計算機病毒防范藝術（簡體書）

本書作者是賽門鐵克（Symantec）公司安全響應中心首席安全架構師，他根據自己設計和改進Norton AntiVirus系統產品及培訓病毒分析人員的過程中遇到的問題精心總結編寫了本書。本書最大的特色是大膽深入地探討了病毒知識的技術細節，從病毒的感染策略上深入分析病毒的復雜性，從文件、內存和網絡等多個角度討論病毒的感染技術，對過去20年來黑客們開發的各種病毒技巧進行了分類和講解，并介紹了代碼變形和其他新興病毒感染技術，展示了當前計算機病毒和防毒軟件最新技術，向讀者傳授計算機病毒分析和防護的方法學。
本書可作為IT和安全專業人士的權威指南，同時也適合作為大學計算機安全專業本科、研究生的參考教材。

作者簡介：Peter Szor是一位舉世聞名的計算機病毒和安全研究人員，他積極從事計算機病毒研究已經15年以上。1991年，他的畢業論文主題就是計算機病毒和病毒防護。這些年來，Peter很幸運地參與了一些最負盛名的反病毒產品的研發，如AVP、F-PROT和Symantec Norton AntiVirus。最初（1990~1995年），他曾在匈牙利開發自己的反病毒程序—Pasteur（巴斯德）。除了對反病毒軟件開發有興趣外，Peter還有多年的容錯和安全金融交易系統的開發經驗。
Peter于1997年受邀加入了計算機反病毒研究者組織（Computer Antivirus Researchers Organization，CARO）。他是《Virus Bulletin》（病毒公告）雜志的顧問委員會成員，也是反病毒應急討論網絡（AntiVirus Emergency Discussion （AVED）network）的創辦人之一。他在加利福尼亞Santa Monica的Symantec公司擔任首席研究員已5年以上。
Peter為《Virus Bulletin》、《Chip》、《Source》、《Windows NT Magazine》和《Information Security Bulletin》等雜志寫過70多篇有關計算機病毒和安全方面的文章和論文。他經常在Virus Bulletin、EICAR（歐洲計算機防毒研究所）、ICSA（國際計算機安全協會）和RSA等會議上發表演講，而且曾在USENIX Security Symposium（USENIX安全專題討論會）這樣的安全會議上作過特邀演講。Peter熱心于分享自己的研究成果和向別人傳授計算機病毒與安全方面的知識。
譯者簡介：段海新，工學博士、副教授、國際信息系統安全認證專家(CISSP)。現任清華大學信息網絡工程研究中心網絡與信息安全研究室主任，中國教育和科研計算機網緊急響應組(CCERT)負責人，互聯網協會安全工作委員會委員，國際信息系統安全認證聯盟(ISC)2亞太區顧問。主要從事計算機網絡安全方面的科研、運行管理和教學工作。

第一部分　攻擊者的策略
　第1章　引言：自然的遊戲
1.1　自我復制結構的早期模型
1.2　計算機病毒的起源
1.3　自動復制代碼：計算機病毒的原理和定義
參考文獻
　第2章　惡意代碼分析的魅力
2.1　計算機病毒研究的通用模式
2.2　反病毒防護技術的發展
2.3　惡意程序的相關術語
2.4　其他類別
2.5　計算機惡意軟件的命名規則
2.6　公認的平臺名稱清單
參考文獻
　第3章　惡意代碼環境
3.1　計算機體系結構依賴性
3.2　CPU依賴性
3.3　操作系統依賴性
3.4　操作系統版本依賴性
3.5　文件系統依賴性
3.6　文件格式依賴性
3.7　解釋環境依賴性
3.8　系統漏洞依賴性
3.9　日期和時間依賴性
3.10　JIT依賴性：Microsoft .NET病毒
3.11　檔案文件格式依賴性
3.12　基於擴展名的文件格式依賴性
3.13　網絡協議依賴性
3.14　源代碼依賴關係
3.15　在Mac和Palm平臺上的資源依賴性
3.16　宿主大小依賴性
3.17　調試器依賴性
3.18　編譯器和連接器依賴性
3.19　設備翻譯層依賴性
3.20　嵌入式對象插入依賴性
3.21　自包含環境的依賴性
3.22　復合病毒
3.23　結論
參考文獻
　第4章　感染策略的分類
4.1　引導區病毒
4.2　文件感染技術
4.3　深入分析Win32 病毒
4.4　結論
參考文獻
　第5章　內存駐留技術
5.1　直接感染型病毒
5.2　內存駐留病毒
5.3　臨時內存駐留病毒
5.4　交換型病毒
5.5　進程病毒（用戶模式）
5.6　內核模式中的病毒（Windows 9x /Me）
5.7　內核模式中的病毒 (Windows NT/2000/XP)
5.8　通過網絡傳播的內存注入病毒
參考文獻
　第6章　基本的自保護策略
6.1　隧道病毒
6.2　裝甲病毒
6.3　攻擊性的反制病毒
參考文獻
　第7章　高級代碼演化技術和病毒生成工具
7.1　引言
7.2　代碼演化
7.3　加密病毒
7.4　寡形病毒
7.5　多態病毒
7.6　變形病毒
7.7　病毒機
參考文獻
　第8章　基於病毒載荷的分類方法
8.1　沒有載荷
8.2　偶然破壞型載荷
8.3　非破壞型載荷
8.4　低破壞型載荷
8.5　強破壞型載荷
8.6　DoS攻擊
8.7　竊取數據：用病毒牟利
8.8　結論
參考文獻
　第9章　計算機蠕蟲的策略
9.1　引言
9.2　計算機蠕蟲的通用結構
9.3　目標定位
9.4　感染傳播
9.5　常見的蠕蟲代碼傳送和執行技術
9.6　計算機蠕蟲的更新策略
9.7　用信令進行遠程控制
9.8　有意無意的交互
9.9　無線移動蠕蟲
參考文獻
　第10章　漏洞利用、漏洞和緩沖區溢出攻擊
10.1　引言
10.2　背景
10.3　漏洞的類型
10.4　攻擊實例
10.5　小結
參考文獻
第二部分　防御者的策略
　第11章　病毒防御技術
11.1 第一代掃描器
11.2 第二代掃描器
11.3　算法掃描方法
11.4　代碼仿真
11.5　變形病毒檢測實例
11.6　32位Windows病毒的啟發式分析
11.7　基於神經網絡的啟發式分析
11.8　常規及通用清除法
11.9　接種
11.10　訪問控制系統
11.11　完整性檢查
11.12　行為阻斷
11.13　沙箱法
11.14　結論
參考文獻
　第12章　內存掃描與殺毒
12.1　引言
12.2　Windows NT虛擬內存系統
12.3　虛擬地址空間
12.4　用戶模式的內存掃描
12.5　內存掃描和頁面調度
12.6　內存殺毒
12.7　內核模式的內存掃描
12.8　可能的內存掃描攻擊
12.9　結論和下一步工作
參考文獻
　第13章　蠕蟲攔截技術和基於主機的入侵防御
13.1　引言
13.2　緩沖區溢出攻擊的對策
13.3　蠕蟲攔截技術
13.4　未來可能出現的蠕蟲攻擊
13.5　結論
參考文獻
　第14章　網絡級防御策略
14.1　引言
14.2　使用路由器訪問列表
14.3　防火牆保護
14.4　網絡入侵檢測系統
14.5　蜜罐系統
14.6　反擊
14.7　早期預警系統
14.8　蠕蟲的網絡行為模式
14.9　結論
參考文獻
　第15章　惡意代碼分析技術
15.1　個人的病毒分析實驗室
15.2　信息、信息、信息
15.3　VMware上的專用病毒分析系統
15.4　計算機病毒分析過程
15.5　維護惡意代碼庫
15.6　自動分析：數字免疫系統
參考文獻
　第16章　結論
進一步閱讀資料
安全和早期預警方面的信息
安全更新
計算機蠕蟲爆發統計數據
計算機病毒研究論文
反病毒廠商聯系方式
反病毒產品測試機構及相關網站