計算機病毒分析與防範大全(第3版)(含CD光盤1張)（簡體書）

本書是作者在信息安全領域多年經驗的總結和提煉。本書從計算機病毒的定義及特征開始，將目前發現的所有計算機病毒加以分類，總結出每一類病毒的共性和特征，提出具有針對性的防范建議，以便普通讀者揭開病毒的神秘面紗，構建自己的防范體系。

目 錄
第一篇 認識計算機病毒

第1章 什么是計算機病毒 2
1.1 計算機病毒的定義 2
1.2 計算機病毒的特征 3
1.3 計算機病毒的結構 8
1.3.1 計算機病毒的程序結構 8
1.3.2 計算機病毒的存儲結構 8
1.4 計算機病毒的分類及命名 10
1.4.1 根據寄生的數據存儲方式劃分 11
1.4.2 根據感染文件類型劃分 12
1.4.3 根據傳播途徑分類 12
1.4.4 列舉幾種具有代表性
的病毒類型 12
1.5 計算機病毒的命名規則 14
1.6 計算機病毒的入侵方式 17
1.7 計算機病毒的生命周期 17
1.8 計算機病毒的傳播 18
第2章 計算機病毒發展史 20
2.1 計算機病毒的起源及其發展過程 20
2.2 計算機病毒大事記 24
2.3 計算機病毒的發展趨勢 33
2.3.1 智能化 33
2.3.2 人性化 34
2.3.3 隱蔽化 34
2.3.4 多樣化 34
2.3.5 專用病毒生成工具的出現 34
2.3.6 攻擊反病毒軟件 35
2.3.7 病毒的互聯網化 35
第3章 計算機病毒的危害 36
3.1 計算機病毒編制者的目的 36
3.1.1 惡作劇（開玩笑） 36
3.1.2 報復心理 37
3.1.3 保護版權 38
3.1.4 娛樂需要 38
3.1.5 政治或軍事目的 38
3.1.6 獲取經濟利益 39
3.2 計算機病毒對計算機應用的影響 39
3.2.1 破壞數據 39
3.2.2 占用磁盤存儲空間 40
3.2.3 搶占系統資源 40
3.2.4 影響計算機運行速度 40
3.2.5 計算機病毒錯誤與不可
預見的危害 40
3.2.6 計算機病毒的兼容性對
系統運行的影響 41
3.2.7 計算機病毒給用戶造成
嚴重的心理壓力 41
3.2.8 計算機病毒對計算機用戶
隱私信息的威脅 41
3.3 計算機病毒造成的社會危害 41
3.4 計算機病毒在國家安全上的影響 45
3.4.1 直面軍事信息安全的挑戰 45
3.4.2 高度依賴信息系統的美軍
青睞計算機病毒武器 46
3.4.3 防患未然要從細節做起 48
第二篇 計算機病毒分析

第4章 追根溯源——傳統計算機
病毒概述 50
4.1 早期的DOS病毒介紹 50
4.1.1 DOS操作系統簡介 50
4.1.2 DOS病毒 50
4.2 Office殺手——宏病毒 51
4.2.1 什么是“宏” 51
4.2.2 宏病毒的定義 52
4.2.3 宏病毒的特點 53
4.2.4 宏病毒的發作現象及處理 53
4.2.5 典型的宏病毒——
“七月殺手”病毒 55
4.2.6 防范宏病毒的安全建議 56
4.3 變化多端的文件型病毒 57
4.3.1 文件型病毒的復制機制 57
4.3.2 文件型病毒的分類 58
4.3.3 文件型病毒的發展史 58
4.3.4 文件型病毒簡介 60
4.3.5 典型的文件型病毒——
WIN95.CIH病毒解剖 63
4.3.6 新CIH病毒（WIN32.Yami）
剖析 66
4.4 攻擊磁盤扇區的引導型病毒 67
4.4.1 引導型病毒背景介紹 67
4.4.2 引導型病毒的主要特點和分類 70
4.4.3 引導型病毒的發作現象及處理 70
4.4.4 典型的引導型病毒——WYX
病毒解析 73
4.4.5 防范引導區病毒的安全建議 76
第5章 互聯網時代的瘟疫——蠕蟲病毒 77
5.1 背景介紹 77
5.1.1 蠕蟲病毒的起源 78
5.1.2 蠕蟲病毒與普通病毒的比較 79
5.1.3 蠕蟲病毒的特點和發展趨勢 79
5.1.5 蠕蟲病毒的傳播 80
5.2 病毒的特點及危害 80
5.2.1 蠕蟲病毒的特點 80
5.2.2 蠕蟲病毒造成的社會危害 81
5.3 蠕蟲病毒的發作現象及處理方法 83
5.3.1 “SP2殺手”蠕蟲病毒 84
5.3.2 “魔波”（Worm.Mocbot.a）
蠕蟲病毒 86
5.3.3 “SCO炸彈”（Worm.Novarg） 88
5.3.4 惡性蠕蟲病毒——“斯文”
（Worm.Swen） 88
5.4 典型蠕蟲病毒解析 89
5.4.1 “熊貓燒香”病毒解析 89
5.4.2 Worm.Win32.WebDown.a
蠕蟲病毒解析 99
5.5 防范蠕蟲病毒的安全建議 102
5.6 蠕蟲病毒防范實驗 103
5.6.1 實驗目的 104
5.6.2 實驗大綱 104
5.6.3 實驗工具軟件 104
5.6.4 實驗過程簡述 104
第6章 隱藏的危機——木馬病毒分析 106
6.1 木馬病毒的背景介紹 106
6.2 木馬病毒的隱藏性 107
6.3 典型的木馬病毒 112
6.3.1 “灰鴿子”（Backdoor.Huigezi） 112
6.3.2 盜號木馬GameOnline 116
6.3.3 RootKit鍵盤記錄器木馬 117
6.4 木馬病毒的又一重要傳播途徑——
網站掛馬 119
6.4.1 網頁掛馬的概念 119
6.4.2 常見的網頁掛馬方式 119
6.5 防范木馬病毒的安全建議 120
第7章 網頁沖浪的暗流——網頁腳本
病毒分析 126
7.1 腳本病毒的背景知識介紹 126
7.1.1 VBScript概述 126
7.1.2 “WSH”概述 127
7.1.3 有關注冊表的基本知識 127
7.2 腳本病毒的特點 128
7.3 腳本病毒的發作現象及處理 129
7.4 典型腳本病毒分析 133
7.4.1 “自動播放”（Autorun）
腳本病毒分析 133
7.4.2 腳本病毒Hack.Exploit.Script.
JS.Iframe.z分析 139
7.5 防范腳本病毒的安全建議 140
7.6 腳本及惡意網頁實驗 141
7.6.1 實驗目的 142
7.6.2 實驗內容 142
7.6.3 實驗用工具軟件及操作系統 142
7.6.4 實驗背景知識及說明 142
7.6.5 實驗流程 148
7.7 注冊表維護實驗 150
7.7.1 實驗目的 150
7.7.2 實驗內容 150
7.7.3 實驗工具軟件 150
7.7.4 實驗步驟 150
7.7.5 實驗流程 159
7.8 通過惡意腳本進行網頁掛馬演示 160
第8章 不要和陌生人說話——
即時通信病毒分析 161
8.1 即時通信病毒背景介紹 161
8.1.1 什么是IM 161
8.1.2 主流即時通信軟件簡介 161
8.1.3 IM軟件的基本工作原理 163
8.1.4 IM軟件造成的安全威脅 163
8.2 即時通信病毒的特點及危害 164
8.3 即時通信病毒發作現象
及處理方法 166
8.4 典型的即時通信病毒——
“MSN性感雞”解析 168
8.5 防范即時通信病毒的安全建議 170
第9章 無孔不入——系統漏洞攻擊
病毒分析 172
9.1 漏洞攻擊病毒背景介紹 172
9.2 漏洞攻擊的類型及原理 173
9.2.1 緩沖區溢出漏洞 173
9.2.2 內存損壞漏洞 175
9.3 典型漏洞分析 178
9.3.1 微軟視頻控件（Microsoft Video
ActiveX Control）漏洞 178
9.3.2 MS08-067漏洞分析 180
9.3.3 CVE-2008-0015漏洞分析 182
9.3.4 ARP協議安全漏洞攻擊 183
9.4 防范漏洞攻擊病毒的安全建議 190
第10章 病毒發展的新階段——
移動通信病毒分析 192
10.1 移動通信病毒背景介紹 192
10.2 移動通信病毒的特點 194
10.2.1 手機病毒的傳播途徑 194
10.2.2 手機病毒的傳播特點 196
10.2.3 手機病毒的危害 196
10.3 移動通信病毒的發作現象 196
10.4 典型手機病毒分析 198
10.4.1 手機病毒發展過程 198
10.4.2 典型手機病毒——Cabir 199
10.4.3 “骷髏頭”手機病毒 200
10.4.4 “食人魚”手機病毒 200
10.5 WinCE.Dust手機病毒源代碼 200
10.6 防范移動通信病毒的安全建議 209
第11章 防人之心不可無——
網絡釣魚概述 210
11.1 網絡釣魚背景介紹 210
11.2 網絡釣魚的手段及危害 211
11.2.1 利用電子郵件“釣魚” 211
11.2.2 利用木馬程序“釣魚” 211
11.2.3 利用虛假網址“釣魚” 211
11.2.4 假冒知名網站“釣魚” 212
11.2.5 其他釣魚方式 214
11.3 防范網絡釣魚的安全建議 215
11.3.1 金融機構采取的網上
安全防范措施 215
11.3.2 對于個人用戶的安全建議 215
第12章 強買強賣——流氓軟件概述 218
12.1 流氓軟件背景介紹 218
12.2 流氓軟件的分類及其流氓行徑 219
12.3 流氓軟件的危害 220
12.4 防范流氓軟件的安全建議 221
12.4.1 IE插件管理專家Upiea 221
12.4.2 超級兔子2011 222
12.4.3 瑞星卡卡安全助手 222
12.5 典型流氓軟件分析——
“飄雪” 223
12.5.1 “飄雪”感染過程 223
12.5.2 清除方法 225
12.6 典型流氓軟件分析——“8749” 227
第13章 其他操作系統病毒 230
13.1 Linux與UNIX病毒 230
13.2 MAC OS系統病毒 231
13.3 其他典型系統病毒簡介 231

第三篇 反病毒技術

第14章 反病毒技術發展趨勢 233
14.1 反病毒保護措施日益
全面和實時 233
14.2 反病毒產品體系結構面臨突破 234
14.3 對未知病毒的防范
能力日益增強 234
14.4 企業級別、網關級別的產品
越來越重要 235
14.5 主動防御技術的應用 235
14.6 關注移動設備和
無線產品的安全 236
第15章 基礎知識——常見文件格式 237
15.1 病毒與文件格式 237
15.1.1 常見的文件格式 237
15.1.2 文檔能夠打開但無法正常
顯示時采取的措施 244
15.1.3 文檔打不開時采取的措施 245
15.1.4 常見的文件後綴 247
15.1.5 雙擴展名——病毒郵件
所帶附件的特點之一 247
15.2 PE文件格式 248
15.2.1 PE文件格式一覽 248
15.2.2 檢驗PE文件的有效性 249
15.2.3 File Header 250
15.2.4 OptionalHeader 251
15.2.5 Section Table 252
15.2.6 Import Table（引入表） 253
15.2.7 Export Table（引出表） 255
第16章 搭建病毒分析實驗室 257
16.1 神奇的虛擬機 257
16.1.1 硬件要求與運行環境 257
16.1.2 VMware 258
16.1.3 Virtual PC 267
16.1.4 VMware與Virtual PC
的主要區別 272
16.1.5 病毒“蜜罐” 272
16.2 常用病毒分析軟件 273
16.2.1 系統監測工具 273
16.2.2 文本編輯器 294
16.2.3 綜合軟件 300
16.3 靜態分析技術 308
16.3.1 基礎知識 308
16.3.2 W32Dasm簡介 310
16.3.3 IDA Pro 317
16.3.4 破解教程 320
16.4 動態分析技術 322
16.4.1 SoftICE 322
16.4.2 Windbg 332
16.4.3 OllyDBG 337
16.4.4 常用的Win32 API函數 340
16.4.5 破解實例 341
第17章 計算機病毒慣用技術解密 344
17.1 反靜態分析、檢測技術 344
17.1.1 花指令 344
17.1.2 動態改變指令 345
17.1.3 代碼隱蔽技術 345
17.1.4 入口點隱蔽 346
17.1.5 加密技術 347
17.1.6 高級代碼變形 348
17.1.7 加殼技術 353
17.2 反動態分析、檢測技術 353
17.2.1 檢測商用虛擬機 353
17.2.2 反-反病毒仿真技術 355
17.3 執行體隱藏保護技術 359
17.3.1 文件隱藏 359
17.3.2 掛接遍歷文件相關API 359
17.3.3 進程隱藏 360
17.3.4 文件保護 361
17.3.5 進程保護 361
17.3.6 注冊表保護 361
17.4 反制技術 362
17.4.1 禁止反病毒軟件的運行 362
17.4.2 破壞反病毒軟件的功能 362
17.5 壓縮與脫殼 362
17.5.1 自動脫殼 362
17.5.2 手動脫殼 371
17.5.3 脫殼技巧 374
17.6 加殼脫殼實驗 382
17.6.1 工具介紹 382
17.6.2 加殼操作 382
17.6.3 脫殼操作 384
第18章 捕捉計算機病毒 391
18.1 計算機病毒的癥狀 391
18.1.1 計算機病毒發作前的
表現現象 391
18.1.2 計算機病毒發作時的
表現現象 393
18.1.3 計算機病毒發作後的
表現現象 394
18.2 Windows的自啟動方式 395
18.2.1 自啟動目錄 396
18.2.2 系統配置文件啟動 397
18.2.3 注冊表啟動 399
18.2.4 其他啟動方式 401
18.3 計算機病毒排查流程詳解 403
18.3.1 故障初步判斷 403
18.3.2 通過系統自帶工具進行排查 404
18.3.3 使用第三方工具輔助
進行檢測 406
18.3.4 對病毒程序進行清理 412
第19章 典型病毒的源代碼分析 413
19.1 AdWare.Win32.Fsutk.a 413
19.2 Hack.Exploit.Win32.MS08-067.kt 420
19.3 Win32.KUKU.kj 430
19.4 Worm.Win32.Bonew.a 456
19.5 Worm.Nimaya 462
第20章 反病毒技術剖析 467
20.1 病毒診治技術剖析 467
20.1.1 反病毒技術概述 467
20.1.2 病毒診斷技術 468
20.1.3 虛擬機在反病毒技術中的
應用 473
20.2 反病毒引擎技術剖析 476
20.2.1 反病毒引擎在整個殺毒
軟件中的地位 476
20.2.2 反病毒引擎的發展歷程 477
20.2.3 反病毒引擎的體系架構 478
20.2.4 反病毒引擎的技術特征 478
20.2.5 反病毒引擎的發展方向 481
20.3 主動防御技術詳解 482
第四篇 反病毒產品及解決方案

第21章 “云安全”在反病毒領域的應用 489
21.1 國內外廠商的現狀和發展趨勢 489
21.1.1 國際信息安全廠商的
現狀和發展趨勢 489
21.1.2 國內信息安全廠商的
現狀和發展趨勢 492
21.2 瑞星云安全的產生和
技術發展歷史 493
第22章 中國反病毒產業發展概述 496
第23章 主流反病毒產品特點介紹 500
23.1 瑞星殺毒軟件 500
23.2 江民殺毒軟件 502
23.3 金山毒霸 505
23.4 諾頓殺毒軟件 507
23.5 趨勢殺毒軟件 508
23.6 熊貓衛士 508


23.7 卡巴斯基殺毒軟件 510
23.8 360安全衛士 511
第24章 反病毒安全體系的建立 512
24.1 建設安全體系遵循的原則 512
24.1.1 法律 512
24.1.2 思想意識 513
24.1.3 技術手段 514
24.1.4 管理手段 515
24.1.5 技能手段 516
24.2 如何選擇反病毒產品 517
24.2.1 使用方面 517
24.2.2 服務方面 517
附錄A 計算機安全法規 518
附錄B 新病毒處理流程 532
附錄C 常用文件後綴名列表 534