計算機病毒分析與防範大全

計算機病毒分析與防範大全

《計算機病毒分析與防範大全》是作者在信息安全領域多年經驗的總結和提煉。《計算機病毒分析與防範大全》從計算機病毒的定義及特徵開始,將目前發現的所有計算機病毒加以分類,總結出每一類病毒的共性和特徵,提出具有針對性的防範建議,以便普通讀者揭開病毒的神秘面紗,構建自己的防範體系。《計算機病毒分析與防範大全》適合計算機安全領域的從業者及愛好者閱讀,對計算機普通用戶更深入地了解計算機病毒也有莫大的幫助。

基本信息

簡介

裝幀:平裝

開本:16

定價:65.00元

作者簡介

韓筱卿,1971年生,現任北京瑞星公司副總裁。從1995年開始涉足計算機反病毒技術研究領域;1997年,參與開發的瑞星防毒軟體第一代產品獲中國國家科委(現科技部)國家科技成果獎;參與了CIH病毒、BO黑客、紅色代碼、尼姆達、HappyTime等多種典型流行病毒的解決處理過程。2000年組織籌備成立了瑞星數據修復中心,經過多年的發展,使之成為計算機用戶數據災難恢復的首選之地。先後在清華大學、北京大學、北京理工大學、北京航空航天大學、上海同濟大學、四川科技大學等多所高校做關於計算機反病毒技術的專題報告。

王建鋒,1971年生,現任北京瑞星公司客戶服務總經理。多年來一直從事反病毒技術研究及技術支持工作。2000年以來,主要負責重大惡性計算機病毒的應急處理工作,組織並參與創建瑞星客戶服務中心呼叫中心繫統及計算機病毒應急處理平台,在新型病毒預警、分析以及反病毒策略研究等領域具有豐富的經驗。

鍾瑋,1976年生,現任北京瑞星公司客戶服務副總經理兼數據安全部經理,全面負責信息安全增值服務的管理與拓展工作。2002年以來,參與國務院新聞辦、港澳辦、中組部、華遠集團等國內20餘家政府部門及大型企業信息安全整體解決方案及安全外包方案的制訂與實施;為中糧集團、中央電視台、微軟公司、國務院中直管理局、聯合國駐京機構等30餘家重點單位長期提供數據安全、數據恢復諮詢及數據安全管理項目實施;多次組織並參與信息產業部電子教育中心、清華大學、中科院計算所等國內權威機構信息安全培訓項目的實施,具有豐富的信息安全項目實踐經驗。

編輯推薦

將目前發現的所有計算機病毒加以分類,總結出每類的共性和特徵,提出具有針對性的防範建議

以專業的視角介紹反病毒行業病毒分析的流程,幫助讀者構建自己的病毒分析實驗室

為初學者設計了非常實用的小實驗,並錄製了實驗內容和實驗步驟

光碟附贈豐富的病毒查殺工具

目錄

第一篇 認識計算機病毒

第1章 什麼是計算機病毒 2

1.1 計算機病毒的定義 2

計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在電腦程式中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程式代碼”。與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程式)里,當達到某種條件時即被激活,通過修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中,從而感染其他程式,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!

1.2 計算機病毒的特徵 3

繁殖性

計算機病毒可以像生物病毒一樣進行繁殖,當正常程式運行的時候,它也進行運行自身複製,是否具有繁殖、感染的特徵是判斷某段程式為計算機病毒的首要條件。

破壞性

計算機中毒後,可能會導致正常的程式無法運行,把計算機內的檔案刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。

傳染性

計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複製或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的電腦程式代碼,這段程式代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程式或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那么病毒會在這台電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如軟碟、硬碟、移動硬碟、計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的軟碟已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。

潛伏性

有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程式,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續危害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在螢幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟檔案、對數據檔案做加密、封鎖鍵盤以及使系統死鎖等。

隱蔽性

計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。

可觸發性

病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。

1.3 計算機病毒的結構 8

1.3.1 計算機病毒的程式結構 8

1.3.2 計算機病毒的存儲結構 8

1.4 計算機病毒的分類 10

1.4.1 根據寄生的數據存儲方式劃分 11

1.4.2 根據感染檔案類型劃分 12

1.4.3 根據病毒攻擊的作業系統劃分 12

1.4.4 根據病毒攻擊的計算機類型劃分 13

1.4.5 根據病毒的連結方式劃分 13

1.4.6 根據病毒的破壞情況劃分 14

1.4.7 根據傳播途徑劃分 14

1.4.8 根據運行的連續性劃分 15

1.4.9 根據激發機制劃分 15

1.4.10 根據病毒自身變化性劃分 15

1.4.11 根據與被感染對象的關係劃分 15

1.4.12 其他幾種具有代表性的病毒類型 16

1.5 計算機病毒的入侵方式 17

1.6 計算機病毒的命名 17

1.7 計算機病毒的生命周期 18

1.8 計算機病毒的傳播 19

第2章 計算機病毒發展史 20

2.1 計算機病毒的起源 20

2.2 計算機病毒的發展階段 26

2.2.1 根據病毒的特點劃分 26

2.2.2 根據病毒的技術性劃分 28

2.3 計算機病毒大事記 30

2.4 計算機病毒的發展趨勢 39

2.4.1 智慧型化 39

2.4.2 人性化 39

2.4.3 隱蔽化 39

2.4.4 多樣化 39

2.4.5 專用病毒生成工具的出現 40

2.4.6 攻擊反病毒軟體 40

第3章 計算機病毒的危害 41

3.1 計算機病毒編制者的目的 41

3.1.1 惡作劇(開玩笑) 41

3.1.2 報復心理 42

3.1.3 保護著作權 43

3.1.4 娛樂需要 43

3.1.5 政治或軍事目的 43

3.2 計算機病毒對計算機套用的影響 44

3.2.1 破壞數據 44

3.2.2 占用磁碟存儲空間 44

3.2.3 搶占系統資源 45

3.2.4 影響計算機運行速度 45

3.2.5 計算機病毒錯誤與不可預見的危害 45

3.2.6 計算機病毒的兼容性對系統運行的影響 45

3.2.7 計算機病毒給用戶造成嚴重的心理壓力 46

3.3 計算機病毒發作症狀 46

3.4 計算機故障與病毒現象的區分 47

3.4.1 計算機病毒的現象 48

3.4.2 與病毒現象類似的硬體故障 48

3.4.3 與病毒現象類似的軟體故障 49

3.5 計算機病毒造成的經濟損失 50

3.6 計算機病毒在軍事上的影響 53

3.6.1 直面軍事信息安全的挑戰 53

3.6.2 高度依賴信息系統的美軍青睞計算機病毒武器 55

3.6.3 防患未然要從細節做起 56

3.7 計算機病毒的預防 56

第二篇 計算機病毒分析

第4章 追根溯源——傳統計算機病毒概述 60

4.1 早期的DOS病毒介紹 60

4.1.1 DOS簡介 60

4.1.2 DOS病毒 60

4.2 Office殺手——宏病毒 61

4.2.1 什麼是“宏” 61

4.2.2 宏病毒的定義 62

4.2.3 宏病毒的特點 63

4.2.4 宏病毒的發作現象及處理 63

4.2.5 典型的宏病毒——“七月殺手”病毒 65

4.2.6 防範宏病毒的安全建議 66

4.3 變化多端的檔案型病毒 67

4.3.1 檔案型病毒的複製機制 67

4.3.2 檔案型病毒的分類 68

4.3.3 檔案型病毒的發展史 68

4.3.4 檔案型病毒簡介 70

4.3.5 典型的檔案型病毒——

4.3.5 WIN95.CIH病毒解剖 73

4.3.6 新CIH病毒(WIN32.Yami)剖析 77

4.4 攻擊磁碟扇區的引導型病毒 77

4.4.1 引導型病毒背景介紹 77

4.4.2 引導型病毒的主要特點和分類 80

4.4.3 引導型病毒的發作現象及處理 80

4.4.4 典型的引導型病毒——WYX病毒解析 83

4.4.5 防範引導區病毒的安全建議 86

第5章 網際網路時代的瘟疫——蠕蟲病毒 87

5.1 背景介紹 87

5.1.1 蠕蟲病毒的起源 88

5.1.2 蠕蟲病毒與普通病毒的比較 89

5.1.3 蠕蟲病毒造成的破壞 89

5.1.4 蠕蟲病毒的特點和發展趨勢 89

5.1.5 蠕蟲病毒的傳播 90

5.2 病毒的特點及危害 90

5.2.1 蠕蟲病毒的特點 90

5.2.2 蠕蟲病毒造成的社會危害 93

5.3 蠕蟲病毒的發作現象及處理方法 94

5.3.1 尼姆達(Nimda)病毒 95

5.3.2 “魔波(Worm.Mocbot.a)”蠕蟲病毒 98

5.3.3 SCO炸彈(Worm.Novarg) 101

5.3.4 惡性蠕蟲病毒“斯文(Worm.Swen)” 101

5.4 典型蠕蟲病毒解析 103

5.4.1 “熊貓燒香”病毒解析 103

5.4.2 Worm.Win32.WebDown.a 112

5.5 防範蠕蟲病毒的安全建議 115

5.6 蠕蟲病毒防範實驗 116

5.6.1 實驗目的 117

5.6.2 實驗大綱 117

5.6.3 實驗工具軟體 117

5.6.4 實驗內容 117

5.6.5 實驗步驟 120

第6章 隱藏的危機——木馬病毒分析 121

6.1 木馬病毒的背景介紹 121

6.2 木馬病毒的隱藏性 122

6.3 典型的木馬病毒 127

6.3.1 灰鴿子(Backdoor.Huigezi) 127

6.3.2 馬吉斯蠕蟲(Worm.Magistr.g) 131

6.4 防範木馬病毒的安全建議 133

第7章 網頁衝浪的暗流——網頁腳本病毒分析 135

7.1 腳本病毒的背景知識介紹 135

7.1.1 VBScript概述 135

7.1.2 “WSH”概述 136

7.1.3 有關註冊表的基本知識 136

7.2 腳本病毒的特點 137

7.3 腳本病毒的發作現象及處理 138

7.4 典型腳本病毒——歡樂時光病毒解析 143

7.4.1 HAPPYTIME病毒分析 143

7.4.2 情人谷惡意網頁分析 146

7.5 防範腳本病毒的安全建議 149

7.6 腳本及惡意網頁實驗 151

7.6.1 實驗目的 151

7.6.2 實驗內容 151

7.6.3 實驗用工具軟體及作業系統 151

7.6.4 實驗背景知識及說明 151

7.6.5 實驗流程 157

7.7 註冊表維護實驗 159

7.7.1 實驗目的 159

7.7.2 實驗內容 159

7.7.3 實驗工具軟體 159

7.7.4 實驗步驟 159

7.7.5 實驗流程 168

第8章 不要和陌生人說話——即時通信病毒分析 170

8.1 即時通信病毒背景介紹 170

8.1.1 什麼是IM 170

8.1.2 主流即時通信軟體簡介 170

8.1.3 IM軟體的基本工作原理 172

8.2 即時通信病毒的特點及危害 173

8.3 即時通信病毒發作現象及處理方法 175

8.4 典型的即時通信病毒——“MSN性感雞”解析 178

8.5 防範即時通信病毒的安全建議 180

第9章 無孔不入——作業系統漏洞攻擊病毒分析 181

9.1 漏洞攻擊病毒背景介紹 181

9.2 漏洞攻擊病毒造成的危害 182

9.2.1 衝擊波病毒造成的危害 182

9.2.2 振盪波病毒造成的危害 183

9.2.3 嚴防微軟MS05-040漏洞 183

9.3 漏洞攻擊病毒發作現象及處理 184

9.3.1 紅色代碼發作現象 184

9.3.2 衝擊波病毒的發作現象 185

9.3.3 振盪波病毒發作現象 189

9.3.4 針對ARP協定安全漏洞的網路攻擊 191

9.4 防範漏洞攻擊病毒的安全建議 196

第10章 病毒發展的新階段——移動通信病毒分析 198

10.1 移動通信病毒背景介紹 198

10.2 移動通信病毒的特點 200

10.2.1 手機病毒的傳播途徑 200

10.2.2 手機病毒的傳播特點 202

10.2.3 手機病毒的危害 202

10.3 移動通信病毒的發作現象 202

10.4 典型手機病毒分析 204

10.4.1 手機病毒發展過程 204

10.4.2 典型手機病毒Cabir 205

10.5 防範移動通信病毒的安全建議 205

第11章 防人之心不可無——網路釣魚概述 207

11.1 網路釣魚背景介紹 207

11.2 網路釣魚的手段及危害 208

11.2.1 利用電子郵件“釣魚” 208

11.2.2 利用木馬程式“釣魚” 208

11.2.3 利用虛假網址“釣魚” 209

11.2.4 假冒知名網站釣魚 209

11.2.5 其他釣魚方式 210

11.3 防範網路釣魚的安全建議 211

11.3.1 金融機構採取的網上安全防範措施 211

11.3.2 對於個人用戶的安全建議 212

第12章 強買強賣——惡意軟體概述 213

12.1 惡意軟體背景介紹 213

12.2 惡意軟體的分類及其惡意行徑 214

12.3 惡意軟體的危害 215

12.4 防範惡意軟體的安全建議 216

12.4.1 IE外掛程式管理專家Upiea 216

12.4.2 超級兔子魔法設定 217

12.4.3 瑞星卡卡安全助手 217

12.4.4 微軟反間諜軟體(Giant Antispyware) 218

12.5 典型惡意軟體分析 219

12.5.1 病毒感染過程 219

12.5.2 清除方法 221

第13章 其他作業系統病毒 223

13.1 作業系統概述 223

13.1.1 Linux作業系統 223

13.1.2 蘋果公司的MAC OS 224

13.2 Linux與Unix病毒 225

13.3 MAC OS系統病毒 226

13.4 其他新型病毒簡介 226

第三篇 反病毒技術

第14章 反病毒技術發展趨勢 228

14.1 反病毒保護措施日益全面和實時 228

14.2 反病毒產品體系結構面臨突破 229

14.3 對未知病毒的防範能力日益增強 229

14.4 企業級別、網關級別的產品越來越重要 230

14.5 關注移動設備和無線產品的安全 230

第15章 基礎知識——常見檔案格式 231

15.1 病毒與檔案格式 231

15.1.1 常見的檔案格式 231

15.1.2 文檔能夠打開但無法正常顯示時採取的措施 239

15.1.3 文檔打不開時採取的措施 240

15.1.4 常見的檔案後綴 241

15.1.5 雙擴展名——病毒郵件所帶附屬檔案的特點之一 247

15.2 PE檔案格式 248

15.2.1 PE檔案格式一覽 248

15.2.2 檢驗PE檔案的有效性 249

15.2.3 File Header 250

15.2.4 OptionalHeader 251

15.2.5 Section Table 252

15.2.6 Import Table(引入表) 253

15.2.7 Export Table(引出表) 255

第16章 搭建病毒分析實驗室 257

16.1 神奇的虛擬機 257

16.1.1 硬體要求與運行環境 257

16.1.2 VMware 258

16.1.3 Virtual PC 262

16.1.4 VMWare與Virtual PC的主要區別 267

16.1.5 病毒“蜜罐” 268

16.2 常用病毒分析軟體 269

16.2.1 系統監測工具 269

16.2.2 文本編輯器 290

16.2.3 綜合軟體 297

16.3 靜態分析技術 306

16.3.1 基礎知識 306

16.3.2 W32Dasm簡介 307

16.3.3 IDA Pro 315

16.3.4 破解教程 318

16.4 動態分析技術 320

16.4.1 SoftICE和TRW2000的安裝與配置 320

16.4.2 SoftICE與TRW2000操作入門 330

16.4.3 常用的Win32 API函式 336

16.4.4 破解實例 338

第17章 計算機病毒慣用技術解密 341

17.1 壓縮與脫殼 341

17.1.1 自動脫殼 341

17.1.2 手動脫殼 350

17.1.3 脫殼技巧 353

17.2 郵件蠕蟲 361

17.2.1 郵件蠕蟲的局限與解決方法 361

17.2.2 垃圾郵件的關鍵技術 364

17.3 追蹤郵件來源 366

17.3.1 郵件頭分析 366

17.3.2 郵件傳輸過程 367

17.3.3 郵件頭分析實例 368

17.3.4 郵件偽造 370

17.3.5 垃圾郵件分析 370

17.3.6 總結 372

17.4 病毒分析常用工具實驗 373

17.4.1 實驗目的 373

17.4.2 實驗內容 373

17.4.3 實驗工具 373

17.4.4 實驗步驟 374

17.4.5 實驗流程 379

第18章 捕捉計算機病毒 381

18.1 計算機病毒的症狀 381

18.1.1 計算機病毒發作前的表現現象 381

18.1.2 計算機病毒發作時的表現現象 383

18.1.3 計算機病毒發作後的表現現象 385

18.2 Windows的自啟動方式 386

18.2.1 自啟動目錄 386

18.2.2 系統配置檔案啟動 387

18.2.3 註冊表啟動 390

18.2.4 其他啟動方式 392

18.2.5 自啟動方式 394

18.3 名詞解釋 396

18.3.1 惡意軟體 396

18.3.2 惡意軟體類別詳述 397

18.3.3 惡意軟體的特徵 398

18.3.4 攜帶者對象 398

18.3.5 傳輸機制 399

18.3.6 負載 400

18.3.7 觸發機制 402

18.3.8 防護機制 402

第19章 病毒代碼分析 404

19.1 2003蠕蟲王(SQL Server蠕蟲) 404

19.2 “振盪波”(Worm.Sasser)病毒代碼 406

19.3 “莫國防”病毒(win32.mgf)的源程式 412

19.3.1 相關技術 412

19.3.2 危害估計 412

19.3.3 原始碼分析 412

19.4 木馬下載器 438

19.5 熊貓燒香的代碼 460

第20章 反病毒技術剖析 467

20.1 病毒診治技術剖析 467

20.1.1 反病毒技術概述 467

20.1.2 病毒診斷技術 468

20.1.3 虛擬機在反病毒技術中的套用 473

20.2 反病毒引擎技術剖析 476

20.2.1 反病毒引擎在整個防毒軟體中的地位 476

20.2.2 反病毒引擎的發展歷程 477

20.2.3 反病毒引擎的體系架構 478

20.2.4 反病毒引擎的技術特徵 478

20.2.5 反病毒引擎的發展方向 481

第四篇 反病毒產品及解決方案

第21章 中國反病毒產業發展概述 484

第22章 主流反病毒產品特點介紹 489

22.1 瑞星防毒軟體 489

22.2 江民防毒軟體 491

22.3 金山毒霸 492

22.4 諾頓防毒軟體 493

22.5 卡巴斯基防毒軟體 493

第23章 反病毒安全體系的建立 495

23.1 建設安全體系遵循的原則 495

23.1.1 法律 495

23.1.2 思想意識 497

23.1.3 技術手段 497

23.1.4 管理手段 498

23.1.5 技能手段 499

23.2 如何選擇反病毒產品 500

23.2.1 使用方面 500

23.2.2 服務方面 500

附錄A 計算機安全法規 501

附錄B 新病毒處理流程 512

……

相關詞條

相關搜尋

熱門詞條

聯絡我們