第1章 恶意代码概述 1
1.1 恶意代码的产生 1
1.2 恶意代码的概念 2
1.3 恶意代码的发展历史 3
1.4 恶意代码的种类 7
1.5 恶意代码的传播途径 11
1.6 感染恶意代码的症状 13
1.6.1 恶意代码的表现现象 13
1.6.2 与恶意代码现象类似的硬件故障 16
1.6.3 与恶意代码现象类似的软件故障 17
1.7 恶意代码的命名规则 17
1.8 恶意代码的最新发展趋势 19
1.9 习题 21
第2章 恶意代码模型及机理 22
2.1 基本定义 22
2.2 基于图灵机的传统计算机病毒模型 24
2.2.1 随机访问计算机模型 24
2.2.2 随机访问存储程序模型 26
2.2.3 图灵机模型 26
2.2.4 带后台存储的RASPM模型 27
2.2.5 操作系统模型 32
2.2.6 基于RASPM_ABS的病毒 33
2.3 基于递归函数的计算机病毒的数学模型 37
2.3.1 Adlemen病毒模型 38
2.3.2 Adlemen病毒模型的分析 38
2.4 Internet蠕虫传播模型 39
2.4.1 SIS模型和SI模型 40
2.4.2 SIR模型 40
2.4.3 网络模型中蠕虫传播的方式 42
2.5 恶意代码预防理论模型 42
2.6 传统计算机病毒的结构和工作机制 44
2.6.1 引导模块 45
2.6.2 感染模块 45
2.6.3 破坏模块 46
2.6.4 触发模块 47
2.7 习题 48
第3章 传统计算机病毒 49
3.1 引导型病毒编制技术 50
3.1.1 引导型病毒编制原理 50
3.1.2 引导型病毒实验 51
3.2 16位可执行文件病毒编制技术 55
3.2.1 16位可执行文件结构及运行原理 55
3.2.2 COM文件病毒原理 58
3.2.3 COM文件病毒实验 58
3.3 32位可执行文件病毒编制技术 61
3.3.1 PE文件结构及其运行原理 62
3.3.2 PE文件型病毒关键技术 62
3.3.3 从Ring3到Ring0的简述 68
3.3.4 PE文件格式实验 69
3.4 综合实验一:32位文件型病毒实验 69
3.5 习题 70
第4章 宏病毒 71
4.1 宏病毒概述 71
4.1.1 宏病毒的运行环境 72
4.1.2 宏病毒的特点 72
4.1.3 经典宏病毒 73
4.1.4 宏病毒的共性 75
4.2 宏病毒的作用机制 75
4.2.1 Word中的宏 75
4.2.2 Word宏语言 77
4.2.3 宏病毒关键技术 78
4.2.4 宏复制实验 80
4.3 Word宏病毒查杀 81
4.3.1 人工发现宏病毒的方法 81
4.3.2 手工清除宏病毒的方法 81
4.3.3 宏病毒查杀方法 82
4.3.4 宏病毒清除工具 83
4.4 预防宏病毒 84
4.5 综合实验二:类TaiWan NO.1 病毒实验 84
4.6 习题 85
第5章 特洛伊木马 86
5.1 基本概念 86
5.1.1 木马的定义 86
5.1.2 木马的分类 88
5.1.3 远程控制、木马与病毒 89
5.1.4 木马的工作流程 89
5.1.5 木马的技术发展 90
5.2 简单木马程序实验 91
5.2.1 自动隐藏 93
5.2.2 自动加载 94
5.2.3 实现Server端功能 95
5.2.4 实现Client端功能 99
5.2.5 实施阶段 101
5.3 木马程序的关键技术 101
5.3.1 植入技术 101
5.3.2 自启动技术 104
5.3.3 隐藏技术 107
5.3.4 远程线程插入实验 116
5.3.5 其他技术 117
5.4 木马防范技术 122
5.4.1 防治特洛伊木马基本知识 122
5.4.2 几种常见木马病毒的杀除方法 124
5.4.3 已知木马病毒的端口列表 126
5.5 综合实验 127
5.5.1 综合实验三:网站挂马实验 127
5.5.2 综合实验四:BO2K木马实验 130
5.5.2 综合实验五:木马病毒清除实验 131
5.6 习题 131
第6章 Linux恶意代码技术 133
6.1 Linux系统的公共误区 134
6.2 Linux系统病毒分类 134
6.3 Shell恶意脚本 135
6.3.1 Shell恶意脚本编制技术 136
6.3.2 Shell恶意脚本实验 139
6.4 ELF文件格式 139
6.5 ELF格式文件感染原理 140
6.5.1 无关ELF格式的感染方法 140
6.5.2 利用ELF格式的感染方法 143
6.5.3 高级感染技术 149
6.6 Linux ELF病毒实例 151
6.6.1 病毒技术汇总 151
6.6.2 原型病毒实现 157
6.7 综合实验六:Linux ELF病毒实验 165
6.8 习题 166
第7章 蠕虫 167
7.1 蠕虫的基本概念 167
7.1.1 蠕虫的分类 168
7.1.2 蠕虫和其他恶意代码的关系 168
7.1.3 蠕虫的危害 168
7.1.4 “震网”蠕虫 169
7.2 蠕虫的特征 170
7.3 蠕虫病毒的机理 171
7.4 基于RPC漏洞蠕虫 172
7.4.1 RPC漏洞 172
7.4.2 冲击波病毒 173
7.4.3 冲击波的Shellcode分析 174
7.4.4 冲击波实验 178
7.5 综合实验七:基于U盘传播的蠕虫实验 181
7.6 习题 183
第8章 移动智能终端恶意代码 184
8.1 移动终端恶意代码概述 184
8.2 智能手机操作系统及其弱点 186
8.2.1 常见的手机操作系统 186
8.2.2 手机操作系统的弱点 189
8.3 移动终端恶意代码关键技术 189
8.3.1 移动终端恶意代码传播途径 190
8.3.2 移动终端恶意代码攻击方式 190
8.3.3 移动终端恶意代码生存环境 190
8.3.4 移动终端设备的漏洞 191
8.4 Android恶意功能开发实验 192
8.4.1 Android短信拦截 192
8.4.2 Android电话监听 194
8.5 移动终端恶意代码实例 195
8.6 移动终端恶意代码的防范 197
8.7 移动终端安全防护工具 198
8.7.1 国外移动终端安全防护工具 198
8.7.2 国内移动终端安全防护工具 199
8.8 综合实验八:Android手机木马实验 200
8.9 习题 200
第9章 其他恶意代码 202
9.1 流氓软件 202
9.1.1 流氓软件定义 202
9.1.2 应对流氓软件的政策 203
9.1.3 流氓软件的主要特征 203
9.1.4 流氓软件的发展过程 204
9.1.5 流氓软件的分类 205
9.2 利用Outlook漏洞的恶意代码 206
9.2.1 邮件型恶意代码的传播方式 207
9.2.2 邮件型恶意代码的传播原理 207
9.2.3 邮件型恶意代码的预防 210
9.3 WebPage中的恶意代码 211
9.3.1 脚本病毒基本类型 211
9.3.2 Web恶意代码的工作机理 211
9.3.3 Web恶意代码实验 214
9.4 僵尸网络 214
9.5 Rootkit恶意代码 218
9.6 综合实验九:邮件型恶意代码实验 221
9.7 习题 222
第10章 恶意代码防范技术 223
10.1 恶意代码防范技术的发展 223
10.2 中国恶意代码防范技术的发展 224
10.3 恶意代码防范思路 226
10.4 恶意代码的检测 227
10.4.1 恶意代码的检测原理 228
10.4.2 恶意代码的检测方法 232
10.4.3 自动检测程序核心部件 233
10.4.4 恶意代码查找实验 234
10.5 恶意代码的清除 236
10.5.1 恶意代码清除的原理 236
10.5.2 恶意代码的清除方法 237
10.6 恶意代码的预防 238
10.6.1 系统监控技术 238
10.6.2 源监控技术 239
10.6.3 个人防火墙技术 239
10.6.4 系统加固技术 240
10.7 恶意代码的免疫 240
10.7.1 恶意代码免疫的原理 240
10.7.2 免疫的方法及其特点 241
10.7.3 数字免疫系统 241
10.8 数据备份与数据恢复的意义 243
10.8.1 数据备份 243
10.8.2 数据恢复 247
10.8.3 数据恢复工具 249
10.9 综合实验十:恶意代码检测实验(OAV) 251
10.10 习题 251
第11章 常用杀毒软件及其解决方案 252
11.1 恶意代码防范产业发展 252
11.2 国内外反病毒软件评测机构 254
11.2.1 WildList 254
11.2.2 AV-Test 255
11.2.3 Virus Bulletin 255
11.2.4 AV-Comparatives 256
11.2.5 ICSA 256
11.2.6 WestCoastLabs 257
11.2.7 中国的反病毒软件评测机构 258
11.3 国内外著名杀毒软件比较 258
11.3.1 杀毒软件必备功能 258
11.3.2 流行杀毒产品比较 261
11.3.3 恶意代码防范产品的地缘性 262
11.4 企业级恶意代码防治方案 265
11.4.1 企业恶意代码防范需求 266
11.4.2 企业网络的典型结构 267
11.4.3 企业网络的典型应用 268
11.4.4 恶意代码在网络上传播的过程 269
11.4.5 企业网络恶意代码防范方案 270
11.5 习题 272
第12章 恶意代码防治策略 273
12.1 恶意代码防治策略的基本准则 273
12.2 国家层面上的防治策略 274
12.3 单机用户防治策略 275
12.3.1 一般技术措施 276
12.3.2 个人用户上网基本策略 276
12.4 如何建立安全的单机系统 277
12.4.1 打牢基础 277
12.4.2 选好工具 282
12.4.3 注意方法 283
12.4.4 应急措施 283
12.4.5 自我提高 283
12.5 企业用户防治策略 284
12.5.1 如何建立防御计划 284
12.5.2 执行计划 287
12.5.3 恶意代码扫描引擎相关问题 291
12.5.4 额外的防御工具 292
12.6 未来的防范措施 295
12.7 恶意代码犯罪相关法律法规基础 298
12.7.1 中华人民共和国刑法 298
12.7.2 中华人民共和国治安管理处罚法 299
12.7.3 计算机病毒防治管理办法(公安部51号令) 299
12.7.4 全国人民代表大会常务委员会关于维护互联网安全的决定 301
12.7.5 中华人民共和国计算机信息系统安全保护条例(国务院第147号令) 301
12.7.6 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 302
12.7.7 计算机信息网络国联网安全保护管理办法(公安部第33号令) 302
12.7.8 互联网上网服务营业场所管理条例(国务院第363号令) 303
12.8 习题 303
附录A 恶意代码相关网上资源 304
附录B 相关法律法规 306
参考文献 307