一、填空题 164
二、选择题 164
三、简答题 165
第8章 磁盘引导记录分析 166
8.1 主引导记录分析 166
8.1.1 主引导记录数据示例 166
8.1.2 分区表数据结构 167
8.1.3 主引导记录使用的内存空间分布 168
8.1.4 主引导记录工作流程 169
8.1.5 主引导记录执行过程分析 173
8.1.6 本节附录:API子集介绍 179
8.2 Microsoft Windows 98引导记录分析 182
8.2.1 Microsoft Windows 98引导记录数据示例 182
8.2.2 Microsoft Windows 98引导记录工作流程 182
8.2.3 Microsoft Windows 98引导记录划分的硬盘空间分布 184
8.2.4 Microsoft Windows 98引导记录执行过程分析 185
8.3 LX版Microsoft Windows 98引导记录分析 188
8.3.1 LX版Microsoft Windows 98引导记录数据示例 188
8.3.2 LX版Microsoft Windows 98引导记录工作流程 189
8.3.3 LX版Microsoft Windows 98引导记录划分的硬盘空间分布 191
8.3.4 LX版Microsoft Windows 98引导记录使用的内存空间分布 192
8.3.5 LX版Microsoft Windows 98引导记录使用的磁盘参数BPB数据结构 192
8.3.6 LX版Microsoft Windows 98引导记录执行过程分析 193
8.4 Microsoft Windows 2000引导记录分析 198
8.4.1 Microsoft Windows 2000引导记录数据示例 198
8.4.2 Microsoft Windows 2000引导记录工作流程 198
8.4.3 Microsoft Windows 2000引导记录划分的硬盘空间分布 199
8.4.4 Microsoft Windows 2000引导记录使用的内存空间分布 200
8.4.5 Microsoft Windows 2000引导记录使用的磁盘参数BPB数据结构 200
8.4.6 Microsoft Windows 2000引导记录执行过程分析 201
8.5 Microsoft Windows XP引导记录分析 204
8.5.1 Microsoft Windows XP引导记录数据示例 204
8.5.2 Microsoft Windows XP扩展引导记录数据示例 205
8.5.3 BPB结构 207
8.5.4 Microsoft Windows XP引导记录使用的内存空间分布 208
8.5.5 Microsoft Windows XP引导记录工作流程 209
8.5.6 Microsoft Windows XP扩展引导记录工作流程 211
8.5.7 Microsoft Windows XP引导记录执行过程分析 214
8.5.8 Microsoft Windows XP扩展引导记录代码分析 219
8.5.9 本节附录:FDT结构 222
习题八 223
一、填空题 223
二、选择题 223
三、简答题 224
第9章 病毒研究使用的几个工具软件的研制 225
9.1 二进制代码向ASCII码的转换 225
9.1.1 概述 225
9.1.2 转换处理 225
9.1.3 转换流程 226
9.1.4 转换程序 227
9.2 CMOS RAM数据读写的实现 231
9.2.1 CMOS RAM数据的读取 231
9.2.2 CMOS RAM数据的修改 232
9.2.3 读取CMOS RAM数据的源程序 232
9.2.4 修改CMOS RAM数据的源程序 234
9.3 读取SFT或者文件句柄对应的文件名 236
9.3.1 读取文件句柄对应文件名串 236
9.3.2 读取系统SFT表项对应文件名串 237
习题九 238
一、填空题 238
二、选择题 238
三、简答题 239
附录 240
A.1 操作系统部分数据结构摘录 240
A.2 NATAS病毒反病毒源程序 243
A.3 DIE HARD病毒反病毒源程序 251
A.4 各种磁盘正常引导记录数据示例 256
A.4.1 各种软磁盘正常引导记录数据示例 256
A.4.2 各种硬磁盘正常主引导记录数据示例 260
A.5 上机操作题 261
参考文献 264