計算機病毒與惡意代碼

第1章 認識計算機病毒 1
1.1 計算機病毒及其發展 2
1.1.1 計算機病毒的概念 2
1.1.2 計算機病毒的發展過程 2
1.2 計算機病毒的特點及主要類型 8
1.2.1 計算機病毒的特點 8
1.2.2 計算機病毒的主要類型 10
1.3 計算機病毒和惡意軟件的區別 11
1.3.1 常見惡意代碼的命名規則 11
1.3.2 常見惡意代碼的前綴 12
1.4 計算機病毒的危害及預防措施 13
1.4.1 計算機病毒的生命周期 13
1.4.2 計算機病毒的危害 14
1.4.3 常見計算機病毒的預防措施 14
1.5 體會病毒程序 15
1.5.1 批處理文件 15
1.5.2 關機程序 15
1.5.3 修改密碼和定時關機的病毒程序 16
第2章 構建病毒的分析環境 23
2.1 常用的分析工具 24
2.1.1 UltraEdit 24
2.1.2 文件的修復 27
2.1.3 捆綁文件的分離 29
2.2 虛擬機系統 31
2.2.1 關於VMware Workstation 31
2.2.2 虛擬機系統的安裝 31
2.3 IceSword的使用 35
2.3.1 IceSword的簡介 35
2.3.2 IceSword的主要功能 36
2.4 Filemon的使用 42
2.4.1 Filemon的簡介 42
2.4.2 Filemon的主要功能 42
2.5 RegSnap的使用 43
2.5.1 RegSnap的簡介 43
2.5.2 RegSnap的主要功能 44
2.6 註冊表的使用 45
2.6.1 註冊表的功能及結構 45
2.6.2 註冊表的常用操作及命令 49
2.6.3 註冊表操作函數 51
2.6.4 註冊表的操作 56
第3章 計算機病毒的檢測與免疫 60
3.1 計算機病毒的預防 61
3.2 計算機病毒的免疫方法 63
3.2.1 特定免疫方法 63
3.2.2 基於完整性檢查的免疫方法 64
3.3 計算機病毒的檢測方法 65
3.3.1 基於現象觀察法 65
3.3.2 基於對比法 66
3.3.3 基於加和對比法 66
3.3.4 基於搜索法 67
3.3.5 基於軟件仿真掃描法 67
3.3.6 基於先知掃描法 68
3.3.7 基於人工智能陷阱技術 68
3.4 U盤病毒實踐 68
第4章 腳本病毒的分析與防治 71
4.1 腳本病毒的技術原理 72
4.1.1 腳本病毒 72
4.1.2 腳本病毒的技術特征 73
4.2 腳本病毒的破壞性和清除 75
4.3 腳本病毒的行為分析 79
4.3.1 利用磁盤文件對象 79
4.3.2 註冊表惡意篡改 81
4.4 萬花谷病毒的實例分析 82
4.4.1 萬花谷病毒的源代碼分析 82
4.4.2 萬花谷病毒的行為分析及清除 84
4.5 新歡樂時光病毒的實例分析 86
4.5.1 新歡樂時光病毒的介紹 86
4.5.2 新歡樂時光病毒的特征 88
4.5.3 新歡樂時光病毒的源代碼分析 88
4.5.4 新歡樂時光病毒的行為分析 97
4.5.5 手工清除新歡樂時光病毒 98
4.6 腳本病毒防治 100
4.6.1 隱藏和恢復驅動器 100
4.6.2 修改和恢復IE標題 101
4.6.3 隱藏和恢復“開始”菜單中的“運行”命令 103
第5章 宏病毒的分析與防治 107
5.1 關於宏病毒 108
5.1.1 宏 108
5.1.2 Office文檔的文件格式 108
5.1.3 宏病毒的原理 109
5.2 宏病毒的特點 110
5.2.1 自動運行 110
5.2.2 調用API和外部程序 111
5.2.3 宏代碼混淆 111
5.3 宏病毒的檢測 113
5.4 宏病毒的預防和清除 113
5.4.1 宏病毒的預防 113
5.4.2 宏病毒的清除 114
5.5 宏的制作和清除 116
5.5.1 宏的錄制 116
5.5.2 宏的編輯 117
5.5.3 宏的清除 119
第6章 PE病毒的分析與防治 122
6.1 PE文件的結構 123
6.1.1 PE文件的定義 123
6.1.2 DOS頭部文件的結構 123
6.1.3 PE頭部文件的結構 123
6.1.4 表的結構 125
6.1.5 PE節的結構 126
6.2 PE病毒的判斷 126
6.2.1 判斷PE文件中的程序入口 126
6.2.2 根據PE結構提取特征代碼 126
6.3 鏈接庫與函數 127
6.3.1 靜態鏈接 127
6.3.2 動態鏈接 127
6.3.3 運行時鏈接 128
6.3.4 基於鏈接的分析 128
6.4 CIH病毒的分析清除案例 129
6.4.1 CIH病毒的簡介 129
6.4.2 CIH病毒的識別 129
6.4.3 CIH病毒的源代碼分析 129
6.5 PE病毒的分析與清除 132
6.5.1 執行病毒感染 133
6.5.2 對比分析感染過程 135
6.5.3 逆向清除和恢復 137
第7章 蠕蟲病毒的分析與防治 144
7.1 蠕蟲病毒的主要特點 145
7.1.1 蠕蟲病毒的簡介 145
7.1.2 蠕蟲病毒與傳統病毒的區別 145
7.2 蠕蟲病毒的攻擊原理 146
7.2.1 漏洞與緩沖區溢出 146
7.2.2 緩沖區溢出漏洞的服務器模型 147
7.2.3 服務器模型的實現 148
7.2.4 模型的漏洞分析 148
7.2.5 蠕蟲病毒的傳播模型 149
7.2.6 蠕蟲病毒探測模塊的實現方式 150
7.3 沖擊波病毒的源代碼分析 152
7.3.1 沖擊波病毒的簡介 152
7.3.2 感染沖擊波病毒的主要癥狀 152
7.3.3 源代碼分析 153
7.4 熊貓燒香病毒的分析 161
7.4.1 熊貓燒香病毒的特點 161
7.4.2 熊貓燒香病毒的源代碼分析 162
7.4.3 熊貓燒香病毒主要行為的分析 170
7.4.4 手動清除熊貓燒香病毒 174
7.5 SysAnti病毒的分析 174
7.5.1 實驗準備 175
7.5.2 SysAnti病毒的主要病毒文件 175
7.5.3 SysAnti病毒在系統中的其他信息 177
7.5.4 手動清除SysAnti病毒 179
7.5.5 程序清除SysAnti病毒 180
第8章 木馬病毒的分析與防治 184
8.1 關於木馬病毒 185
8.1.1 木馬病毒的定義 185
8.1.2 木馬病毒的危害 185
8.1.3 木馬病毒的特點 186
8.1.4 木馬病毒的分類 187
8.2 木馬病毒的攻擊原理 187
8.2.1 木馬病毒的模型 187
8.2.2 木馬病毒的植入技術 189
8.2.3 木馬病毒的自啟動技術 189
8.2.4 自啟動程序的實現 191
8.2.5 木馬病毒的隱藏手段 192
8.2.6 木馬進程的隱藏 193
8.3 紅色代碼病毒的分析 195
8.3.1 紅色代碼病毒的簡介 195
8.3.2 紅色代碼病毒的變種 195
8.3.3 紅色代碼病毒的源代碼分析 196
8.3.4 紅色代碼病毒的源代碼防治 200
8.4 sxs.exe病毒的分析與清除 201
8.4.1 sxs.exe病毒的行為記錄 201
8.4.2 sxs.exe病毒的行為分析 203
8.4.3 手動清除sxs.exe病毒 204
8.4.4 程序清除sxs.exe病毒 205
第9章 郵件病毒的分析與防治 209
9.1 關於郵件病毒 210
9.1.1 郵件病毒 210
9.1.2 郵件病毒的危害 210
9.1.3 郵件病毒的預防措施 211
9.2 垃圾郵件的分析與過濾 211
9.2.1 垃圾郵件與郵件蠕蟲 211
9.2.2 垃圾郵件的識別技術 212
9.2.3 垃圾郵件的來源追蹤 214
9.3 反垃圾郵件技術 215
9.3.1 SPF 215
9.3.2 DKIM標準 216
9.3.3 DMARC協議 216
9.3.4 反垃圾郵件網關 216
9.4 梅麗莎病毒的剖析 218
9.4.1 梅麗莎病毒的簡介 218
9.4.2 梅麗莎病毒的源代碼分析 218
9.4.3 梅麗莎病毒的行為狀態分析 221
9.4.4 梅麗莎病毒的清除 223
9.5 金豬報喜病毒的分析和清除 224
9.5.1 實驗準備 224
9.5.2 金豬報喜病毒的主要病毒文件 224
9.5.3 金豬報喜病毒在系統中的其他信息 225
9.5.4 手動清除金豬報喜病毒 227
9.5.5 程序清除金豬報喜病毒 228
第10章 移動終端惡意代碼的分析與防護 233
10.1 移動終端系統與惡意代碼 234
10.1.1 移動終端惡意代碼的概述 234
10.1.2 主流移動終端操作系統 234
10.1.3 移動終端操作系統存在的問題 236
10.2 移動終端惡意代碼的關鍵技術 237
10.2.1 移動終端惡意代碼的傳播方式 237
10.2.2 移動終端惡意代碼的攻擊方式 237
10.2.3 移動終端惡意代碼的生存環境 237
10.2.4 移動終端的漏洞 238
10.3 移動終端惡意代碼的分類與防範 238
10.3.1 移動終端惡意代碼的分類 238
10.3.2 移動終端惡意代碼的防範 240
10.4 移動終端的殺毒工具 240
10.4.1 國外移動終端惡意代碼的防範技術及其產品 240
10.4.2 國內移動終端惡意代碼的防範技術及其產品 241
10.5 手機漏洞與移動支付安全 242
10.5.1 手機漏洞的現狀 242
10.5.2 移動支付的相關漏洞 243
10.5.3 移動支付安全的解決方案 244
第11章 反映像劫持技術 251
11.1 關於映像劫持 252
11.1.1 映像劫持的概述 252
11.1.2 映像劫持的原理 252
11.2 調試器 253
11.2.1 主要參數 253
11.2.2 重定向機制 253
11.3 映像劫持的過程和防禦 254
11.3.1 過程演示 254
11.3.2 查找和清除映像劫持 257
11.4 SysAnti病毒映像劫持 257
11.4.1 SysAnti病毒映像劫持的分析 257
11.4.2 SysAnti病毒映像劫持的清除 259
第12章 反病毒策略 262
12.1 病毒的防治策略 263
12.1.1 多層次保護策略 263
12.1.2 基於點的保護策略 263
12.1.3 集成方案策略 264
12.1.4 被動型策略和主動型策略 264
12.1.5 基於訂購的防病毒支持服務 264
12.2 瀏覽器的安全介紹 264
12.2.1 IE的安全 264
12.2.2 360安全瀏覽器的安全 266
12.3 主流反病毒產品的簡介 267
12.3.1 趨勢維C片 267
12.3.2 企業防毒墻 267
12.3.3 InterScan郵件安全版 268
12.3.4 Microsoft Exchange與IBM Domino的防病毒軟件 268
12.4 集成雲安全技術 270
12.4.1 IWSA防病毒網關 270
12.4.2 IWSS的反病毒產品 271
參考文獻 276