第1章 计算机病毒概述 1
1.1 计算机病毒的概念 1
1.2 计算机病毒的发展历史及其危害程度 3
1.3 计算机病毒的分类 7
1.4 计算机病毒的传播途径 8
1.5 染毒计算机的症状 11
1.5.1 计算机病毒的表现现象 11
1.5.2 与计算机病毒现象类似的硬件故障 15
1.5.3 与计算机病毒现象类似的软件故障 16
1.6 计算机病毒的命名规则 16
1.7 计算机病毒的发展趋势和最新动向 18
1.8 习题 20
第2章 计算机病毒及其防范模型 21
2.1 基本定义 21
2.2 基于图灵机的计算机病毒模型 23
2.2.1 随机访问计算机模型 23
2.2.2 随机访问存储程序模型 25
2.2.3 图灵机模型 26
2.2.4 带后台存储的RASPM模型 27
2.2.5 操作系统模型 32
2.2.6 基于RASPM_ABS的病毒 34
2.3 基于递归函数的计算机病毒的数学模型 38
2.3.1 Adlemen病毒模型 38
2.3.2 Adlemen病毒模型的分析 39
2.4 Internet蠕虫传播模型 40
2.4.1 SIS模型和SI模型 41
2.4.2 SIR模型 42
2.4.3 网络模型中蠕虫传播的方式 43
2.5 计算机病毒预防理论模型 44
2.6 习题 46
第3章 计算机病毒结构及技术分析 47
3.1 计算机病毒的结构和工作机制 47
3.1.1 引导模块 47
3.1.2 感染模块 49
3.1.3 破坏模块 50
3.1.4 触发模块 50
3.2 计算机病毒的技术特征 51
3.2.1 驻留内存 51
3.2.2 病毒变种 54
3.2.3 EPO技术 55
3.2.4 抗分析技术 56
3.2.5 隐蔽性病毒技术 58
3.2.6 多态性病毒技术 60
3.2.7 插入型病毒技术 63
3.2.8 自动生产技术 63
3.2.9 网络病毒技术 64
3.3 习题 64
第4章 传统计算机病毒 66
4.1 引导型病毒编制技术 66
4.1.1 引导型病毒编制原理 67
4.1.2 引导型病毒实验(实验一) 68
4.2 16位可执行文件病毒编制技术 71
4.2.1 16位可执行文件结构及运行原理 71
4.2.2 COM文件病毒原理 75
4.2.3 COM文件病毒实验(实验二) 76
4.3 32位可执行文件病毒编制技术 76
4.3.1 PE文件结构及其运行原理 77
4.3.2 PE文件型病毒关键技术 77
4.3.3 从ring3到ring0的简述 84
4.3.4 PE文件格式实验(实验三) 84
4.3.5 32位文件型病毒实验(实验四) 85
4.4 习题 86
第5章 特洛伊木马 87
5.1 木马概述 87
5.1.1 木马的定义、组成与特征 87
5.1.2 木马的分类 89
5.1.3 远程控制、木马与病毒 90
5.1.4 木马的工作流程 90
5.1.5 木马的技术发展 91
5.2 简单木马程序实验(实验五) 93
5.2.1 自动隐藏 95
5.2.2 自动加载 96
5.2.3 实现Server端功能 97
5.2.4 实现Client端功能 102
5.2.5 实施阶段 103
5.3 木马程序的关键技术 104
5.3.1 植入技术及实验(实验六) 104
5.3.2 自启动技术 110
5.3.3 隐藏技术 113
5.3.4 其他技术 122
5.4 木马防范技术及经验 128
5.4.1 全面防治特洛伊木马 128
5.4.2 几种常见木马病毒的杀除方法 130
5.4.3 已知木马病毒的端口列表 132
5.4.4 木马病毒清除实验(实验七) 134
5.5 习题 134
第6章 宏病毒 136
6.1 宏病毒概述 136
6.1.1 宏病毒的运行环境 136
6.1.2 宏病毒的特点 137
6.1.3 经典宏病毒 138
6.1.4 宏病毒的共性 140
6.2 宏病毒的作用机制 140
6.2.1 Word中的宏 141
6.2.2 Word宏语言 142
6.2.3 宏病毒关键技术 143
6.3 Word宏病毒查杀 145
6.3.1 人工发现宏病毒的方法 145
6.3.2 手工清除宏病毒的方法 146
6.3.3 宏病毒查杀方法 146
6.3.4 宏病毒清除工具 147
6.4 预防宏病毒 148
6.5 Word宏病毒实验 149
6.5.1 宏复制实验(实验八) 149
6.5.2 类台湾1号病毒实验(实验九) 150
6.6 习题 151
第7章 Linux病毒技术 152
7.1 一些公共的误区 152
7.2 Linux系统病毒的分类 153
7.3 Linux系统下的脚本病毒 154
7.3.1 Linux脚本病毒编制技术 155
7.3.2 Linux脚本病毒实验(实验十) 158
7.4 ELF文件格式 159
7.5 ELF格式文件感染原理 159
7.5.1 无关ELF格式的感染方法 159
7.5.2 利用ELF格式的感染方法 163
7.5.3 高级感染技术 171
7.6 Linux ELF病毒实例 173
7.6.1 病毒技术汇总 173
7.6.2 原型病毒实现 181
7.6.3 Linux ELF病毒实验(实验十一) 190
7.7 习题 190
第8章 移动终端恶意代码 192
8.1 移动终端恶意代码概述 192
8.2 移动终端操作系统 193
8.2.1 智能手机操作系统 194
8.2.2 PDA操作系统 197
8.2.3 移动终端操作系统的弱点 200
8.3 移动终端恶意代码关键技术 200
8.3.1 移动终端恶意代码传播途径 201
8.3.2 移动终端恶意代码攻击方式 201
8.3.3 移动终端恶意代码生存环境 201
8.3.4 移动终端设备的漏洞 203
8.4 移动终端恶意代码实例 203
8.5 移动终端恶意代码的防范 205
8.6 移动终端杀毒工具 206
8.7 习题 208
第9章 新型计算机病毒 209
9.1 蠕虫病毒 209
9.1.1 蠕虫的基本概念 209
9.1.2 蠕虫和传统病毒的关系 210
9.1.3 蠕虫病毒的危害 210
9.1.4 蠕虫病毒的特性 211
9.1.5 蠕虫病毒的机理 212
9.1.6 基于U盘传播的蠕虫病毒实验(实验十二) 213
9.2 利用Outlook漏洞编写病毒 215
9.2.1 邮件型病毒的传播方式 215
9.2.2 邮件型病毒的传播原理 215
9.2.3 邮件型病毒预防 218
9.2.4 邮件型病毒实验(实验十三) 219
9.3 WebPage中的恶意代码 220
9.3.1 脚本病毒基本类型 221
9.3.2 Web恶意代码工作机理 221
9.3.3 Wcb恶意代码实验(实验十四) 224
9.4 流氓软件 225
9.4.1 流氓软件的定义 225
9.4.2 应对流氓软件的政策 225
9.4.3 流氓软件的主要特征 226
9.4.4 流氓软件的发展过程 226
9.4.5 流氓软件的分类 228
9.5 僵尸网络 229
9.6 Rootkit病毒 233
9.7 习题 237
第10章 计算机病毒的防范技术 239
10.1 计算机病毒防范技术现状 239
10.2 计算机病毒防范思路 241
10.3 计算机病毒的检测 242
10.3.1 计算机病毒的检测原理 242
10.3.2 计算机病毒的检测方法 248
10.3.3 自动检测的源码分析 248
10.3.4 计算机病毒查找实验(实验十五) 250
10.4 计算机病毒的清除 251
10.4.1 计算机病毒清除的原理 251
10.4.2 计算机病毒的清除方法 254
10.5 计算机病毒的预防 254
10.5.1 系统监控技术 254
10.5.2 源监控技术 255
10.5.3 个人防火墙技术 255
10.5.4 系统加固技术 256
10.6 计算机病毒的免疫 256
10.6.1 计算机病毒免疫的原理 257
10.6.2 免疫的方法及其特点 257
10.6.3 数字免疫系统 258
10.7 数据备份和数据恢复 259
10.7.1 数据备份 260
10.7.2 数据恢复 264
10.7.3 数据恢复工具箱 267
10.8 习题 268
第11章 常用杀毒软件及其解决方案 269
11.1 国内外著名杀毒软件比较 269
11.1.1 杀毒软件必备功能 269
11.1.2 杀毒产品使用和配置 271
11.1.3 流行杀毒产品比较 272
11.1.4 反病毒产品的地缘性 277
11.2 企业级病毒防治方案 280
11.2.1 企业防病毒的需求 280
11.2.2 企业网络的典型结构 282
11.2.3 企业网络的典型应用 283
11.2.4 病毒在网络上传播的过程 284
11.2.5 企业网络防病毒方案 285
11.3 习题 287
第12章 计算机病毒防治策略 288
12.1 计算机病毒防治策略的基本准则 288
12.2 国家层面上的病毒防治策略 289
12.3 单机用户病毒防治策略 291
12.3.1 一般技术措施 291
12.3.2 上网基本策略 292
12.4 企业病毒防治策略 293
12.4.1 如何建立防御计划 293
12.4.2 执行计划 296
12.4.3 反病毒扫描引擎相关问题 301
12.4.4 额外的防御工具 302
12.5 未来的防范措施 306
12.6 防病毒相关法律法规 310
12.7 习题 316
附录 计算机病毒相关网上资源 317
参考文献 319