計算機病毒原理與防範(第2版)（簡體書）

隨著計算機及計算機網絡的發展，伴隨而來的計算機病毒的傳播問題越來越引起人們的關注。本書在第 1 版的基礎上，增加了網絡病毒相關的理論和技術內容，全面介紹了計算機病毒的工作機制與原理以及檢測和防治各種計算機病毒的方法。主要內容包括計算機病毒的工作機制和發作表現，新型計算機病毒的主要特點和技術，計算機病毒檢測技術， 典型計算機病毒的原理、清除和防治，網絡安全，系統漏洞攻擊和網絡釣魚概述、即時通信病毒和移動通信病毒分析、常用反病毒軟件的使用技巧，以及6 個綜合實驗。

秦志光，博士、教授、博士生導師、享受政府特殊津貼專家、中共黨員。現任電子科技大學計算機科學與工程學院（示範性軟件學院）院長，四川省新型計算機應用技術重點實驗室主任。國務院學位委員會學科評議組計算機科學與技術組成員，國家自然科學基金會議評審專家，國家科技部、教育部同行評議專家，四川省科技廳電子信息技術專家組成員，四川省軟件行業協會常務副理事長，四川省決策諮詢委員會委員。

張鳳荔，電子科技大學教授、博導。1986年研究生畢業於電子科技大學（原成都電訊工程學院）計算機軟件專業研究生，2000年至2002年美國依理諾大學芝加哥分校計算機系高級訪問學者，在OuriWolfson教授的指導下，從事時間空間數據庫移動數據庫系統的開發和研究。2003年至2007年在電子科技大學計算機學院在職攻讀博士，2007年獲得計算機應用技術工學博士學位。1986年以來主要在電子科技大學從事計算機教學和科研工作。作為項目負責人或主研完成多項“六五”、“七五”、“八五”和“九五”國家重點科技攻關項目，並先後參加、組織、設計和實施了多個應用項目如企業MIS系統、基於廣域網環境的高速公路收費與監控系統、高速公路收費與清分系統、不停車收費系統應用軟件等，獲得四川省科技進步一等獎、三等獎各一次。2002以來，作為技術負責人參與多項863項目“戰略預警與監管技術研究”等、四川省科技廳項目有“網絡信息防護技術研究---快速反映融災難恢復”等，作為項目負責人，負責多項電子發展基金、四川省基金包括基於GIS的移動數據的智能管理等、國家網絡安全中心基金如網絡安全態勢感知與趨勢分析系統等、應用項目“計算機輔助裝配管理系統”的研究和實施。主要研究領域網絡安全及其應用、移動數據管理和數據庫系統及其安全。目前的研究方向是宏觀網絡安全和移動數據管理。承擔863、電子信息發展基金等多項科研任務。

1.剖析病毒原理系統漏洞攻擊分析、網絡釣魚分析、PE文件格式的分析和構造、木馬機制分析和木馬線程注入技術、腳本病毒的分析、蠕蟲病毒的分析
2.即時通信病毒分析、移動通信病毒分析
3.設計病毒防範軟件計算機病毒檢測技術，典型計算機病毒的原理、防範和清除，反病毒軟件的功能和性能分析
4.反病毒軟件介紹

第1章　電腦病毒概述　1
1.1　電腦病毒的產生與發展　1
1.1.1　電腦病毒的起源　1
1.1.2　電腦病毒發展背景　2
1.1.3　電腦病毒發展歷史　4
1.4　電腦病毒的演化　7
1.2　電腦病毒的基本概念　8
1.2.1　電腦病毒的生物特徵　8
1.2.2　電腦病毒的生命週期　9
1.2.3　電腦病毒的傳播途徑　10
1.2.4　電腦病毒發作的一般症狀　10
1.3　電腦病毒的分類　11
1.3.1　電腦病毒的基本分類--一般分類方法　11
1.3.2　按照電腦病毒攻擊的系統分類　12
1.3.3　按照電腦病毒的寄生部位或傳染物件分類　13
1.3.4　按照電腦病毒的攻擊機型分類　13
1.3.5　按照電腦病毒的連結方式分類　14
1.3.6　按照電腦病毒的破壞情況分類　14
1.3.7　按照電腦病毒的寄生方式分類　15
1.3.8　按照電腦病毒啟動的時間分類　15
1.3.9　按照電腦病毒的傳播媒介分類　15
1.3.10　按照電腦病毒特有的演算法分類　16
1.3.11　按照電腦病毒的傳染途徑分類　16
1.3.12　按照電腦病毒的破壞行為分類　17
1.3.13　按照電腦病毒的“作案”方式分類　18
1.3.14　Linux平臺下的病毒分類　19
1.4　互聯網環境下病毒的多樣化　20
1.4.1　網路病毒的特點　20
1.4.2　即時通訊病毒　22
1.4.3　手機病毒　22
1.4.4　流氓軟體　23
習　題　24
第2章　傳統電腦病毒的工作機制及發作表現　25
2.1　病毒的工作步驟分析　25
2.1.1　電腦病毒的引導模組　26
2.1.2　電腦病毒的感染模組　26
2.1.3　電腦病毒的表現模組　26
2.2　電腦病毒的引導機制　27
2.2.1　電腦病毒的寄生物件　27
2.2.2　電腦病毒的寄生方式　28
2.2.3　電腦病毒的引導過程　29
2.3　電腦病毒的傳染機制　30
2.3.1　電腦病毒的傳染方式　30
2.3.2　電腦病毒的傳染過程　30
2.3.3　系統型電腦病毒傳染機理　31
2.3.4　檔型電腦病毒傳染機理　32
2.4　電腦病毒的觸發機制　32
2.5　電腦病毒的破壞機制　34
2.6　電腦病毒的傳播機制　34
2.7　電腦病毒發作前的表現　35
2.8　電腦病毒發作時的表現　39
2.9　電腦病毒發作後的表現　43
習　題　45
第3章　新型電腦病毒的發展趨勢及特點和技術　46
3.1　新型電腦病毒的發展趨勢　46
3.1.1　電腦病毒的發展趨勢　46
3.1.2　近年主要流行病毒　48
3.2　新型電腦病毒發展的主要特點　49
3.2.1　新型電腦病毒的主要特點　50
3.2.2　基於“Windows”的電腦病毒　52
3.2.3　新型電腦病毒的傳播途徑　54
3.2.4　新型電腦病毒的危害　57
3.2.5　電子郵件成為電腦病毒傳播的主要媒介　60
3.2.6　新型電腦病毒的最主要載體　60
3.3　新型電腦病毒的主要技術　65
3.3.1　ActiveX與Java　65
3.3.2　電腦病毒的駐留記憶體技術　66
3.3.3　修改中斷向量表技術　68
3.3.4　電腦病毒隱藏技術　69
3.3.5　對抗電腦病毒防範系統技術　76
3.3.6　技術的遺傳與結合　76
3.4　網路環境下電腦病毒的特點探討　77
3.5　電腦網路病毒的傳播方式　78
3.6　電腦網路病毒的發展趨勢　79
3.7　雲安全服務將成為新趨勢　80
習　題　81
第4章　電腦病毒檢測技術　83
4.1　電腦反病毒技術的發展歷程　83
4.2　電腦病毒檢測技術原理　84
4.2.1　電腦檢測病毒技術的基本原理　84
4.2.2　檢測病毒的基本方法　85
4.3　電腦病毒主要檢測技術和特點　85
4.3.1　外觀檢測法　86
4.3.2　系統資料對比法　86
4.3.3　病毒簽名檢測法　89
4.3.4　特徵代碼法　89
4.3.5　檢查常設記憶體數　91
4.3.6　校驗和法　92
4.3.7　行為監測法（即時監控法）　93
4.3.8　軟體類比法　94
4.3.9　啟發式代碼掃描技術　96
4.3.10　主動內核技術　100
4.3.11　病毒分析法　101
4.3.12　感染實驗法　102
4.3.13　演算法掃描法　104
4.3.14　語義分析法　104
4.3.15　虛擬機器分析法　107
4.4　電腦網路病毒的檢測　110
4.5　電腦病毒檢測的作用　110
4.6　電腦病毒檢測技術的實現　111
習　題　111
第5章　典型電腦病毒的原理、防範和清除　114
5.1　電腦病毒防範和清除的基本原則和技術　114
5.1.1　電腦病毒防範的概念和原則　114
5.1.2　電腦病毒預防基本技術　115
5.1.3　清除電腦病毒的一般性原則　116
5.1.4　清除電腦病毒的基本方法　116
5.1.5　治療電腦病毒的一般過程　117
5.1.6　電腦病毒預防技術　118
5.1.7　電腦病毒免疫技術　119
5.1.8　漏洞掃描技術　122
5.1.9　即時反病毒技術　123
5.1.10　防範電腦病毒的特殊方法　124
5.2　引導區電腦病毒　125
5.2.1　原理　126
5.2.2　預防　127
5.2.3　檢測　127
5.2.4　清除　128
5.3　檔型病毒　128
5.3.1　原理　128
5.3.2　預防　130
5.3.3　檢測　131
5.3.4　清除　134
5.3.5　CIH病毒　134
5.4　檔與引導複合型病毒　138
5.4.1　原理　138
5.4.2　“新世紀”電腦病毒的表現形式　139
5.4.3　“新世紀”電腦病毒的檢測　139
5.4.4　“新世紀”電腦病毒的清除　139
5.5　腳本病毒　140
5.5.1　原理　140
5.5.2　檢測　143
5.5.3　清除　144
5.6.1　原理　145
5.6.2　預防　148
5.6.3　檢測　149
5.6.4　清除　149
5.7　特洛伊木馬病毒　150
5.7.1　原理　150
5.7.2　預防　157
5.7.3　檢測　157
5.7.4　清除　159
5.8　蠕蟲病毒　160
5.8.1　基本原理　160
5.8.2　預防　162
5.8.3　清除　164
5.9　駭客型病毒　164
5.10　後門病毒　166
5.10.1　原理　166
5.10.2　IRC後門電腦病毒　168
5.10.3　密碼破解的後門　169
5.11　不同作業系統環境下的電腦病毒　170
5.11.1　32位元作業系統環境下的電腦病毒　171
5.11.2　64位元作業系統環境下的電腦病毒　172
5.12　壓縮檔病毒　173
5.13　安全建議　173
習　題　174
第6章　網路安全　176
6.1　網路安全概述　176
6.1.1　網路安全的概念　176
6.1.2　網路安全面臨的威脅　177
6.1.2　網路安全防範的內容　178
6.2　Internet服務的安全隱患　180
6.2.1　電子郵件　180
6.2.2　檔案傳輸（FTP）　181
6.2.3　遠端登入（Telnet）　181
6.2.4　駭客　182
6.2.5　電腦病毒　182
6.2.6　使用者終端的安全問題　182
6.2.7　用戶自身的安全問題：　183
6.2.8　APT攻擊　183
6.3　垃圾郵件　184
6.3.1　垃圾郵件的定義　184
6.3.2　垃圾郵件的危害　184
6.3.3　追蹤垃圾郵件　185
6.3.4　郵件防毒技術　185
6.4　系統安全　187
6.4.1　網路安全體系　187
6.4.2　加密技術　188
6.4.3　駭客防範　192
6.4.4　安全性漏洞庫及補丁程式　195
6.5　惡意程式碼的處理　196
7.5.1　惡意程式碼的種類　196
6.5.2　惡意程式碼的傳播手法　198
6.5.3　惡意程式碼的發展趨勢　199
6.5.4　惡意程式碼的危害及其解決方案　200
7.5.5　網頁的惡性修改　201
6.6　網路安全的防範技巧　201
6.7　使用者對電腦病毒的認識誤區　206
習　題　208
第7章　系統漏洞攻擊和網路釣魚概述　209
7.1　系統漏洞　209
7.2　Windows作業系統漏洞　209
7.3　Linux作業系統的已知漏洞分析　213
7.4　漏洞攻擊病毒背景介紹　217
7.5　漏洞攻擊病毒分析　224
7.5.1　衝擊波病毒　224
7.5.2　振盪波病毒　225
7.5.3　震盪波"與"衝擊波"病毒橫向對比與分析　226
7.5.4　紅色代碼病毒　227
7.5.5　Solaris蠕蟲　228
7.5.6　震網病毒　228
7.5.7　APT攻擊　231
7.6　針對ARP協定安全性漏洞的網路攻擊　235
1．同網段ARP欺騙分析　235
2．不同網段ARP欺騙分析　236
3．ARP欺騙的防禦原則　237
7.7　系統漏洞攻擊病毒的安全建議　237
7.8　網路釣魚背景介紹　241
7.9　網路釣魚的手段及危害　242
7.9.1　利用電子郵件“釣魚”　243
7.6.2　利用木馬程式“釣魚”　243
7.9.3　利用虛假網址“釣魚”　243
7.9.4　假冒知名網站釣魚　243
7.9.5　其他釣魚方式　244
7.10　防範網路釣魚的安全建議　244
7.10.1　金融機構採取的網上安全防範措施　244
7.10.2　對於個人用戶的安全建議　245
習題　246
第8章　即時通信病毒和移動通信病毒分析　248
8.1　即時通信病毒背景介紹　248
8.1.1　即時通信　248
8.1.2　主流即時通信軟體簡介　249
8.1.3　IM軟體的基本工作原理　251
8.2　即時通信病毒的特點及危害　255
8.3　即時通信病毒發作現象及處理方法　257
8.4　防範即時通信病毒的安全建議　259
8.5　移動通信病毒背景介紹　261
8.5.1　移動通信病毒的基本原理　262
8.5.2　移動通信病毒的傳播途徑　263
8.5.3　移動通信病毒的危害　264
8.5.4　移動通信病毒的類型　266
8.6　移動通信病毒的發作現象　267
8.6.1　破壞作業系統　267
8.6.2　破壞使用者資料　268
8.6.3　消耗系統資源　268
8.6.4　竊取用戶隱私　268
8.6.5　惡意扣取費用　269
8.6.6　遠端控制用戶手機　269
8.6.7　其他表現方式　270
8.7　典型移動通信病毒分析　270
8.7.1　移動通信病毒發展過程　270
8.7.2　典型手機病毒--手機支付病毒　272
8.7.3　手機病毒的傳播和威脅趨勢　274
8.7.4　手機反病毒的技術的發展趨勢　276
8.8　防範移動通信病毒的安全建議　277
習　題　278
第9章　常用反病毒軟體　279
9.1　國內外反病毒行業發展歷史與現狀　279
9.1.1　反病毒軟體行業的發展歷程　279
9.1.2　國內外反病毒軟體行業所面臨的嚴峻形勢　281
9.2　使用反病毒軟體的一般性原則　285
9.2.1　反病毒軟體選用準則　285
9.2.2　使用反病毒軟體注意要點　285
9.2.3　理想的反電腦病毒工具應具有的功能　286
9.3　部分反電腦病毒工具簡介　286
9.3.1　瑞星殺毒軟體V16　287
9.3.2　騰訊電腦管家　288
9.3.3　360殺毒軟體　289
9.3.4　諾頓網路安全特警　289
9.3.5　McAfee VirusScan　290
9.3.6　PC-cillin　291
9.3.7　卡巴斯基安全部隊　292
9.3.8　江民殺毒軟體KV2011　293
9.3.9　金山毒霸2011　295
9.3.10　微點殺毒軟體　296
9.3.11　小紅傘個人免費版　297
9.3.12　ESET NOD32 殺毒軟體　298
9.3.13　BitDefender比特梵德殺毒軟體　298
9.3.14　微軟免費殺毒軟體Microsoft Security Essentials (MSE)　298
9.3.15　Comodo 免費殺毒軟體(科摩多,俗稱“毛豆”)　299
9.3.16　avast!免費殺毒軟體　299
習　題　300
附錄　電腦病毒原理與防範實驗　301
附1.1　實驗1 PE檔案格式的分析和構造　301
附1.1.1　實驗目的　301
附1.1.2　實驗要求　301
附1.1.3　實驗環境　301
附1.1.4　實驗相關基礎知識　301
附1.1.5　實驗過程　307
附1.2　實驗2 PE檔的載入、重定位和執行過程　316
附1.2.1　實驗目的　316
附1.2.2　實驗要求　317
附1.2.3　實驗環境　317
附1.2.4　實驗相關基礎知識　317
附1.2.5　實驗步驟　317
附1.2.6　重定位自己的EXE　319
附1.2.7　自己載入自己的exe和一個自己的dll　320
附1.2.8　部分程式碼　323
附1.3　實驗3 腳本病毒的分析　332
附1.3.1　實驗目的　332
附1.3.2　實驗要求　332
附1.3.3　實驗環境　332
附1.3.4　實驗原理　332
附1.3.5　實驗步驟　333
附1.4　實驗4 蠕蟲病毒的分析　335
附1.4.1　實驗目的　335
附1.4.2　實驗要求　336
附1.4.3　實驗環境　336
附1.4.4　實驗原理　336
附1.4.5　實驗步驟　337
附1.5　實驗5 木馬機制分析和木馬執行緒注入技術　340
附1.5.1　實驗目的　340
附1.5.2　實驗要求　340
附1.5.3　實驗環境　340
附1.5.4　實驗原理　340
附1.5.5　實驗步驟　343
附1.6　實驗６ 反病毒軟體的功能和性能分析　348
附1.6.1　實驗目的　348
附1.6.2　實驗要求　348
附1.6.3　實驗環境　348
附1.6.4　實驗原理　348
附1.6.5　實驗步驟　348
參考文獻