內容簡介
本書較全面地介紹了各種計算機病毒的基本原理、常用技術,以及對抗計算機病毒的策略、方法與技術。內容由淺入深、由易到難,注重理論聯繫實際,在介紹原理的同時,儘量給出實例分析,以期增加手工分析、查殺病毒的經驗與能力。
本書可作為信息安全專業、計算機專業本科學生的教材,也可作為廣大計算機用戶、系統管理員、計算機安全技術人員的技術參考書。同時,也可用作計算機信息安全職業培訓的教材。
目錄
第1章 計算機病毒概述
1.1 計算機病毒的定義
計算機病毒(Computer Virus)在《
中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在電腦程式中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程式代碼”。與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程式)里,當達到某種條件時即被激活,通過修改其他程式的方法將自己的精確
拷貝或者可能演化的形式放入其他程式中,從而感染其他程式,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!
1.2 計算機病毒的基本特徵與本質
繁殖性
計算機病毒可以像生物
病毒一樣進行繁殖,當
正常程式運行的時候,它也進行運行自身複製,是否具有繁殖、感染的特徵是判斷某段程式為計算機病毒的首要條件。
破壞性
計算機中毒後,可能會導致
正常的程式無法運行,把計算機內的檔案刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複製或產生
變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與
生物病毒不同的是,計算機病毒是一段人為編制的電腦程式代碼,這段程式代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程式或
存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那么病毒會在這台電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如
軟碟、
硬碟、
移動硬碟、
計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的
軟碟已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。
潛伏性
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程式,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處
繁殖、擴散,繼續危害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在螢幕上顯示
信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟檔案、對數據檔案做加密、封鎖鍵盤以及使系統死鎖等。
隱蔽性
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
可觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,
啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
1.3 計算機病毒的分類
1.4 惡意程式、蠕蟲與木馬
1.5 計算機病毒的命名規則
1.6 計算機病毒的危害與症狀
1.7 計算機病毒的傳播途徑
1.8 計算機病毒的生命周期
1.9 計算機病毒的發展簡史
1.10 計算機病毒的基本防治
1.11 研究計算機病毒的基本原則
課外閱讀:中國計算機病毒狂潮實錄
習題
第2章 預備知識
2.1 硬碟結構簡介
2.2 檔案系統
2.3 計算機的啟動過程
2.4 中斷
2.5 記憶體管理
2.6 EXE檔案的格式
課外閱讀:CIH病毒始作俑者——陳盈豪其人
習題
第3章 病毒的邏輯結構與基本機制
3.1 計算機病毒的狀態與基本環節
3.2 計算機病毒的基本結構
3.3 計算機病毒的傳播機制
3.4 檔案型病毒的感染方式
3.5 計算機病毒的觸發機制
3.6 計算機病毒的破壞機制
3.7 計算機病毒程式結構示例
課外閱讀:Windows自動啟動程式的十大藏身之所
習題
第4章 DOS病毒的基本原理與DOS病毒分析
4.1 病毒的重定位
4.2 引導型病毒
4.3 檔案型病毒
4.4 混合型病毒的基本原理
課外閱讀:後病毒時代,黑客與病毒共舞
習題
第5章 Windows病毒分析
5.1 PE病毒原理
5.2 腳本病毒
5.3 宏病毒
課外閱讀:關於NTFS檔案系統中的數據流問題
習題
第6章 網路蠕蟲
6.1 蠕蟲的起源及其定義
6.2 蠕蟲的分類與漏洞
6.3 蠕蟲的基本原理
6.4 蠕蟲的防治
6.5 “衝擊波清除者”分析
課外閱讀:緩衝區溢出與病毒攻擊原理
習題
第7章 特洛伊木馬
7.1 特洛伊木馬概述
7.2 特洛伊木馬的特性與分類
7.3 特洛伊木馬的偽裝、隱藏與啟動
7.4 透視木馬開發技術
7.5 檢測和清除特洛伊木馬
課外閱讀:CIH病毒原理的套用——物理記憶體的讀寫
習題
第8章 計算機病毒常用技術綜述
8.1 計算機病毒的隱藏技術
8.2 病毒的加密與多態技術
8.3 EPO技術簡介
8.4 病毒進入系統核心態的方法
8.5 病毒駐留記憶體技術
8.6 計算機病毒截獲系統操作的方法
8.7 計算機病毒直接API調用與異常處理技術
8.8 計算機病毒的反調試、反跟蹤、反分析技術
課外閱讀:32位代碼最佳化常識
習題
第9章 計算機病毒的檢測、清除與免疫
9.1 反病毒技術綜述
9.2 計算機病毒的防範策略
9.3 計算機病毒的診斷方法及其原理
9.4 啟發式代碼掃描技術
9.5 虛擬機查毒技術
9.6 病毒實時監控技術
9.7 計算機病毒的清除
9.8 計算機病毒的免疫技術
課外閱讀:VxD技術及其在實時反病毒中的套用
習題
第10章 UNIX/Linux病毒與手機病毒簡介
10.1 Linux系統啟動過程
10.2 ELF檔案格式
10.3 UNIX病毒概述
10.4 基於ELF的計算機病毒
10.5 手機病毒簡介
習題
附錄A 中華人民共和國計算機信息系統安全保護條例
附錄B 計算機病毒防治管理辦法
附錄C DOS功能調用一覽表
參考文獻