圖書信息
作 者:韓筱卿 王建鋒 鍾 瑋 等編著
出 版 社: 電子工業出版社
出版時間: 2008-11-1
頁 數: 528頁
開 本: 16開
ISBN 9787121074714
分類: 圖書 >> 計算機>>信息安全
估價:49.80元
內 容 簡 介
本書是作者在信息安全領域多年經驗的總結和提煉。本書從計算機病毒的定義及特徵開始,將目前發現的所有計算機病毒加以分類,總結出每一類病毒的共性和特徵,提出具有針對性的防範建議,以便普通讀者揭開病毒的神秘面紗,構建自己的防範體系。
本書適合計算機安全領域的從業者及愛好者閱讀,對計算機普通用戶更深入地了解計算機病毒也有莫大的幫助。
作者簡介
韓筱卿,1971年生,現任北京瑞星公司副總裁。從1995年開始涉足計算機反病毒技術研究領域;1997年,參與開發的瑞星防毒軟體第一代產品獲中國國家科委(現科技部)國家科技成果獎;參與了CIH病毒、BO黑客、紅色代碼、尼姆達、Happy Time等多種典型流行病毒的解決處理過程。2000年組織籌備成立了瑞星數據修復中心,經過多年的發展,使之成為計算機用戶數據災難恢復的首選之地。先後在清華大學、北京大學、北京理工大學、北京航空航天大學、上海同濟大學、四川科技大學等多所高校做關於計算機反病毒技術的專題報告。
王建鋒,1971年生,現任北京瑞星公司客戶服務總經理。多年來一直從事反病毒技術研究及技術支持工作。2000年以來,主要負責重大惡性計算機病毒的應急處理工作,組織並參與創建瑞星客戶服務中心呼叫中心繫統及計算機病毒應急處理平台,在新型病毒預警、分析以及反病毒策略研究等領域具有豐富的經驗。
鍾瑋,1976年生,現任北京瑞星公司客戶服務副總經理兼數據安全部經理,全面負責信息安全增值服務的管理與拓展工作。2002年以來,參與國務院新聞辦、港澳辦、中組部、華遠集團等國內20餘家政府部門及大型企業信息安全整體解決方案及安全外包方案的制訂與實施;為中糧集團、中央電視台、微軟公司、國務院中直管理局、聯合國駐京機構等30餘家重點單位長期提供數據安全、數據恢復諮詢及數據安全管理項目實施;多次組織並參與信息產業部電子教育中心、清華大學、中科院計算所等國內權威機構信息安全培訓項目的實施,具有豐富的信息安全項目實踐經驗。
序
計算機病毒是一個社會性的問題,僅靠信息安全廠商研發的安全產品而沒有全社會的配合,是無法有效地建立信息安全體系的。因此,面向全社會普及計算機病毒的基礎知識,增強大家的病毒防範意識,“全民皆兵”並配合適當的反病毒工具,才能真正地做到防患於未然。我們很高興地看到戰鬥在反病毒領域第一線的專業人士,將自己多年的反病毒經驗加以總結,與大家共享,幫助普通的計算機使用者揭開計算機病毒的神秘面紗,這無疑是一件有利於促進信息化發展的好事情。
這本書實用性比較強,較為全面地介紹了計算機病毒的基本知識,分析了典型病毒的特徵,很適合國中級水平的計算機使用者參考。希望這本書的發行,能夠在普及計算機防病毒知識方面發揮積極的作用,並根據實際情況不斷更新,將最新的技術和發展趨勢帶給廣大的讀者。
瑞星公司董事長
王莘
2005年11月於北京
再版前言
距離本書第1版的出版,時間已經過去了兩年,許許多多新的病毒和入侵方式以更巧妙、更隱蔽的手段威脅著我們計算機的安全。計算機病毒技術在不斷進步,我們對病毒的認識和防範水平也需要有相應的提高。因此,在眾多熱心讀者朋友的支持和鼓勵下,《計算機病毒分析與防範大全(第2版)》問世了。
與第1版相比,第2版總的篇幅有所增加。第2版新增了有關熊貓燒香、七月殺手、新CIH、魔波蠕蟲、灰鴿子等目前流行病毒的相關內容,對病毒的發作現象和處理方法進行了詳細的介紹。
除了本書配套光碟的現有內容,根據最新的計算機病毒疫情變化,筆者將提供更多的病毒查殺工具和安全知識等與讀者分享,這些內容會不定期地進行更新,請讀者訪問博文視點網站的“圖書資源下載”專區進行下載。
從apple II里的惡作劇Elk Cloner和最早攻擊PC的病毒Brain開始,病毒一步一步走進了計算機世界,莫里斯蠕蟲、愛蟲、CIH、尼姆達、歡樂時光、灰鴿子、熊貓燒香……危機一次次來襲,又一次次地被化解,這樣的“戰爭”,也一直在繼續。如果能夠通過本書,使讀者在與計算機病毒的鬥爭中取得主動並獲得最終的勝利,對筆者來說,將是最大的欣慰。
作 者
2008年9月12日
寫在前面
提起計算機病毒,絕大多數計算機的使用者都會深惡痛絕,因為沒有“中過招”的人已經是鳳毛麟角了。但在談虎色變之餘,很多人對計算機病毒又充滿了好奇,對病毒的製造者既痛恨又敬畏。這種複雜的感情實際上很容易理解,就像古人面對大自然的感情一樣,因為無法解釋風雨雷電,也就只能製造神話,崇拜圖騰了。
計算機病毒當然不值得崇拜,它給社會信息化的發展製造了太多的麻煩,每年因為計算機病毒造成的直接、間接經濟損失都超過百億美元。但同時,它也催化了一個新興的產業——信息安全產業。反病毒軟體、防火牆、入侵檢測系統、網路隔離、數據恢復技術……這一根根救命稻草,使很多企業和個人用戶免遭侵害,在很大程度上緩解了計算機病毒造成的巨大破壞,同時,越來越多的企業加入到信息安全領域,同層出不窮的黑客和病毒製造者做著頑強的鬥爭。
但稻草畢竟是稻草,救得一時不一定救得一世。目前市場上主流廠商的信息安全產品經過多年的積累和精心的研發,無論從產品線還是從技術角度來講,都已經達到了相當完善的程度。但是,再好的產品,如果不懂得如何去使用,發揮不了產品真正的優勢,又與稻草有什麼區別呢?很多用戶在被病毒感染以後才想起購買防毒軟體,查殺以後就再也不管,沒有定期的升級和維護,更沒有根據自己的使用環境的特點,制定相應的防範策略,可以說把產品的使用效率降到了最低,這樣的狀態,怎能應付日新月異的病毒攻擊呢?
那么,如何將手中的稻草變成強大的武器,當危險臨近時,能夠主動出擊,防患於未然呢?筆者認為,關鍵的問題在於對“對手”的了解。正如我們上面舉過的例子,我們現在之所以對很多自然現象習以為常,是因為我們對其成因有了最基礎的了解,這樣才可能未雨綢繆,配合手中的工具,防患於未然。
本書的創作初衷正是將筆者在信息安全領域多年的經驗加以總結、提煉,從計算機病毒的定義及特徵開始講起,將病毒的起源、發展歷史、發展趨勢及造成的危害系統而全面地介紹給讀者,並將目前發現的所有計算機病毒加以分類,總結出每一類病毒的共性和特徵,提出具有針對性的防範建議,以便於普通讀者揭開病毒的神秘面紗,構建自己的防範體系。同時,本書還根據防毒軟體行業的特點,以專業的視角介紹了反病毒行業病毒分析的流程,幫助讀者構建自己的病毒分析實驗室,從而對計算機病毒進行徹底的剖析。此外,為了更好地將書中提到的知識和技能運用到實踐中,我們還特別地為初學者設計了非常實用的小實驗,並對實驗過程進行了必要的演示,以幫助大家更好地理解計算機病毒的原理。
魔高一尺,道高一丈。我們相信,只要知己知彼,我們一定會在與計算機病毒進行的這場持久戰中取得最終的勝利!
讀者交流信箱:[email protected]
作 者
2005年12月8日
目 錄
第一篇 認識計算機病毒
第1章 什麼是計算機病毒 2
1.1 計算機病毒的定義 2
1.2 計算機病毒的特徵 3
1.3 計算機病毒的結構 8
1.3.1 計算機病毒的程式結構 8
1.3.2 計算機病毒的存儲結構 8
1.4 計算機病毒的分類 10
1.4.1 根據寄生的數據存儲方式劃分 11
1.4.2 根據感染檔案類型劃分 12
1.4.3 根據病毒攻擊的作業系統劃分 12
1.4.4 根據病毒攻擊的計算機類型劃分 13
1.4.5 根據病毒的連結方式劃分 13
1.4.6 根據病毒的破壞情況劃分 14
1.4.7 根據傳播途徑劃分 14
1.4.8 根據運行的連續性劃分 15
1.4.9 根據激發機制劃分 15
1.4.10 根據病毒自身變化性劃分 15
1.4.11 根據與被感染對象的關係劃分 15
1.4.12 其他幾種具有代表性的病毒類型 16
1.5 計算機病毒的入侵方式 17
1.6 計算機病毒的命名 17
1.7 計算機病毒的生命周期 18
1.8 計算機病毒的傳播 19
第2章 計算機病毒發展史 20
2.1 計算機病毒的起源 20
2.2 計算機病毒的發展階段 26
2.2.1 根據病毒的特點劃分 26
2.2.2 根據病毒的技術性劃分 28
2.3 計算機病毒大事記 30
2.4 計算機病毒的發展趨勢 39
2.4.1 智慧型化 39
2.4.2 人性化 39
2.4.3 隱蔽化 39
2.4.4 多樣化 39
2.4.5 專用病毒生成工具的出現 40
2.4.6 攻擊反病毒軟體 40
第3章 計算機病毒的危害 41
3.1 計算機病毒編制者的目的 41
3.1.1 惡作劇(開玩笑) 41
3.1.2 報復心理 42
3.1.3 保護著作權 43
3.1.4 娛樂需要 43
3.1.5 政治或軍事目的 43
3.2 計算機病毒對計算機套用的影響 44
3.2.1 破壞數據 44
3.2.2 占用磁碟存儲空間 44
3.2.3 搶占系統資源 45
3.2.4 影響計算機運行速度 45
3.2.5 計算機病毒錯誤與不可預見的危害 45
3.2.6 計算機病毒的兼容性對系統運行的影響 45
3.2.7 計算機病毒給用戶造成嚴重的心理壓力 46
3.3 計算機病毒發作症狀 46
3.4 計算機故障與病毒現象的區分 47
3.4.1 計算機病毒的現象 48
3.4.2 與病毒現象類似的硬體故障 48
3.4.3 與病毒現象類似的軟體故障 49
3.5 計算機病毒造成的經濟損失 50
3.6 計算機病毒在軍事上的影響 53
3.6.1 直面軍事信息安全的挑戰 53
3.6.2 高度依賴信息系統的美軍青睞計算機病毒武器 55
3.6.3 防患未然要從細節做起 56
3.7 計算機病毒的預防 56
第二篇 計算機病毒分析
第4章 追根溯源——傳統計算機病毒概述 60
4.1 早期的DOS病毒介紹 60
4.1.1 DOS簡介 60
4.1.2 DOS病毒 60
4.2 OFFICE殺手——宏病毒 61
4.2.1 什麼是“宏” 61
4.2.2 宏病毒的定義 62
4.2.3 宏病毒的特點 63
4.2.4 宏病毒的發作現象及處理 63
4.2.5 典型的宏病毒——“七月殺手”病毒 65
4.2.6 防範宏病毒的安全建議 66
4.3 變化多端的檔案型病毒 67
4.3.1 檔案型病毒的複製機制 67
4.3.2 檔案型病毒的分類 68
4.3.3 檔案型病毒的發展史 68
4.3.4 檔案型病毒簡介 70
4.3.5 典型的檔案型病毒——
4.3.5 WIN95.CIH病毒解剖 73
4.3.6 新CIH病毒(Win32.Yami)剖析 77
4.4 攻擊磁碟扇區的引導型病毒 77
4.4.1 引導型病毒背景介紹 77
4.4.2 引導型病毒的主要特點和分類 80
4.4.3 引導型病毒的發作現象及處理 80
4.4.4 典型的引導型病毒——wyx病毒解析 83
4.4.5 防範引導區病毒的安全建議 86
第5章 網際網路時代的瘟疫——蠕蟲病毒 87
5.1 背景介紹 87
5.1.1 蠕蟲病毒的起源 88
5.1.2 蠕蟲病毒與普通病毒的比較 89
5.1.3 蠕蟲病毒造成的破壞 89
5.1.4 蠕蟲病毒的特點和發展趨勢 89
5.1.5 蠕蟲病毒的傳播 90
5.2 病毒的特點及危害 90
5.2.1 蠕蟲病毒的特點 90
5.2.2 蠕蟲病毒造成的社會危害 93
5.3 蠕蟲病毒的發作現象及處理方法 94
5.3.1 尼姆達(Nimda)病毒 95
5.3.2 “魔波(Worm.Mocbot.a)”蠕蟲病毒 98
5.3.3 SCO炸彈(Worm.Novarg) 101
5.3.4 惡性蠕蟲病毒“斯文(Worm.Swen)” 101
5.4 典型蠕蟲病毒解析 103
5.4.1 “熊貓燒香”病毒解析 103
5.4.2 Worm.Win32.WebDown.a 112
5.5 防範蠕蟲病毒的安全建議 115
5.6 蠕蟲病毒防範實驗 116
5.6.1 實驗目的 117
5.6.2 實驗大綱 117
5.6.3 實驗工具軟體 117
5.6.4 實驗內容 117
5.6.5 實驗步驟 120
第6章 隱藏的危機——木馬病毒分析 121
6.1 木馬病毒的背景介紹 121
6.2 木馬病毒的隱藏性 122
6.3 典型的木馬病毒 127
6.3.1 灰鴿子(Backdoor.Huigezi) 127
6.3.2 馬吉斯蠕蟲(Worm.Magistr.g) 131
6.4 防範木馬病毒的安全建議 133
第7章 網頁衝浪的暗流——網頁腳本病毒分析 135
7.1 腳本病毒的背景知識介紹 135
7.1.1 VBScript概述 135
7.1.2 “WSH”概述 136
7.1.3 有關註冊表的基本知識 136
7.2 腳本病毒的特點 137
7.3 腳本病毒的發作現象及處理 138
7.4 典型腳本病毒——歡樂時光病毒解析 143
7.4.1 happytime病毒分析 143
7.4.2 情人谷惡意網頁分析 146
7.5 防範腳本病毒的安全建議 149
7.6 腳本及惡意網頁實驗 151
7.6.1 實驗目的 151
7.6.2 實驗內容 151
7.6.3 實驗用工具軟體及作業系統 151
7.6.4 實驗背景知識及說明 151
7.6.5 實驗流程 157
7.7 註冊表維護實驗 159
7.7.1 實驗目的 159
7.7.2 實驗內容 159
7.7.3 實驗工具軟體 159
7.7.4 實驗步驟 159
7.7.5 實驗流程 168
第8章 不要和陌生人說話——即時通信病毒分析 170
8.1 即時通信病毒背景介紹 170
8.1.1 什麼是IM 170
8.1.2 主流即時通信軟體簡介 170
8.1.3 IM軟體的基本工作原理 172
8.2 即時通信病毒的特點及危害 173
8.3 即時通信病毒發作現象及處理方法 175
8.4 典型的即時通信病毒——“MSN性感雞”解析 178
8.5 防範即時通信病毒的安全建議 180
第9章 無孔不入——作業系統漏洞攻擊病毒分析 181
9.1 漏洞攻擊病毒背景介紹 181
9.2 漏洞攻擊病毒造成的危害 182
9.2.1 衝擊波病毒造成的危害 182
9.2.2 振盪波病毒造成的危害 183
9.2.3 嚴防微軟MS05-040漏洞 183
9.3 漏洞攻擊病毒發作現象及處理 184
9.3.1 紅色代碼發作現象 184
9.3.2 衝擊波病毒的發作現象 185
9.3.3 振盪波病毒發作現象 189
9.3.4 針對ARP協定安全漏洞的網路攻擊 191
9.4 防範漏洞攻擊病毒的安全建議 196
第10章 病毒發展的新階段——移動通信病毒分析 198
10.1 移動通信病毒背景介紹 198
10.2 移動通信病毒的特點 200
10.2.1 手機病毒的傳播途徑 200
10.2.2 手機病毒的傳播特點 202
10.2.3 手機病毒的危害 202
10.3 移動通信病毒的發作現象 202
10.4 典型手機病毒分析 204
10.4.1 手機病毒發展過程 204
10.4.2 典型手機病毒Cabir 205
10.5 防範移動通信病毒的安全建議 205
第11章 防人之心不可無——網路釣魚概述 207
11.1 網路釣魚背景介紹 207
11.2 網路釣魚的手段及危害 208
11.2.1 利用電子郵件“釣魚” 208
11.2.2 利用木馬程式“釣魚” 208
11.2.3 利用虛假網址“釣魚” 209
11.2.4 假冒知名網站釣魚 209
11.2.5 其他釣魚方式 210
11.3 防範網路釣魚的安全建議 211
11.3.1 金融機構採取的網上安全防範措施 211
11.3.2 對於個人用戶的安全建議 212
第12章 強買強賣——惡意軟體概述 213
12.1 惡意軟體背景介紹 213
12.2 惡意軟體的分類及其惡意行徑 214
12.3 惡意軟體的危害 215
12.4 防範惡意軟體的安全建議 216
12.4.1 ie外掛程式管理專家Upiea 216
12.4.2 超級兔子魔法設定 217
12.4.3 瑞星卡卡安全助手 217
12.4.4 微軟反間諜軟體(Giant AntiSpyware) 218
12.5 典型惡意軟體分析 219
12.5.1 病毒感染過程 219
12.5.2 清除方法 221
第13章 其他作業系統病毒 223
13.1 作業系統概述 223
13.1.1 Linux作業系統 223
13.1.2 蘋果公司的MAC OS 224
13.2 Linux與Unix病毒 225
13.3 MAC OS系統病毒 226
13.4 其他新型病毒簡介 226
第三篇 反病毒技術
第14章 反病毒技術發展趨勢 228
14.1 反病毒保護措施日益全面和實時 228
14.2 反病毒產品體系結構面臨突破 229
14.3 對未知病毒的防範能力日益增強 229
14.4 企業級別、網關級別的產品越來越重要 230
14.5 關注移動設備和無線產品的安全 230
第15章 基礎知識——常見檔案格式 231
15.1 病毒與檔案格式 231
15.1.1 常見的檔案格式 231
15.1.2 文檔能夠打開但無法正常顯示時採取的措施 239
15.1.3 文檔打不開時採取的措施 240
15.1.4 常見的檔案後綴 241
15.1.5 雙擴展名——病毒郵件所帶附屬檔案的特點之一 247
15.2 PE檔案格式 248
15.2.1 PE檔案格式一覽 248
15.2.2 檢驗PE檔案的有效性 249
15.2.3 File Header 250
15.2.4 OptionalHeader 251
15.2.5 Section Table 252
15.2.6 Import Table(引入表) 253
15.2.7 Export Table(引出表) 255
第16章 搭建病毒分析實驗室 257
16.1 神奇的虛擬機 257
16.1.1 硬體要求與運行環境 257
16.1.2 VMware 258
16.1.3 Virtual PC 262
16.1.4 VMWare與Virtual PC的主要區別 267
16.1.5 病毒“蜜罐” 268
16.2 常用病毒分析軟體 269
16.2.1 系統監測工具 269
16.2.2 文本編輯器 290
16.2.3 綜合軟體 297
16.3 靜態分析技術 306
16.3.1 基礎知識 306
16.3.2 W32Dasm簡介 307
16.3.3 IDA Pro 315
16.3.4 破解教程 318
16.4 動態分析技術 320
16.4.1 SoftIce和TRW2000的安裝與配置 320
16.4.2 SoftICE與TRW2000操作入門 330
16.4.3 常用的Win32 API函式 336
16.4.4 破解實例 338
第17章 計算機病毒慣用技術解密 341
17.1 壓縮與脫殼 341
17.1.1 自動脫殼 341
17.1.2 手動脫殼 350
17.1.3 脫殼技巧 353
17.2 郵件蠕蟲 361
17.2.1 郵件蠕蟲的局限與解決方法 361
17.2.2 垃圾郵件的關鍵技術 364
17.3 追蹤郵件來源 366
17.3.1 郵件頭分析 366
17.3.2 郵件傳輸過程 367
17.3.3 郵件頭分析實例 368
17.3.4 郵件偽造 370
17.3.5 垃圾郵件分析 370
17.3.6 總結 372
17.4 病毒分析常用工具實驗 373
17.4.1 實驗目的 373
17.4.2 實驗內容 373
17.4.3 實驗工具 373
17.4.4 實驗步驟 374
17.4.5 實驗流程 379
第18章 捕捉計算機病毒 381
18.1 計算機病毒的症狀 381
18.1.1 計算機病毒發作前的表現現象 381
18.1.2 計算機病毒發作時的表現現象 383
18.1.3 計算機病毒發作後的表現現象 385
18.2 Windows的自啟動方式 386
18.2.1 自啟動目錄 386
18.2.2 系統配置檔案啟動 387
18.2.3 註冊表啟動 390
18.2.4 其他啟動方式 392
18.2.5 自啟動方式 394
18.3 名詞解釋 396
18.3.1 惡意軟體 396
18.3.2 惡意軟體類別詳述 397
18.3.3 惡意軟體的特徵 398
18.3.4 攜帶者對象 398
18.3.5 傳輸機制 399
18.3.6 負載 400
18.3.7 觸發機制 402
18.3.8 防護機制 402
第19章 病毒代碼分析 404
19.1 2003蠕蟲王(SQL Server蠕蟲) 404
19.2 “振盪波”(Worm.Sasser)病毒代碼 406
19.3 “莫國防”病毒(win32.MGF)的源程式 412
19.3.1 相關技術 412
19.3.2 危害估計 412
19.3.3 原始碼分析 412
19.4 木馬下載器 438
19.5 熊貓燒香的代碼 460
第20章 反病毒技術剖析 467
20.1 病毒診治技術剖析 467
20.1.1 反病毒技術概述 467
20.1.2 病毒診斷技術 468
20.1.3 虛擬機在反病毒技術中的套用 473
20.2 反病毒引擎技術剖析 476
20.2.1 反病毒引擎在整個防毒軟體中的地位 476
20.2.2 反病毒引擎的發展歷程 477
20.2.3 反病毒引擎的體系架構 478
20.2.4 反病毒引擎的技術特徵 478
20.2.5 反病毒引擎的發展方向 481
第四篇 反病毒產品及解決方案
第21章 中國反病毒產業發展概述 484
第22章 主流反病毒產品特點介紹 489
22.1 瑞星防毒軟體 489
22.2 江民防毒軟體 491
22.3 金山毒霸 492
22.4 諾頓防毒軟體 493
22.5 卡巴斯基防毒軟體 493
第23章 反病毒安全體系的建立 495
23.1 建設安全體系遵循的原則 495
23.1.1 法律 495
23.1.2 思想意識 497
23.1.3 技術手段 497
23.1.4 管理手段 498
23.1.5 技能手段 499
23.2 如何選擇反病毒產品 500
23.2.1 使用方面 500
23.2.2 服務方面 500
附錄A 計算機安全法規 501
附錄B 新病毒處理流程 512