计算机病毒与反病毒技术

《计算机吧张病毒与反病毒技术》是2006-6-1清华大学出版社出版的图书，作者是张仁斌，李钢和侯整风

• 中文名称 计算机病毒与反病毒技术
• 作者 张仁斌，李钢，侯整风
• 出版社 清华大学出版社
• 出版时间 2006-6-1
• ISBN 9787302127277

作品简介

　　本书较全面地介绍了各种计算机病毒的基本原理、常用技术，以及对抗计算机病毒的策略、方法与技术。振诗副些内容由浅入深、由易到难，注重理论联系实际，在介绍原理的同时，尽量给出实例分析，以期增加手工分析、查杀病毒的经验与能力。

　　本书可作为信息安全专业、计算机专业本科学生的教材，也可作为广大计算政调裂乱当式给突机用户、系统管理员、计算机安全技术人员的技术参考书。同时，也优势际毛爱可用作计算机信息安全职业培训的教材。

目录

　　第1章 计算机病微出谓毒概述

　　1.1 计算机病毒的定义

　　计算机病毒(Computer Virus)在《中华人民共和国计来自算机信息系统安全保360百科护条例》中被明确饭领树刚施营圆乙讨定义，病毒指"编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。与医学上的"病毒"不同，计算机病毒不是天然存在的，来大酸住洲再候流是某些人利用计算机软件和今源集微集头结硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入条列厚其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很略大!

　　1.2 计算机病毒的基本特征与本质

繁殖性

　　计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。

破坏性

　　计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受信到不同程度的损坏。通常表现为:增、删、改、移。

传染性

　　计算机病毒不但本身具有破坏性子赵即细语课住牛需，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在包纪个先兴染生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病话袁症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计密群混硫的算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病否外德毒不同的是，计算机病毒是一段人为编制的计算毛式剧振孔房机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台电脑上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机显强酒占当资钢京。当您在一台机器上发现了病毒时，往往曾在这台计前研极岁位报呀望括含算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

潜伏性

　　有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。

隐蔽性

　　计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

可触发性

　　病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击;如果不满足，使病毒继续潜伏。

　　1.3 计算机病毒的分类

　　1.4 恶意程序、蠕虫与木马

　　1.5 计算机病毒的命名规则

　　1.6 计算机病毒的危害与症状

　　1.7 计算机病毒的传播途径

　　1.8 计算机病毒的生命周期

　　1.9 计算机病毒的发展简史

　　1.10 计算机病毒的基本防治

　　1.11 研究计算机病毒的基本原则

　　课外阅读:中国计算机病毒狂潮实录

　　习题

　　第2章 预备知识

　　2.1 硬盘结构简介

　　2.2 文件系统

　　2.3 计算机的启动过程

　　2.4 中断

　　2.5 内存管理

　　2.6 EXE文件的格式

　　课外阅读:CIH病毒始作俑者--陈盈豪其人

　　习题

　　第3章 病毒的逻辑结构与基本机制

　　3.1 计算机病毒的状态与基本环节

　　3.2 计算机病毒的基本结构

　　3.3 计算机病毒的传播机制

　　3.4 文件型病毒的感染方式

　　3.5 计算机病毒的触发机制

　　3.6 计算机病毒的破坏机制

　　3.7 计算机病毒程序结构示例

　　课外阅读:Windows自动启动程序的十大藏身之所

　　习题

　　第4章 DOS病毒的基本原理与DOS病毒分析

　　4.1 病毒的重定位

　　4.2 引导型病毒

　　4.3 文件型病毒

　　4.4 混合型病毒的基本原理

　　课外阅读:后病毒时代，黑客与病毒共舞

　　习题

　　第5章 Windows病毒分析

　　5.1 PE病毒原理

　　5.2 脚本病毒

　　5.3 宏病毒

　　课外阅读:关于NTFS文件系统中的数据流问题

　　习题

　　第6章 网络蠕虫

　　6.1 蠕虫的起源及其定义

　　6.2 蠕虫的分类与漏洞

　　6.3 蠕虫的基本原理

　　6.4 蠕虫的防治

　　6.5 "冲击波清除者"分析

　　课外阅读:缓冲区溢出与病毒攻击原理

　　习题

　　第7章 特洛伊木马

　　7.1 特洛伊木马概述

　　7.2 特洛伊木马的特性与分类

　　7.3 特洛伊木马的伪装、隐藏与启动

　　7.4 透视木马开发技术

　　7.5 检测和清除特洛伊木马

　　课外阅读:CIH病毒原理的应用--物理内存的读写

　　习题

　　第8章 计算机病毒常用技术综述

　　8.1 计算机病毒的隐藏技术

　　8.2 病毒的加密与多态技术

　　8.3 EPO技术简介

　　8.4 病毒进入系统核心态的方法

　　8.5 病毒驻留内存技术

　　8.6 计算机病毒截获系统操作的方法

　　8.7 计算机病毒直接API调用与异常处理技术

　　8.8 计算机病毒的反调试、反跟踪、反分析技术

　　课外阅读:32位代码优化常识

　　习题

　　第9章 计算机病毒的检测、清除与免疫

　　9.1 反病毒技术综述

　　9.2 计算机病毒的防范策略

　　9.3 计算机病毒的诊断方法及其原理

　　9.4 启发式代码扫描技术

　　9.5 虚拟机查毒技术

　　9.6 病毒实时监控技术

　　9.7 计算机病毒的清除

　　9.8 计算机病毒的免疫技术

　　课外阅读:VxD技术及其在实时反病毒中的应用

　　习题

　　第10章 UNIX/Linux病毒与手机病毒简介

　　10.1 Linux系统启动过程

　　10.2 ELF文件格式

　　10.3 UNIX病毒概述

　　10.4 基于ELF的计算机病毒

　　10.5 手机病毒简介

　　习题

　　附录A 中华人民共和国计算机信息系统安全保护条例

　　附录B 计算机病毒防治管理办法

　　附录C DOS功能调用一览表

　　参考文献