惡意代碼與計算機病毒：原理、技術和實踐（簡體書）

《重點大學信息安全專業規劃系列教材·惡意代碼與計算機病毒：原理、技術和實踐》重點分析惡意代碼的運行機制，并通過實驗的方式講解常見惡意代碼。在分析惡意代碼技術的基礎上，重點分析惡意代碼的檢測和清除技術。此外，還對預防惡意代碼的策略和防治方案進行了探討。

惡意代碼作為信息安全領域的重要一環，近年來在軍事戰爭、社會穩定方面發揮了雙刃劍的作用，引起了社會各界的廣泛重視。
傳統的計算機病毒是一個非常狹義的定義，它僅僅概括了感染文件（可執行文件及數據文件）和引導區的惡意代碼，無法描述各種新興惡意代碼的特征和內涵。鑒于此，本書采用“惡意代碼”這個概念來概括書中內容。
本書的主要內 容來源于作者所在大學本科計算機病毒和惡意代碼7年教學經驗、5年研發基礎，以及前期編寫的3本教材。本書的前身《計算機病毒及其防范技術》、《計算機病毒及其防范技術（第2版）》和《惡意代碼防范》被多所高校作為教材，得到了大家的認可。同 時，這些教材也獲得了“上海交通大學優秀教材特等獎”、“上海市高等教育教材一等獎”。
本書重點分析惡意代碼的運行機制，并通過實驗的方式講解常見惡意代碼。在分析惡意代碼技術的基礎上，重點分析惡意代碼的檢測和清除技術。此外，還對預防惡意代碼的策略和防治方案進行了探討。全書共分1 2章，具體內容如下。
第1章惡意代碼概述，主要介紹惡意代碼的基本概念，并在此基礎上講述惡意代碼的關鍵歷史轉折點、技術分類、傳播途徑、感染癥狀、命名規則及未來發展趨勢等相關問題。
第2章惡意代碼模型及機理，主要介紹惡意代碼的理論模型，如基于圖靈機、遞歸函數和傳染病的數學模型，惡意代碼的預防理論模型，傳統計算機病毒的結構及工作機制等。
第3章傳統計算機病毒，主要介紹在DOS、Windows 9x、Windows 2000平臺下傳統病毒的工作機制和編制技術，并以3種平臺下的可執行文件結構為線索，在分析這些文件結構的基礎上，引入不同平臺的病毒編制技術。為了保證教材的系統性，本章還簡要介紹了引導型病毒。
第4章宏病毒，以Microsoft Word宏病毒為主線介紹宏病毒的基本概念、作用機制、宏病毒實驗和防范方法等內容。
第5章特洛伊木馬，為了使讀者充分了解特洛伊木馬，本章詳細分析了木馬的技術特征、木馬入侵的一些常用技術以及木馬入侵的防范和清除方法。此外，還對幾款常見木馬程序的防范經驗做了較為詳細的說明。
第6章L1nux惡意代碼技術，在了解L1nux安全問題的基礎上，探討了L1nux惡意代碼的概念，分析了L1n Llx可執行文件格式（ELF）的運行機理。本章還精心設計了兩個實驗，以直觀的方式分別講解了L1nux操作系統的惡意腳本和感染ELF格式文件的病毒原理。
第7章蠕蟲，主要介紹近年來破壞力非常大的蠕蟲（Worm）的基本特征、技術特征和工作機理，并且詳細介紹了基于RPC漏洞和U盤傳播的蠕蟲技術。
第8章移動智能終端惡意代碼，以手機惡意代碼為主線，介紹移動終端惡意代碼的概念、技術進展和防范工具，使讀者了解未來移動終端設備上的威脅。特別是詳細介紹了Android下開發惡意行為程序的技術。
第9章其他惡意代碼，對近年來新興的流氓軟件、outlook漏洞惡意代碼、Webpage惡意代碼、僵尸網絡和Rootklt惡意代碼做了介紹，并對其中典型惡意代碼的編制技術做了詳細講解。
第10章惡意代碼防范技術以檢測、清除、預防、免疫、防范策略、備份及恢復6個層次為主要思路，介紹惡意代碼的診斷原理和方法、清除原理和方法、主動和被動防治技術以及數據備份和數據恢復等。
第1 1章常用殺毒軟件及其解決方案，通過介紹企業網絡的典型結構、典型應用和網絡時代的病毒特征，得出企業網絡防惡意代碼體系對技術和工具的需求，從而給出一些典型惡意代碼防治體系解決方案。
第1 2章惡意代碼防治策略，通過討論防御性策略得到的不同建議，來避免計算機受到惡意代碼的影響。本章側重于全局策略和規章，并且針對企業用戶所講述的內容比針對單機用戶的要多一些。本章還就如何制訂一個防御計劃、如何挑選一個快速反應小組、如何控制住惡意代碼的發作，以及安全工具的選擇等問題提出了一些建議。
在本書完稿之際，作者對上海交通大學教材出版基金的資助表示衷心感謝；感謝教學7年來聽過作者計算機病毒原理和惡意代碼防范課程的所有學生，他們為作者的講義提出了很多寶貴意見；感謝各類參考資料的提供者，這些資料既充實了作者的教材，也豐富了作者的知識；感謝清華大學出版社的各位編輯，他們耐心地加工我的書稿；感謝我的妻子和孩子，該書稿的完成離不開家人的默默支持。
作 者
2013年8月于上海交通大學思源湖畔

第1章 惡意代碼概述
第2章 惡意代碼模型及機理
第3章 傳統計算機病毒
第4章 宏病毒
第5章 特洛伊木馬
第6章 Linux惡意代碼技術
第7章 蠕蟲
第8章 移動智能終端惡意代碼
第9章 其他惡意代碼
第10章 惡意代碼防范技術
第11章 常用殺毒軟件及其解決方案
第12章 惡意代碼防治策略
附錄A 惡意代碼相關網上資源
附錄B 相關法律法規
參考文獻

5．流氓軟件?
“流氓軟件”是20世紀的一個新生詞匯，是一個源自網絡的詞匯。近年來，一些流氓軟件引起了用戶和媒體的強烈關注。流氓軟件的典型表現是采用特殊手段頻繁彈出廣告窗口，危及用戶隱私，嚴重干擾用戶的日常工作、數據安全和個人隱私。
如果說計算機病毒是由小團體或者個人秘密地編寫和散播的，那么流氓軟件的創作者則涉及很多知名企業和團體。這些軟件在計算機用戶中引起了公憤，許多用戶指責它們為“徹頭徹尾的流氓軟件”。流氓軟件的泛濫，成為互聯網安全的新威脅。數據顯示，2006年上半年，中國流氓軟件的危害已經超過了普通計算機病毒。
迄今為止，流氓軟件還沒有一個公認的統一定義。中國反流氓軟件聯盟和奇虎公司都試圖統一流氓軟件的定義，但都沒有成功。以下是針對流氓軟件的兩種定義。
第一種定義，流氓軟件是指具有一定的實用價值但具備計算機病毒和黑客部分行為特征的軟件。它處于合法軟件和惡意代碼之間的灰色地帶，它會造成無法卸載并強行彈出廣告和竊取用戶的私人信息等危害。
第二種定義，流氓軟件是介于惡意代碼和正規軟件之間的軟件，同時具備正常功能（下載、媒體播放等）和惡意行為（彈出廣告、開后門）的軟件，給用戶帶來實質危害。它們往往采用特殊手段頻繁彈出廣告窗口，危及用戶隱私，嚴重干擾用戶的日常工作、數據安全和個人隱私。
總之，流氓軟件是對網絡上散播的符合以下條件的軟件的一種稱呼。
（1）未經用戶許可，或者利用用戶疏忽，或者利用用戶缺乏相關知識，秘密收集用戶個人信息、秘密和隱私。
（2）有侵害用戶信息和財產安全的潛在因素或者隱患。
（3）強行彈出廣告，或者其他干擾用戶并占用系統資源的行為。
（4）強行修改用戶軟件設置，如瀏覽器主頁、軟件自動啟動選項、安全選項。
（5）采用多種社會和技術手段，強行或者秘密安裝，并抵制卸載。
6．間諜軟件
間諜軟件（spyware）是一種能夠在計算機使用者無法察覺或給計算機使用者造成安全假象的情況下，秘密收集計算機信息并把它們傳給他人的程序。間諜軟件可以像普通計算機病毒一樣進入計算機或綁定安裝程序而進入計算機。間諜軟件經常會在未經用戶同意或者用戶沒有意識到的情況下，以一個IE工具條、一個快捷方式、作為驅動程序下載或由于單擊一些欺騙的彈出式窗口選項等其他用戶無法察覺的形式，被安裝在用戶的計算機內的。
雖然那些被安裝了間諜軟件的計算機使用起來和正常計算機并沒有什么太大區別，但用戶的隱私數據和重要信息會被那些間諜軟件捕獲，這些信息將被發送給互聯網另一端的操縱者，甚至這些間諜軟件還能使黑客操縱用戶的計算機，或者說這些有“后門”的計算機都將成為黑客和病毒攻擊的重要目標和潛在目標。
……