《计算机病毒分析与对抗》PDF下载

第一章　计算机病毒概述 1

1.1 生物病毒的定义和特征 1

1.1.1　生物病毒概述 1

目录 1

1.1.2　生物病毒的结构 2

1.1.3　生物病毒的繁殖 2

1.1.4　生物病毒的分类 3

1.2　计算机病毒的定义和特征 4

1.2.1　计算机病毒的起源 5

1.2.2　计算机病毒的产生 7

1.2.3　计算机病毒的特征 8

1.3 计算机病毒与生物病毒的联系与区别 9

1.3.1　病毒的本质 10

1.3.2　病毒的危害性 11

1.3.4　病毒的产生及其效果 13

1.3.3　病毒的结构方式 13

1.3.5　病毒的防治 15

1.4　计算机病毒的分类 16

1.5　病毒的基本防治 18

1.6　计算机病毒的发展 20

1.6.1　病毒的发展概述 21

1.6.2　网络蠕虫 26

1.6.3　陷门 31

1.6.4　逻辑炸弹 31

1.6.5　拒绝服务程序 32

1.6.6　特洛伊木马 34

第二章　预备知识 38

2.1 计算机病毒的结构 38

2.1.1　一个简单的计算机病毒 38

2.2　计算机磁盘的管理 39

2.1.2　计算机病毒的逻辑结构 39

2.2.1　硬盘结构简介 40

2.2.2　扩展Int 13H的技术资料 44

2.3　Windows文件系统 51

2.3.1　文件系统的发展 51

2.3.2　FAT16格式说明 54

2.3.3　FAT32文件系统 55

2.3.4　文件分配表的使用 56

2.3.5　NTFS文件格式 57

2.4　计算机的引导过程 57

2.4.1　认识计算机启动过程 58

2.4.2　主引导记录的工作原理 60

2.5 中断与异常 65

2.5.1　中断 65

2.5.2　异常 65

2.5.3　中断优先权 66

2.5.4　中断向量表 67

2.5.5　中断处理过程 68

2.6 内存管理 68

2.6.1　DOS内存布局 69

2.6.2　Windows 9x/NT内存布局 69

2.6.3　操纵内存 71

2.7 EXE文件格式 73

2.7.1　MZ文件格式 73

2.7.2　NE文件格式 75

2.7.3　PE文件格式 77

第三章　计算机病毒的基本机制 92

3.1　计算机病毒状态 92

3.2　计算机病毒的三种机制 93

3.3　计算机病毒的传播机制 98

3.3.1　病毒感染目标和过程 100

3.3.2　感染长度和感染次数 103

3.3.3　引导型病毒的感染 106

3.3.4　寄生感染 108

3.3.5　插入感染和逆插入感染 110

3.3.6　链式感染 111

3.3.7　破坏性感染 112

3.3.8　滋生感染 114

3.3.9　没有入口点的感染 115

3.3.10　OBJ、LIB和源码的感染 117

3.3.11　混合感染和交叉感染 117

3.3.12　零长度感染 118

3.4　计算机病毒的触发机制 120

3.4.1 日期和时间触发 120

3.4.2　键盘触发 126

3.4.3　感染触发 126

3.4.4　启动触发 127

3.4.5　磁盘访问触发和中断访问触发 128

3.4.6　其他触发 128

3.5　计算机病毒的破坏机制 129

3.5.1　攻击系统数据区 130

3.5.2　攻击文件和硬盘 131

3.5.3　攻击内存 134

3.5.4　干扰系统的运行 135

3.5.5　扰乱输出设备 138

3.5.6　扰乱键盘 141

第四章　DOS病毒分析 144

4.1 引导型病毒 144

4.1.1　引导型病毒的概述 144

4.1.2　引导型病毒的原理 144

4.1.3　大麻病毒分析 148

4.2.2　文件型病毒的原理 157

4.2.1　文件型病毒的概述 157

4.2　文件型病毒 157

4.2.3　“黑色星期五”病毒分析 162

4.3 混合病毒 171

第五章　Windows病毒分析 173

5.1 Win32 PE病毒 173

5.1.1　Win32 PE病毒原理 173

5.1.2　一个感染的例子分析 188

5.2　宏病毒 201

5.2.1　宏病毒的概述 201

5.2.2　宏病毒的原理 202

5.2.3　美丽莎病毒分析 212

5.3　脚本病毒 216

5.3.1 WSH介绍 216

5.3.2　VBS脚本病毒的特点 218

5.3.3　VBS脚本病毒原理分析 219

5.3.4　VBS脚本病毒的防范 226

5.3.5　爱虫病毒分析 227

5.4 网页病毒 238

5.4.1　修改注册表 240

5.4.2　操纵用户文件系统 242

5.4.3　防范措施 243

5.5 网络蠕虫 244

5.5.1　蠕虫的定义 244

5.5.2　蠕虫的行为特征 246

5.5.3　蠕虫的工作原理 247

5.5.4　蠕虫技术的发展 249

5.5.5　蠕虫的防治 249

5.5.6　SQL蠕虫王分析 250

第六章　病毒技巧 259

6.1　病毒的隐藏技术 259

6.1.1　引导型病毒的隐藏技术 259

6.1.2　文件型病毒的隐藏技术 260

6.1.3　宏病毒的隐藏技术 261

6.1.4　Windows病毒的隐藏技术 261

6.2　花指令 262

6.3 计算机病毒的简单加密 265

6.4　病毒的多态 268

6.5　病毒的变形技术 269

6.6　病毒代码的优化 279

6.7　异常处理 288

6.7.1　异常处理的方式 288

6.7.2　异常处理的过程 289

6.7.3　异常处理的参数 290

6.7.4　异常处理的例子 293

7.1.1　特洛伊木马概述 298

7.1　特洛伊木马 298

第七章　破坏性程序分析 298

7.1.2　木马的基本原理 301

7.1.3　木马的预防和清除 308

7.1.4　木马技术的发展 311

7.1.5　木马的示例—冰河 316

7.2 邮件炸弹 323

7.2.1　邮件炸弹的概述 323

7.2.2　邮件炸弹的原理 324

7.2.3　邮件炸弹的防御 330

7.2.4　垃圾邮件 334

7.3　虚假的文本文件 336

7.3.1　HTML的文本文件 336

7.3.2　恶意碎片文件 337

7.3.3　eml文本文件 339

8.1　病毒的检测技术 341

第八章　病毒对抗技术 341

8.1.1　特征值检测技术 342

8.1.2　校验和检测技术 345

8.1.3　行为监测技术 348

8.1.4　启发式扫描技术 352

8.1.5　虚拟机技术 358

8.2　病毒发现和抗病毒软件 363

8.2.1　现象观察法 363

8.2.2　抗病毒软件 365

8.2.3　感染实验分析 369

8.3　病毒的清除 370

8.3.1　引导型病毒的清除 370

8.3.2　宏病毒的清除 371

8.3.3　文件型病毒的清除 371

8.3.4　病毒的去激活 374

8.4.1　生物免疫系统 375

8.4　计算机病毒的免疫技术 375

8.4.2　计算机病毒免疫的原理 378

8.4.3　数字免疫系统 381

8.4.4　以毒攻毒 384

8.5　计算机病毒的防治 386

8.5.1　病毒入侵的途径 386

8.5.2　病毒预防的原则 387

第九章　计算机病毒的理论模型 389

9.1 基于图灵机的计算机病毒的计算模型 389

9.1.1 RAM模型 389

9.1.2　RASPM模型 391

9.1.3　图灵机模型 392

9.1.4　RASPM_ABS模型 393

9.1.5　操作系统模型 399

9.1.6　基于RASPM_ABS的病毒 401

9.2.1　Adleman病毒模型 405

9.2　基于递归函数的计算机病毒的数学模型 405

9.2.2　Adleman病毒模型的分析 407

9.2.3 田畅＆郑少仁病毒模型 408

9.2.4　李祥病毒模型的分析 410

9.3　Internet蠕虫传播模型 412

9.3.1　SIS模型和SI模型 412

9.3.2　SIR模型 413

9.3.3　网络模型中蠕虫传播的方式 415

9.3.4　SI模型的仿真 415

9.3.5　SIS模型的仿真 418

9.3.6　SIR模型的仿真 419

9.3.7　解析结果和仿真结果的对比 420

10.1 其他平台病毒的概述 423

10.1.1　安全机制与病毒 423

第十章　其他平台的病毒 423

10.1.2　Shell脚本与病毒 424

10.1.3　蠕虫 424

10.1.4　伪造的库函数 424

10.1.5　内核级的传播 426

10.1.6　Mac OS环境下的病毒 427

10.2　ELF文件格式 428

10.2.1　目标文件 428

10.2.2　ELF头 430

10.2.3　节 438

10.2.4　字符串表 446

10.2.5　符号表 447

10.2.6　重定位 452

10.2.7　程序头 456

10.2.8　程序载入 462

10.2.9　动态链接 465

10.3.1　代码段和数据段 478

10.3　基于ELF的计算机病毒 478

10.3.2　覆盖式感染 481

10.3.3　填充感染 482

10.3.4　数据段感染 485

10.3.5　代码段感染 485

10.3.6　PLT感染 486

10.3.7　Linux病毒的分析 487

10.4　移动设备（手机）病毒 487

10.4.1　手机病毒的危害 488

10.4.2　手机病毒的防治 490

10.4.3　手机病毒的发展 490

10.4.4　手机病毒的实例 493

第十一章　计算机病毒样本的提取 495

11.1　病毒样本的获取 495

11.1.1　反病毒公司的样本获取方法 495

11.2.1　一次性加／解密的病毒样本 496

11.1.2　个人如何获取病毒样本 496

11.2　VBS脚本病毒样本的提取 496

11.2.2　解密一处执行一处的病毒样本 498

11.3　宏病毒样本的提取 499

11.3.1　利用代码进行提取 500

11.3.2　利用Word直接提取 500

11.4　PE病毒样本的提取 501

11.4.1　病毒提取环境 501

11.4.2　病毒提取工具 501

11.4.3　样本提取方法 502

11.4.4　病毒样本的提取实例 505

附录A　DOS引导程序说明 510

附录B　分区类型表 516

附录C 电脑开机轰鸣声 518

附录D 电脑病毒的编年史 520

参考文献 544