《計算機病毒揭秘與對抗》 是電子工業出版社出版的圖書, ISBN是9787121146053
基本介紹
- 書名:計算機病毒揭秘與對抗
- 作者:王倍昌
- ISBN:9787121146053
- 出版社:電子工業出版社
圖書基本信息,圖書內容簡介,圖書讀者對象,圖書章節目錄,繁殖性,破壞性,傳染性,潛伏性,隱蔽性,可觸發性,
圖書基本信息
作者:
出版社:
ISBN號:
出版日期:2011-10
字數:679千字
定價:¥69.00元
頁碼:544
開本:16
圖書內容簡介
隨著計算機及其套用的發展,計算機病毒迅速泛濫,已極大地影響著廣大的計算機用戶,幾乎所有的計算機用戶都受到過計算機病毒的困擾。本書將深入揭秘計算機病毒完成各種功能(如:隱藏自身、隱蔽執行、自動運行、感染正常程式、自我保護等)所使用的病毒技術原理,並且介紹相應的對抗技術,同時也介紹了當今流行的反病毒技術。掌握這些技術後,就可以開發出自己的計算機病毒查殺工具、計算機病毒分析工具、反病毒掃描工具、系統恢復工具等實用性工具,從而幫助您成為專業的反病毒工程師。
圖書讀者對象
本書適用於作為大專院校計算機相關專業師生參考用書,也適合於廣大計算機愛好者閱讀。
圖書章節目錄
目 錄
第1章 計算機病毒概述1
1.1 計算機病毒基本知識1
1.1.1 計算機病毒概念1
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在電腦程式中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程式代碼”。與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程式)里,當達到某種條件時即被激活,通過修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中,從而感染其他程式,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!
1.1.2 計算機病毒的特點2
繁殖性
破壞性
計算機中毒後,可能會導致正常的程式無法運行,把計算機內的檔案刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複製或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的電腦程式代碼,這段程式代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程式或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那么病毒會在這台電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如軟碟、硬碟、移動硬碟、計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的軟碟已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。
潛伏性
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程式,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續危害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在螢幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟檔案、對數據檔案做加密、封鎖鍵盤以及使系統死鎖等。
隱蔽性
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
可觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
1.1.3 計算機病毒的產生與發展4
1.1.4 計算機病毒的分類12
1.1.5 計算機病毒的命名18
1.2 計算機病毒的防治19
1.2.1 計算機病毒的危害19
1.2.2 如何防止計算機中毒21
1.2.3 計算機中毒後的處理24
第2章 計算機病毒行為揭秘27
2.1 Windows系統基礎知識27
2.1.1 Windows系統的NT架構27
2.1.2 Windows系統相關概念33
2.2 計算機病毒常見表現行為及
目的44
2.2.1 病毒如何爆發44
2.2.2 病毒為何長期存在45
2.2.3 病毒因何難以察覺46
2.2.4 病毒為何難以查殺清除46
2.2.5 病毒爆發後對系統的整體
影響47
2.3 計算機病毒通用分析方法48
2.3.1 行為分析49
2.3.2 代碼分析49
第3章 Windows系統編程51
3.1 字元集編碼51
3.1.1 MBCS(多位元組字元系統)51
3.1.2 Unicode(統一碼)52
3.1.3 字元相關的Windows API
函式53
3.2 進程相關開發53
3.2.1 進程創建53
3.2.2 進程相關操作61
3.2.3 進程操作類的封裝80
3.3 執行緒相關開發及多執行緒同步
控制88
3.3.1 執行緒創建88
3.3.2 執行緒執行原理101
3.3.3 執行緒相關操作104
3.3.4 多執行緒同步控制118
3.4 註冊表操作開發129
3.4.1 註冊表鍵的操作130
3.4.2 註冊表鍵值的操作139
3.5 檔案、目錄、驅動器相關操作
開發145
3.5.1 檔案基本操作145
3.5.2 獲取檔案信息152
3.5.3 檔案遍歷操作153
3.5.4 記憶體映射檔案157
3.5.5 資料夾操作163
3.5.6 驅動器操作165
3.6 網路編程167
3.6.1 區域網路訪問控制技術167
3.6.2 Socket編程173
3.7 動態程式庫相關開發187
3.7.1 DLL程式的開發189
3.7.2 DLL程式的利用192
3.8 服務開發200
3.8.1 服務程式的工作原理202
3.8.2 服務程式的安裝與卸載209
3.8.3 一個簡單服務程式的開發213
3.8.4 服務的遍歷220
第4章 PE檔案編程225
4.1 PE檔案格式概述225
4.2 PE結構查看工具238
4.3 PE檔案解析開發246
4.3.1 載入PE檔案246
4.3.2 封裝PE檔案操作類250
4.3.3 解析節表255
4.3.4 解析導入表258
4.3.5 解析導出表269
4.3.6 解析資源282
4.3.7 解析重定位表293
4.3.8 處理附加數據298
第5章 計算機病毒的慣用技術
實現原理及對策300
5.1 隱藏執行——注入技術300
5.1.1 DLL注入300
5.1.2 注入DLL應對措施319
5.1.3 遠程代碼注入332
5.1.4 遠程代碼注入防毒方案349
5.2 病毒各種自啟動手段揭秘349
5.2.1 利用系統自啟動功能350
5.2.2 利用SPI351
5.2.3 DLL劫持373
5.2.4 BHO380
5.2.5 服務劫持390
5.3 計算機病毒感染原理及清除
方法406
5.3.1 常見感染型病毒的感染原理406
5.3.2 感染型病毒的查殺412
5.3.3 各種感染型病毒的清除示例413
5.4 加殼與脫殼437
5.4.1 殼的種類438
5.4.2 殼的原理438
5.4.3 簡易加殼軟體的實現438
5.4.4 靜態脫殼機的編寫484
第6章 高級反病毒技術492
6.1 虛擬機技術493
6.1.1 虛擬機的實現493
6.1.2 虛擬機在反病毒領域中的
套用520
6.1.3 病毒與虛擬機的對抗522
6.2 雲查殺技術523
6.3 啟發式掃描技術524
6.3.1 動態啟發式524
6.3.2 靜態啟發式525
6.4 主動防禦技術525