《计算机病毒分析与防治简明教程》 - 清华大学出版社第五事业部

目    录

第1章  计算机病毒概述	1
　　1.1  计算机病毒的定义	1
　　1.2  计算机病毒的特性	1
　　1.3  计算机病毒的分类	2
　　1.4  计算机病毒的产生与历史	5
　　　　　1.4.1  病毒的起源	5
　　　　　1.4.2  病毒产生的原因	6
　　　　　1.4.3  病毒的发展过程	6
　　　　　1.4.4  病毒的发展趋势	8
　　1.5  计算机病毒的命名	9
　　1.6  计算机病毒的本质	9
　　　　　1.6.1  病毒的隐藏位置	9
　　　　　1.6.2  病毒对系统功能的利用	10
　　　　　1.6.3  病毒对系统漏洞的利用	10
　　　　　1.6.4  病毒的一般结构	11
　　　　　1.6.5  感染病毒后的常见症状	11
　　1.7  病毒的工作机制	11
　　　　　1.7.1  病毒的触发机制	12
　　　　　1.7.2  病毒的传播机制	12
　　　　　1.7.3  病毒的破坏机制	13
　　1.8  反病毒技术	13
　　　　　1.8.1  反病毒技术发展过程	14
　　　　　1.8.2  常见反病毒技术介绍	14
　　　　　1.8.3  反病毒技术发展趋势	17
　　1.9  本章小结	18
　　1.10  习题	18
第2章  引导型病毒分析	19
　　2.1  预备知识	19
　　　　　
　　　　　2.1.1  磁盘数据结构	19
2.1.2  系统引导过程与引导
扇区分析	22
　　　　　2.1.3  读写扇区方式	28
　　　　　2.1.4  程序常驻内存	29
　　2.2  引导型病毒	30
　　　　　2.2.1  引导型病毒工作原理	30
　　　　　2.2.2  一个引导型病毒分析	31
　　2.3  实验1：引导程序设计	36
　　2.4  实验2：接管中断程序设计	41
　　2.5  清除病毒程序设计	45
　　2.6  本章小结	47
　　2.7  习题	47
第3章  DOS文件型病毒分析	49
　　3.1  预备知识	49
　　　　　3.1.1  COM文件分析	49
　　　　　3.1.2  EXE文件分析	49
　　3.2  DOS文件病毒	51
　　　　　3.2.1  DOS文件病毒原理	51
　　　　　3.2.2  病毒对int 21h的利用	51
3.2.3  一个DOS文件型病毒
分析	52
3.3  实验：用Debug修改COM
文件	59
　　　　　3.3.1  增加代码原理	61
　　　　　3.3.2  增加程序代码	62
　　3.4  清除DOS文件病毒	64
　　3.5  本章小结	77
　　3.6  习题	77
第4章  PE文件病毒	78
　　4.1  预备知识：PE文件结构	78
　　　　　4.1.1  PE文件结构分析	78
　　　　　4.1.2  编程分析PE文件结构	83
　　4.2  PE病毒常用技术	85
　　　　　4.2.1  API与API的调用	85
　　　　　4.2.2  病毒使用API	87
　　　　　4.2.3  病毒使用变量	94
　　4.3  添加节方式修改PE	95
　　4.4  加长最后一节修改PE	114
　　4.5  插入节方式修改PE	120
　　4.6  设计自己的病毒专杀工具	126
　　　　　4.6.1  清除病毒原理	126
　　　　　4.6.2  程序设计实现	128
4.7  用重构PE文件结构法
防病毒	129
　　　　　4.7.1  自我防病毒原理	129
　　　　　4.7.2  自免疫保护实现	131
　　　　　4.7.3  自免疫演示	177
　　4.8  本章小结	178
　　4.9  习题	178
第5章  网络蠕虫病毒	179
　　5.1  预备知识	179
　　　　　5.1.1  VBScript 脚本	179
　　　　　5.1.2  JavaScript脚本	180
　　　　　5.1.3  组件与脚本对组件的调用	180
　　5.2  网络蠕虫的综述	182
　　　　　5.2.1  网络蠕虫的起源与发展	182
　　　　　5.2.2  网络蠕虫的特点	184
　　　　　5.2.3  蠕虫病毒的传播方式	184
　　5.3  举例：利用Unicode漏洞	187
　　　　　5.3.1  Unicode漏洞的利用	187
　　　　　5.3.2  扫描Unicode漏洞	188
　　5.4  蠕虫与溢出	191
　　　　　5.4.1  溢出解析	191
　　　　　
　　　　　5.4.2  栈溢出举例	194
5.4.3  缓冲区溢出漏洞的避免
方法	197
　　5.5  典型蠕虫病毒分析	198
　　　　　5.5.1  “美丽莎”病毒分析	198
　　　　　5.5.2  “求职信”病毒介绍	202
　　　　　5.5.3  “冲击波”病毒分析	204
　　　　　5.5.4  “欢乐时光”病毒介绍	208
　　5.6  防范网络蠕虫病毒	209
　　5.7  本章小结	210
　　5.8  习题	210
第6章  木马与远程控制技术	211
　　6.1  预备知识	211
　　　　　6.1.1  套接字与网络编程	211
　　　　　6.1.2  木马分类介绍	212
　　6.2  远程控制通信的实现	214
　　　　　6.2.1  TCP阻塞方式	214
　　　　　6.2.2  TCP非阻塞方式	215
　　　　　6.2.3  UDP方式	217
　　　　　6.2.4  ICMP方式	218
　　6.3  远程控制的控制技术	221
　　　　　6.3.1  屏幕的截取	222
　　　　　6.3.2  虚拟鼠标的操作	223
　　　　　6.3.3  虚拟键盘的操作	224
　　　　　6.3.4  进程管理	225
　　6.4  木马技术揭露	229
　　　　　6.4.1  木马程序的安装	229
　　　　　6.4.2  木马的启动	230
　　　　　6.4.3  木马的隐藏技术分析	233
　　6.5  一个完整的远程控制程序	236
　　6.6  木马的清除方法	239
　　　　　6.6.1  监视端口	239
　　　　　6.6.2  进程内模块监视	240
　　　　　6.6.3  监视文件	242
　　　　　6.6.4  监视注册表	243

6.7  试验：清除“广外女生”
木马	244
　　6.8  本章小结	245
　　6.9  习题	245
第7章  病毒常用技术分析	246
　　7.1  病毒的加密技术	246
　　　　　7.1.1  脚本代码的加密	246
　　　　　7.1.2  PE文件的加密	247
　　　　　7.1.3  花指令方法	251
　　7.2  病毒的变种、多态与变形	254
7.2.1  多态与变形病毒的来历
与分类	255
　　　　　7.2.2  多态原理浅析	256
　　　　　7.2.3  变形引擎浅析	260
　　7.3  病毒的一些常用保护方法	262
　　　　　7.3.1  自我删除	262
　　　　　7.3.2  自我复制	263
7.3.3  搜索资源(Email地址和
共享目录)	265
　　7.4  病毒对系统的破坏	271
　　7.5  本章小结	274
　　7.6  习题	275
参考文献	276