第1章 计算机病毒概述 1
1.1 生物病毒 1
1.1.1 生物病毒的概述 1
1.1.2 生物病毒的结构 2
1.1.3 生物病毒的繁殖 2
1.1.4 生物病毒的分类 3
1.2 计算机病毒 3
1.2.1 计算机病毒的起源 4
1.2.2 计算机病毒的产生 6
1.2.3 计算机病毒的定义 7
1.2.4 计算机病毒的特征 8
1.2.5 计算机病毒的分类 9
1.2.6 计算机病毒的发展 10
1.2.7 计算机病毒自我保护技术 16
1.3 计算机病毒的对抗 17
1.3.1 计算机病毒的对抗技术 17
1.3.2 计算机病毒对抗技术的发展 18
习题 19
第2章 预备知识 20
2.1 计算机病毒的结构 20
2.1.1 一个简单的计算机病毒 20
2.1.2 计算机病毒的逻辑结构 21
2.1.3 计算机病毒的磁盘储存结构 21
2.2 计算机磁盘的管理 22
2.2.1 硬盘结构简介 22
2.2.2 主引导扇区(Boot Sector)结构简介 24
2.2.3 文件系统 27
2.3 计算机内存的管理 31
2.3.1 DOS内存布局 31
2.3.2 Window 9x/NT内存布局 31
2.3.3 操纵内存 32
2.4 计算机的引导过程 35
2.4.1 认识计算机启动过程 35
2.4.2 主引导记录的工作原理 37
2.5 PE文件格式 42
习题 54
第3章 计算机病毒的基本机制 55
3.1 计算机病毒的三种机制 55
3.2 计算机病毒的传播机制 58
3.2.1 计算机病毒的传播途径 58
3.2.2 计算机病毒的传播过程 61
3.3 计算机病毒的触发机制 62
3.3.1 日期和时间触发 62
3.3.2 键盘触发 62
3.3.3 鼠标触发 63
3.3.4 感染触发 63
3.3.5 启动触发 63
3.3.6 磁盘访问触发和中断访问触发 63
3.3.7 CPU型号/主板型号触发 64
3.4 计算机病毒的破坏机制 64
3.4.1 攻击系统数据区 64
3.4.2 攻击文件和硬盘 65
3.4.3 攻击内存 65
3.4.4 干扰系统的运行 66
3.4.5 扰乱输出设备 67
3.4.6 扰乱键盘 67
3.4.7 盗取隐私数据 67
3.4.8 干扰浏览器或下载新的恶意软件 68
3.4.9 实施网络攻击和网络敲诈等 68
3.5 计算机病毒三种机制之间的联系 69
习题 69
第4章 DOS病毒分析 70
4.1 引导区病毒 70
4.1.1 引导区病毒的概述 70
4.1.2 引导区病毒的原理 70
4.1.3 大麻病毒分析 74
4.2 文件型病毒 77
4.2.1 文件型病毒的概述 77
4.2.2 文件型病毒的原理 78
4.2.3 “黑色星期五”病毒分析 81
4.3 混合病毒 83
习题 83
第5章 Windows病毒分析 84
5.1 Win32 PE病毒 84
5.1.1 Win32PE病毒的感染技术 84
5.1.2 捆绑式感染方式简介 88
5.1.3 网络传播方式的PE病毒 89
5.1.4 可移动存储设备传播的PE病毒 90
5.1.5 Win32 PE病毒实例——熊猫烧香 90
5.2 宏病毒 91
5.2.1 宏病毒的概述 92
5.2.2 宏病毒的原理 92
5.2.3 美丽莎病毒分析 97
5.3 脚本病毒 100
5.3.1 WSH介绍 100
5.3.2 VBS脚本病毒原理分析 102
5.3.3 VBS脚本病毒的防范 109
5.3.4 爱虫病毒分析 110
5.4 恶意网页 111
5.4.1 修改注册表 112
5.4.2 操纵用户文件系统 113
5.4.3 网页挂马 114
5.4.4 防范措施 115
习题 116
第6章 病毒技巧 117
6.1 病毒的隐藏技术 117
6.1.1 引导型病毒的隐藏技术 117
6.1.2 嵌入文件的隐藏技术 118
6.1.3 Windows病毒的隐藏技术 119
6.1.4 RootKit隐藏技术 119
6.2 花指令 119
6.3 计算机病毒的简单加密 122
6.4 病毒的多态 125
6.5 病毒的变形技术 126
6.6 加壳技术 134
6.7 病毒代码的优化 135
6.7.1 代码优化技巧 135
6.7.2 编译器选项优化技巧 138
6.8 脚本加密技术 140
6.9 异常处理 142
6.9.1 异常处理的方式 142
6.9.2 异常处理的过程 143
6.9.3 异常处理的参数 144
6.9.4 异常处理的例子 146
6.10 其他病毒免杀技术 150
6.10.1 特征码定位 151
6.10.2 反调试技术 151
6.10.3 抗主动防御 152
6.10.4 破坏杀毒软件 153
习题 154
第7章 漏洞与网络蠕虫 155
7.1 漏洞 155
7.1.1 漏洞简介 155
7.1.2 漏洞的分类 155
7.2 缓冲区溢出 157
7.2.1 缓冲区溢出类型 158
7.2.2 栈溢出 158
7.2.3 Heap Spray 162
7.2.4 Shellcode 164
7.3 网络蠕虫 168
7.3.1 蠕虫的定义 168
7.3.2 蠕虫的行为特征 170
7.3.3 蠕虫的工作原理 171
7.3.4 蠕虫技术的发展 172
7.3.5 蠕虫的防治 172
7.3.6 SQL蠕虫王分析 173
习题 179
第8章 特洛伊木马与Rootkit 180
8.1 特洛伊木马 180
8.1.1 特洛伊木马概述 180
8.1.2 木马的原理及其实现技术 181
8.1.3 远程控制型木马 192
8.1.4 木马的预防和清除 194
8.1.5 木马技术的发展 197
8.1.6 木马示例分析——上兴远程控制工具 199
8.2 Rootkit 204
8.2.1 Rootkit概述 204
8.2.2 Rootkit技术介绍 205
8.2.3 文件隐藏 208
8.2.4 进程隐藏 210
8.2.5 注册表隐藏 213
8.2.6 端口隐藏 215
8.2.7 Rootkit示例 218
习题 220
第9章 病毒对抗技术 221
9.1 病毒的检测技术 221
9.1.1 特征值检测技术 222
9.1.2 校验和检测技术 224
9.1.3 启发式扫描技术 227
9.1.4 虚拟机技术 231
9.1.5 主动防御技术 235
9.2 病毒发现和反病毒软件 237
9.2.1 现象观察法 238
9.2.2 反病毒软件 238
9.2.3 感染实验分析 241
9.3 病毒的清除 245
9.3.1 流行病毒的手工清除 245
9.3.2 感染性病毒清除 247
习题 249
第10章 计算机病毒的防范 251
10.1 恶意软件的威胁及其传播渠道 251
10.1.1 恶意软件的威胁 251
10.1.2 恶意软件的传播途径 252
10.2 恶意软件的生命周期 253
10.2.1 目标搜索 253
10.2.2 目标植入 253
10.2.3 触发运行 254
10.2.4 长期驻留 254
10.3 恶意软件的防护措施 254
10.3.1 软件限制策略 254
10.3.2 虚拟机、沙箱类软件在病毒防护中的作用 260
10.3.3 系统还原与磁盘备份/还原类软件 265
10.3.4 各类反病毒软件及其主要功能 268
10.3.5 主机入侵防护系统(HIPS)与网络防火墙在防病毒中的重要地位 269
10.3.6 良好的信息安全意识 272
习题 273
第11章 UNIX病毒和手机病毒 274
11.1 UNIX环境下的病毒 274
11.1.1 ELF文件格式 274
11.1.2 UNIX/Linux病毒概述 285
11.1.3 基于ELF的计算机病毒 286
11.1.4 UNIX病毒样本分析 291
11.2 OS/2环境下的病毒 292
11.2.1 OS/2简介 292
11.2.2 OS/2病毒概述 293
11.3 Mac OS环境下的病毒 294
11.3.1 Mac OS简介 294
11.3.2 Mac OS病毒概述 295
11.4 移动设备(手机)病毒 296
11.4.1 手机病毒概述 296
11.4.2 手机操作系统简介 297
11.4.3 手机病毒的种类 300
11.4.4 手机病毒的危害 301
11.4.5 手机病毒一例 303
11.4.6 手机病毒的防御 304
11.4.7 手机病毒的发展趋势 305
习题 306
附录 病毒感染实例分析 307
参考文献 319