計算機病毒分析與對抗

本書不僅介紹、分析了DOS病毒和Windows病毒，而且還分析了其他平台的病毒，從計算機病毒的結構、原理、原始碼等方面進行了比較深入的分析，介紹了計算機病毒的自我隱藏、自加密、多態、變形、代碼最佳化、SEH等基本的抗分析和自我保護技術，此外還分析了木馬和郵件炸彈等破壞性程式，在病毒防治技術方面，本書重點闡述了幾種常見的病毒檢測對抗技術，並比較詳細地介紹了各類計算機病毒樣本的提取過程。另外，本書也從計算機病毒的數學模型角度更深層地對計算機病毒特徵進行了歸納和探索。

本書通俗易懂，注重可操作性用實用性。通過對典型的計算機病毒進行實例分析，使讀者能夠舉一反三。本書可作為廣大計算機用戶、系統管理員、計算機安全技術人員的技術參考書，特別是可用做信息安全、計算機與其他信息學科本科生的教材。同時，也可用做計算機信息安全職業培訓的教材。

第一章 計算機病毒概述

1.1 生物病毒的定義和特徵

1.2 計算機病毒的定義和特徵

計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒指“編制者在電腦程式中插入的破壞計算機功能或者破壞數據，影響計算機使用並且能夠自我複製的一組計算機指令或者程式代碼”。與醫學上的“病毒”不同，計算機病毒不是天然存在的，是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式代碼。它能通過某種途徑潛伏在計算機的存儲介質（或程式）里，當達到某種條件時即被激活，通過修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中，從而感染其他程式，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大！

1.3 計算機病毒與生物病毒的聯繫與區別

1.4 計算機病毒的分類

1.5 病毒的基本防治

1.6 計算機病毒的發展

第二章 預備知識

2.1 計算機病毒的結構

2.2 計算機磁碟的管理

2.3 Windows檔案系統

2.4 計算機的引導過程

2.5 中斷與異常

2.6 記憶體管理

2.7 EXE檔案格式

第三章 計算機病毒的基本機制

3.1 計算機病毒狀態

計算機病毒在傳播的過程中存在兩種狀態:靜態和動態.

靜態病毒,是指存在於輔助存儲介質中的病毒,一般不執行破壞能力和表現功能.其傳播只能通過拷貝實現.靜態病毒未被載入,未進入記憶體,不能獲得系統執行許可權.病毒處於靜態,有兩種可能:1.沒有用戶啟動該病毒或運行感染了該病毒的檔案;2.該病毒存在於不可執行它功能的作業系統中.

當病毒完成引導,進入記憶體,便處於動態.動態病毒處於運行狀態,通過截獲盜用系統中斷等方式監視系統運行狀態或竊取系統控制權.病毒的主動傳染和破壞作用,都是動態病毒的運行結果.

我們把病毒由靜態轉化為動態的過程叫做病毒的啟動.記憶體中的動態病毒又存在兩種形式:可激活態和激活態.當記憶體中的病毒代碼能夠被系統的正常機制所執行的時候,動態病毒便處於可激活狀態.系統正在執行病毒代碼時,病毒處於激活狀態.可激活狀態的病毒通過截獲系統中斷等正常運行機制來獲得系統控制權,轉化為激活狀態.處於可激活狀態的病毒只能獲得部分系統控制權.而處於激活狀態的病毒獲得了全部的系統控制權.

記憶體中的病毒還有一種狀態----失活態.它的出現是用戶對病毒進行了干預.記憶體中的病毒代碼不能被系統機制正常執行,此時處於失活態.它與靜態病毒的不同僅在於其存在記憶體中且得不到執行.如果用戶把向量中斷表恢復為正常值,那么病毒將由激活態轉化為失活態.可激活態的病毒將失去可觸發性.一般激活態病毒不會自己轉化為失活態,失活態的出現必然有外在干預.

針對不同狀態的病毒採用不同的清除方法,對於靜態病毒一般採用靜態代碼分析,從感染的檔案中"摘除"病毒碼即可,而對於動態病毒,要先保證記憶體乾淨,然後清理.

3.2 計算機病毒的三種機制

3.3 計臬機病毒的傳播機制

3.4 計算機病毒的觸發機制

3.5 計算機病毒的破壞機制

第四章 DOS病毒分析

4.1 引導型病毒

4.2 檔案型病毒

第五章 Windows病毒分析

5.1 Win32PE病毒

5.2 宏病毒

5.3 腳本病毒

5.4 網頁病毒

5.5 網路蠕蟲

第六章 病毒技巧

6.1 病毒的隱藏技術

6.2 花指令

6.3 異常處理

第七章 破壞性程式分析

7.1 特洛伊木馬

7.2 郵件炸彈

7.3 虛假的文本檔案

第八章 病毒對抗技術

第九章 計算機病毒的理論模型

第十章 其他平台的病毒

第十一章 計算機病毒樣本的提取

附錄A DOS引導程式說明

附錄B 分區類型表

附錄C 電腦開機轟鳴聲

附錄D 電腦病毒的編年史

參考文獻

……