本書(shū)從計(jì)算機(jī)病毒生命周期的全新視角,詳細(xì)介紹了計(jì)算機(jī)病毒的基本理論與主要攻防技術(shù)。計(jì)算機(jī)病毒生命周期,是指從病毒編寫(xiě)誕生開(kāi)始到病毒被獵殺的全生命歷程,主要包括誕生、傳播、潛伏、發(fā)作、檢測(cè)、凋亡等階段。從攻防博弈的角度,病毒的誕生、傳播、潛伏、發(fā)作等階段屬于病毒攻擊范疇,而病毒的檢測(cè)、凋亡等階段屬于病毒防御范疇。本書(shū)以計(jì)算機(jī)病毒生命周期為邏輯主線,全景式展示計(jì)算機(jī)病毒攻防因果鏈,將內(nèi)容劃分為基礎(chǔ)篇、攻擊篇、防御篇3篇共9章。首先,在基礎(chǔ)篇中介紹了計(jì)算機(jī)病毒概論、計(jì)算機(jī)病毒基礎(chǔ)知識(shí)及計(jì)算機(jī)病毒分析平臺(tái)等理論基礎(chǔ)。其次,在攻擊篇中介紹了計(jì)算機(jī)病毒攻擊方法與技術(shù),包括計(jì)算機(jī)病毒的誕生、傳播、潛伏、發(fā)作等攻擊技術(shù)方法。最后,在防御篇中討論了計(jì)算機(jī)病毒防御理論與方法,包括計(jì)算機(jī)病毒檢測(cè)、病毒免疫與凋亡等防御技術(shù)方法。
張瑜,博士,教授,網(wǎng)絡(luò)空間安全學(xué)科帶頭人,中國(guó)指揮與控制學(xué)會(huì)網(wǎng)絡(luò)空間安全專(zhuān)委會(huì)委員,中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專(zhuān)委會(huì)委員,中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)會(huì)員,海南省南海名家(網(wǎng)絡(luò)空間安全領(lǐng)軍人才),海南省網(wǎng)絡(luò)安全與信息化專(zhuān)家,海南省商用密碼庫(kù)入選專(zhuān)家。2013年獲國(guó)家留學(xué)基金委資助,赴美國(guó)Sam Houston State University訪學(xué)一年,在網(wǎng)絡(luò)空間安全領(lǐng)域與美方進(jìn)行了深度科研合作。主持國(guó)家自然科學(xué)基金、教育部、海南省自然科學(xué)基金等國(guó)家計(jì)劃項(xiàng)目的研究,在國(guó)內(nèi)外權(quán)威期刊上發(fā)表論文30余篇,20多篇被SCI、EI收錄。出版《計(jì)算機(jī)病毒學(xué)》《Rootkit隱遁攻擊技術(shù)及其防范》《計(jì)算機(jī)病毒進(jìn)化論》《免疫優(yōu)化理論及其應(yīng)用》等4部專(zhuān)著,申請(qǐng)國(guó)家發(fā)明專(zhuān)利6項(xiàng),獲準(zhǔn)計(jì)算機(jī)軟件著作權(quán)15項(xiàng)。
目 錄
基 礎(chǔ) 篇
第1章 計(jì)算機(jī)病毒概論 002
1.1 計(jì)算機(jī)病毒起源 002
1.1.1 計(jì)算機(jī)病毒理論起源 002
1.1.2 計(jì)算機(jī)病毒游戲起源 003
1.1.3 計(jì)算機(jī)病毒科幻起源 004
1.1.4 計(jì)算機(jī)病毒實(shí)驗(yàn)起源 005
1.2 計(jì)算機(jī)病毒定義 006
1.3 計(jì)算機(jī)病毒特性 006
1.3.1 繁殖性 007
1.3.2 破壞性 007
1.3.3 傳染性 007
1.3.4 潛伏性 008
1.3.5 可觸發(fā)性 008
1.3.6 衍生性 008
1.3.7 不可預(yù)見(jiàn)性 008
1.4 計(jì)算機(jī)病毒類(lèi)型 009
1.4.1 按照存儲(chǔ)介質(zhì)劃分 010
1.4.2 按照感染系統(tǒng)劃分 010
1.4.3 按照破壞性劃分 010
1.4.4 按照算法功能劃分 010
1.5 計(jì)算機(jī)病毒結(jié)構(gòu) 010
1.6 計(jì)算機(jī)病毒進(jìn)化 012
1.6.1 計(jì)算機(jī)病毒外部環(huán)境變遷視角 012
1.6.2 計(jì)算機(jī)病毒攻擊載體視角 015
1.6.3 計(jì)算機(jī)病毒編寫(xiě)者視角 016
1.7 計(jì)算機(jī)病毒環(huán)境 018
1.7.1 計(jì)算機(jī)體系結(jié)構(gòu)依賴(lài) 019
1.7.2 計(jì)算機(jī)操作系統(tǒng)依賴(lài) 020
1.7.3 文件系統(tǒng)及文件格式依賴(lài) 021
1.7.4 解釋環(huán)境依賴(lài) 022
1.8 計(jì)算機(jī)病毒生命周期 022
1.9 課后練習(xí) 024
第2章 計(jì)算機(jī)病毒基礎(chǔ)知識(shí) 025
2.1 Windows PE文件格式 025
2.1.1 Windows PE簡(jiǎn)介 025
2.1.2 Windows PE文件基本概念 026
2.1.3 Windows PE文件格式 030
2.2 Powershell基礎(chǔ) 043
2.2.1 Powershell簡(jiǎn)介 043
2.2.2 Powershell基本概念 044
2.2.3 Powershell安全技術(shù) 050
2.3 Windows內(nèi)核機(jī)制 056
2.3.1 Windows系統(tǒng)體系結(jié)構(gòu) 056
2.3.2 Windows的分段與分頁(yè) 057
2.3.3 Windows系統(tǒng)服務(wù)調(diào)用機(jī)制 058
2.4 課后練習(xí) 062
第3章 計(jì)算機(jī)病毒分析平臺(tái) 064
3.1 計(jì)算機(jī)病毒分析簡(jiǎn)介 064
3.1.1 計(jì)算機(jī)病毒分析環(huán)境 064
3.1.2 虛擬機(jī)創(chuàng)建 065
3.2 計(jì)算機(jī)病毒靜態(tài)分析 067
3.2.1 反病毒引擎掃描 068
3.2.2 查找字符串 069
3.2.3 加殼與混淆檢測(cè) 070
3.2.4 PE文件格式檢測(cè) 070
3.2.5 鏈接庫(kù)與函數(shù) 071
3.3 計(jì)算機(jī)病毒動(dòng)態(tài)分析 071
3.3.1 注冊(cè)表快照對(duì)比 072
3.3.2 進(jìn)程監(jiān)控 072
3.3.3 程序調(diào)試監(jiān)控 072
3.4 計(jì)算機(jī)病毒分析文檔 073
3.4.1 計(jì)算機(jī)病毒樣本分析登記文檔 074
3.4.2 計(jì)算機(jī)病毒樣本分析結(jié)果登記文檔 074
3.4.3 計(jì)算機(jī)病毒分析報(bào)告 074
3.5 課后練習(xí) 075
攻 擊 篇
第4章 計(jì)算機(jī)病毒誕生 078
4.1 程序設(shè)計(jì)生成 078
4.1.1 編程心理學(xué) 078
4.1.2 編程經(jīng)濟(jì)學(xué) 080
4.2 軟件代碼復(fù)用 084
4.2.1 代碼復(fù)用 084
4.2.2 低代碼 085
4.3 病毒生產(chǎn)機(jī) 086
4.4 基于ChatGPT生成病毒 087
4.4.1 ChatGPT簡(jiǎn)介 087
4.4.2 基于ChatGPT生成病毒 087
4.5 課后練習(xí) 093
第5章 計(jì)算機(jī)病毒傳播 094
5.1 文件寄生 094
5.1.1 可執(zhí)行文件寄生 094
5.1.2 數(shù)據(jù)文件寄生 101
5.2 實(shí)體注入 102
5.2.1 DLL注入 102
5.2.2 進(jìn)程鏤空 108
5.2.3 注冊(cè)表注入 110
5.2.4 映像劫持 115
5.3 漏洞利用 118
5.3.1 Exploit結(jié)構(gòu) 118
5.3.2 Exploit原理 118
5.3.3 Exploit實(shí)現(xiàn) 126
5.4 社會(huì)工程學(xué) 130
5.5 課后練習(xí) 132
第6章 計(jì)算機(jī)病毒潛伏 133
6.1 病毒隱匿 133
6.1.1 Rootkit技術(shù) 133
6.1.2 無(wú)文件病毒 165
6.2 病毒混淆 205
6.2.1 混淆原理 205
6.2.2 混淆實(shí)現(xiàn) 206
6.3 病毒多態(tài) 208
6.3.1 病毒多態(tài)原理 208
6.3.2 多態(tài)代碼實(shí)現(xiàn) 209
6.3.3 病毒多態(tài)演示 211
6.4 病毒加殼 212
6.4.1 病毒加殼原理 212
6.4.2 加殼代碼實(shí)現(xiàn) 213
6.4.3 病毒加殼演示 214
6.5 課后練習(xí) 215
第7章 計(jì)算機(jī)病毒發(fā)作 216
7.1 病毒啟動(dòng) 216
7.1.1 注冊(cè)表啟動(dòng) 216
7.1.2 實(shí)體劫持啟動(dòng) 219
7.1.3 系統(tǒng)服務(wù)啟動(dòng) 219
7.2 加密勒索 220
7.2.1 密碼學(xué)原理 221
7.2.2 加密勒索實(shí)現(xiàn) 222
7.3 數(shù)據(jù)泄露 223
7.4 數(shù)據(jù)銷(xiāo)毀 225
7.4.1 數(shù)據(jù)存儲(chǔ)原理 225
7.4.2 數(shù)據(jù)銷(xiāo)毀方法 228
7.5 軟硬件破壞 229
7.5.1 惡作劇 229
7.5.2 數(shù)據(jù)破壞 232
7.5.3 物理破壞 234
7.6 課后練習(xí) 239
防 御 篇
第8章 計(jì)算機(jī)病毒檢測(cè) 242
8.1 基于特征碼檢測(cè) 242
8.1.1 病毒特征碼定義 242
8.1.2 病毒特征碼提取 245
8.1.3 病毒特征碼檢測(cè) 246
8.2 啟發(fā)式檢測(cè) 247
8.2.1 啟發(fā)式病毒屬性 248
8.2.2 啟發(fā)式病毒檢測(cè) 248
8.3 虛擬沙箱檢測(cè) 251
8.4 數(shù)據(jù)驅(qū)動(dòng)檢測(cè) 252
8.4.1 基于機(jī)器學(xué)習(xí)的病毒檢測(cè) 253
8.4.2 基于深度學(xué)習(xí)的病毒檢測(cè) 257
8.4.3 基于強(qiáng)化學(xué)習(xí)的病毒檢測(cè) 260
8.5 基于ChatGPT的安全防御 262
8.5.1 計(jì)算機(jī)病毒檢測(cè) 262
8.5.2 逆向分析 263
8.5.3 漏洞發(fā)現(xiàn) 264
8.5.4 事件分析與響應(yīng) 264
8.6 課后練習(xí) 265
第9章 計(jì)算機(jī)病毒凋亡 266
9.1 病毒獵殺 266
9.1.1 病毒獵殺流程 266
9.1.2 病毒獵殺方法 267
9.2 病毒免疫 269
9.2.1 免疫接種 270
9.2.2 疫苗注射 271
9.3 環(huán)境升級(jí) 272
9.3.1 操作系統(tǒng) 272
9.3.2 編程語(yǔ)言 274
9.3.3 安全軟件 275
9.4 課后練習(xí) 276
參考文獻(xiàn) 277