第一章 计算机恶意代码概述1.1 计算机恶意代码定义 1
1.2 计算机恶意代码分类 2
1.2.1 计算机病毒 3
1.2.2 特洛伊木马 4
1.2.3 后门程序 5
1.2.4 逻辑炸弹 6
1.2.5 蠕虫 7
1.2.6 拒绝服务攻击程序 8
1.2.7 细菌 9
1.3 计算机恶意代码发展历程 9
1.4 计算机恶意代码的特征 17
1.5 计算机恶意代码命名规则 22
1.5.1 通用命名规则 22
1.5.2 国际恶意代码的命名惯例 23
第二章 预备知识 26
2.1 硬盘结构与数据组织 26
2.1.1 硬盘结构 26
2.1.1.1 不等长扇区结构 27
2.1.1.2 等长扇区结构 27
2.1.1.3 簇 28
2.1.1.4 物理参数CHS与逻辑参数 28
2.1.2 硬盘的数据组织 29
2.1.2.1 数据存储前的准备 30
2.1.2.2 硬盘的数据结构 31
2.2 文件系统 34
2.2.1 FAT文件系统 34
2.2.2 NTFS文件系统 35
2.2.3 WinFS文件系统 35
2.2.4 Ext2和Ext3文件系统 36
2.3 中断 36
2.3.1 中断概念(Interrupt) 36
2.3.1.1 中断向量表(Interrupt Vectors) 36
2.3.1.2 中断处理过程 37
2.3.1.3 中断与计算机病毒 38
2.4 动态链接库DLL 39
2.4.1 动态链接库的概念 39
2.4.2 动态链接库的优点 39
2.4.3 动态链接库的使用 39
2.5 API函数 40
2.5.1 什么是API 40
2.5.2 API的调用 41
2.6 注册表 42
2.6.1 注册表的启动 43
2.6.2 注册表结构 44
2.6.3 注册表简单应用——建立自启动程序 44
2.7 Debug的使用 46
2.7.1 Debug的启动 46
2.7.2 Debug主要命令 46
2.8 WinHex的使用 52
2.8.1 WinHex的主要功能 52
2.8.2 WinHex的使用 53
第三章 DOS病毒 62
3.1 DOS操作系统简介 62
3.1.1 MS-DOS的组成 63
3.1.2 DOS的启动过程 64
3.1.3 常用DOS命令 64
3.2 一个简单的DOS批处理病毒 67
3.2.1 什么是批处理文件 67
3.2.2 如何编辑一个批处理文件 68
3.2.3 一个简单的批处理病毒 68
3.3 病毒的逻辑结构 69
3.4 DOS引导型病毒分析 71
3.4.1 引导型病毒开发机理 71
3.4.2 引导型病毒使用的关键技术 72
3.4.3 “大麻”病毒机理剖析 73
3.4.4 “大麻”病毒的检测与清除 77
3.4.1.1 用Debug工具手工检测和清除大麻病毒 77
3.4.1.2 用Winhex工具手工检测与清除大麻病毒 78
3.5 文件型病毒分析 80
3.5.1 文件型病毒的常见感染方式 80
3.5.2 COM文件的结构 81
3.5.3 COM文件型病毒代码分析 81
3.5.4 文件型病毒的清除 87
第四章 PE文件病毒 90
4.1 PE文件结构 90
4.1.1 PE文件定义 90
4.1.2 PE文件结构分析 91
4.2 Win32 PE病毒的重定位技术 100
4.3 获取API函数地址 102
4.4 搜索感染目标 104
4.5 内存映射文件 105
4.6 PE病毒感染文件的基本方法 107
4.7 Fun Love病毒分析与清除 108
4.7.1 Fun Love病毒简介 108
4.7.2 Fun Love病毒源代码 109
4.7.3 Funlove病毒主要开发技术 142
4.7.4 Funlove病毒的清除 144
第五章 宏病毒 145
5.1 Word宏与宏病毒 145
5.1.1 什么是宏 145
5.1.2 宏病毒 150
5.2 宏病毒开发技术 150
5.2.1 宏病毒的启动机制 150
5.2.2 宏病毒的隐藏机制 152
5.3.3 宏病毒的传染机制 156
5.3 “美丽莎”病毒源代码分析 159
5.4 宏病毒的防御 164
第六章 脚本病毒 166
6.1 脚本语言介绍 166
6.1.1 JavaScript脚本语言简介 166
6.1.2 VBScript脚本语言 167
6.2 WSH与脚本病毒 168
6.2.1 WSH简介 168
6.2.2 WSH与VBS脚本语言的关系 169
6.3 脚本病毒开发机理 170
6.3.1 访问注册表 170
6.3.2 访问文件系统 174
6.3.3 脚本病毒的传播方式 176
6.3.4 脚本病毒搜索感染文件方法 180
6.3.5 脚本病毒伪装技术 181
6.4 “爱虫”病毒源代码分析 184
6.4.1 “爱虫”病毒介绍 184
6.4.2 “爱虫”病毒源代码分析 185
6.5 VBS脚本病毒的防疫方法 194
6.5.1 VBS脚本病毒的弱点 194
6.5.2 VBS脚本病毒的预防和清除 195
第七章 网络蠕虫 201
7.1 “蠕虫”的定义 201
7.2 “蠕虫”的功能模块与工作流程 203
7.2.1 蠕虫程序的功能模块 203
7.2.2 蠕虫的工作流程 204
7.3 蠕虫的开发技术 205
7.3.1 蠕虫常用扫描策略 205
7.3.2 “蠕虫”常用攻击手段 207
7.3.3 蠕虫的主要传染与破坏行为 215
7.4 “蠕虫”的检测与防范 216
7.4.1 基于单机的“蠕虫”检测 216
7.4.2 基于网络的“蠕虫”检测 218
7.4.3 进一步的防范措施 219
7.5 “熊猫烧香”蠕虫分析与清除 220
7.5.1 “熊猫烧香”蠕虫爆发的时代背景 220
7.5.2 “熊猫烧香”作者简介 220
7.5.3 “熊猫烧香”蠕虫分析 221
7.5.4 “熊猫烧香”的清除与防御方法 224
第八章 特洛伊木马 228
8.1 “特洛伊木马”定义及分类 228
8.1.1 “特洛伊木马”的定义 228
8.1.2 “木马”的种类 229
8.2 木马系统结构及工作流程 230
8.2.1 木马系统结构 230
8.2.2 木马的工作流程 231
8.3 “木马”的开发技术 232
8.3.1 “木马”程序实质 232
8.3.2 “木马”的隐藏机制 235
8.3.3 “木马”的传播机制 239
8.3.4 “木马”的启动机制 240
8.4 “木马”的检测与防范 244
8.4.1 检测木马的一般流程 244
8.4.2 清除木马 248
8.4.3 木马的防范策略 248
8.5 “灰鸽子”技术分析 248
8.5.1 “灰鸽子”诞生及发展 249
8.5.2 “灰鸽子”的工作流程 249
8.5.3 “灰鸽子”主要技术分析 253
8.5.4 “灰鸽子”的清除 255