電腦病毒技術及其防禦

本書從電腦病毒生命周期的全新視角，詳細介紹了電腦病毒的基本理論與主要攻防技術。電腦病毒生命周期，是指從病毒編寫誕生開始到病毒被獵殺的全生命歷程，主要包括誕生、傳播、潛伏、發作、檢測、凋亡等階段。從攻防博弈的角度，病毒的誕生、傳播、潛伏、發作等階段屬於病毒攻擊範疇，而病毒的檢測、凋亡等階段屬於病毒防禦範疇。本書以電腦病毒生命周期為邏輯主線，全景式展示電腦病毒攻防因果鏈，將內容劃分為基礎篇、攻擊篇、防禦篇3篇共9章。首先，在基礎篇中介紹了電腦病毒概論、電腦病毒基礎知識及電腦病毒分析平臺等理論基礎。其次，在攻擊篇中介紹了電腦病毒攻擊方法與技術，包括電腦病毒的誕生、傳播、潛伏、發作等攻擊技術方法。最後，在防禦篇中討論了電腦病毒防禦理論與方法，包括電腦病毒檢測、病毒免疫與凋亡等防禦技術方法。

目 錄
基 礎 篇
第1章 電腦病毒概論 002
1.1 電腦病毒起源 002
1.1.1 電腦病毒理論起源 002
1.1.2 電腦病毒游戲起源 003
1.1.3 電腦病毒科幻起源 004
1.1.4 電腦病毒實驗起源 005
1.2 電腦病毒定義 006
1.3 電腦病毒特性 006
1.3.1 繁殖性 007
1.3.2 破壞性 007
1.3.3 傳染性 007
1.3.4 潛伏性 008
1.3.5 可觸發性 008
1.3.6 衍生性 008
1.3.7 不可預見性 008
1.4 電腦病毒類型 009
1.4.1 按照存儲介質劃分 010
1.4.2 按照感染系統劃分 010
1.4.3 按照破壞性劃分 010
1.4.4 按照算法功能劃分 010
1.5 電腦病毒結構 010
1.6 電腦病毒進化 012
1.6.1 電腦病毒外部環境變遷視角 012
1.6.2 電腦病毒攻擊載體視角 015
1.6.3 電腦病毒編寫者視角 016
1.7 電腦病毒環境 018
1.7.1 電腦體系結構依賴 019
1.7.2 電腦操作系統依賴 020
1.7.3 文件系統及文件格式依賴 021
1.7.4 解釋環境依賴 022
1.8 電腦病毒生命周期 022
1.9 課後練習 024
第2章 電腦病毒基礎知識 025
2.1 Windows PE文件格式 025
2.1.1 Windows PE簡介 025
2.1.2 Windows PE文件基本概念 026
2.1.3 Windows PE文件格式 030
2.2 Powershell基礎 043
2.2.1 Powershell簡介 043
2.2.2 Powershell基本概念 044
2.2.3 Powershell安全技術 050
2.3 Windows內核機制 056
2.3.1 Windows系統體系結構 056
2.3.2 Windows的分段與分頁 057
2.3.3 Windows系統服務調用機制 058
2.4 課後練習 062
第3章 電腦病毒分析平臺 064
3.1 電腦病毒分析簡介 064
3.1.1 電腦病毒分析環境 064
3.1.2 虛擬機創建 065
3.2 電腦病毒靜態分析 067
3.2.1 反病毒引擎掃描 068
3.2.2 查找字符串 069
3.2.3 加殼與混淆檢測 070
3.2.4 PE文件格式檢測 070
3.2.5 鏈接庫與函數 071
3.3 電腦病毒動態分析 071
3.3.1 註冊表快照對比 072
3.3.2 進程監控 072
3.3.3 程序調試監控 072
3.4 電腦病毒分析文檔 073
3.4.1 電腦病毒樣本分析登記文檔 074
3.4.2 電腦病毒樣本分析結果登記文檔 074
3.4.3 電腦病毒分析報告 074
3.5 課後練習 075
攻 擊 篇
第4章 電腦病毒誕生 078
4.1 程序設計生成 078
4.1.1 編程心理學 078
4.1.2 編程經濟學 080
4.2 軟件代碼復用 084
4.2.1 代碼復用 084
4.2.2 低代碼 085
4.3 病毒生產機 086
4.4 基於ChatGPT生成病毒 087
4.4.1 ChatGPT簡介 087
4.4.2 基於ChatGPT生成病毒 087
4.5 課後練習 093
第5章 電腦病毒傳播 094
5.1 文件寄生 094
5.1.1 可執行文件寄生 094
5.1.2 數據文件寄生 101
5.2 實體註入 102
5.2.1 DLL註入 102
5.2.2 進程鏤空 108
5.2.3 註冊表註入 110
5.2.4 映像劫持 115
5.3 漏洞利用 118
5.3.1 Exploit結構 118
5.3.2 Exploit原理 118
5.3.3 Exploit實現 126
5.4 社會工程學 130
5.5 課後練習 132
第6章 電腦病毒潛伏 133
6.1 病毒隱匿 133
6.1.1 Rootkit技術 133
6.1.2 無文件病毒 165
6.2 病毒混淆 205
6.2.1 混淆原理 205
6.2.2 混淆實現 206
6.3 病毒多態 208
6.3.1 病毒多態原理 208
6.3.2 多態代碼實現 209
6.3.3 病毒多態演示 211
6.4 病毒加殼 212
6.4.1 病毒加殼原理 212
6.4.2 加殼代碼實現 213
6.4.3 病毒加殼演示 214
6.5 課後練習 215
第7章 電腦病毒發作 216
7.1 病毒啟動 216
7.1.1 註冊表啟動 216
7.1.2 實體劫持啟動 219
7.1.3 系統服務啟動 219
7.2 加密勒索 220
7.2.1 密碼學原理 221
7.2.2 加密勒索實現 222
7.3 數據泄露 223
7.4 數據銷毀 225
7.4.1 數據存儲原理 225
7.4.2 數據銷毀方法 228
7.5 軟硬件破壞 229
7.5.1 惡作劇 229
7.5.2 數據破壞 232
7.5.3 物理破壞 234
7.6 課後練習 239
防 御 篇
第8章 電腦病毒檢測 242
8.1 基於特徵碼檢測 242
8.1.1 病毒特徵碼定義 242
8.1.2 病毒特徵碼提取 245
8.1.3 病毒特徵碼檢測 246
8.2 啟發式檢測 247
8.2.1 啟發式病毒屬性 248
8.2.2 啟發式病毒檢測 248
8.3 虛擬沙箱檢測 251
8.4 數據驅動檢測 252
8.4.1 基於機器學習的病毒檢測 253
8.4.2 基於深度學習的病毒檢測 257
8.4.3 基於強化學習的病毒檢測 260
8.5 基於ChatGPT的安全防禦 262
8.5.1 電腦病毒檢測 262
8.5.2 逆向分析 263
8.5.3 漏洞發現 264
8.5.4 事件分析與響應 264
8.6 課後練習 265
第9章 電腦病毒凋亡 266
9.1 病毒獵殺 266
9.1.1 病毒獵殺流程 266
9.1.2 病毒獵殺方法 267
9.2 病毒免疫 269
9.2.1 免疫接種 270
9.2.2 疫苗註射 271
9.3 環境升級 272
9.3.1 操作系統 272
9.3.2 編程語言 274
9.3.3 安全軟件 275
9.4 課後練習 276
參考文獻 277