本書(shū)根據(jù)高職高專教學(xué)特點(diǎn),針對(duì)新專業(yè)教學(xué)標(biāo)準(zhǔn)要求,面向信息安全工程師崗位,以計(jì)算機(jī)病毒原理分析與防治為主線,結(jié)合國(guó)內(nèi)知名計(jì)算機(jī)病毒防治企業(yè)——三六零數(shù)字安全科技集團(tuán)有限公司的實(shí)戰(zhàn)經(jīng)驗(yàn)和技術(shù),按工業(yè)和信息化部“十四五”規(guī)劃教材的要求,精心選擇最新病毒樣本和防病毒技術(shù)作為本書(shū)內(nèi)容。本書(shū)共分為12章,主要涵蓋認(rèn)識(shí)計(jì)算機(jī)病毒、構(gòu)建病毒的分析環(huán)境、計(jì)算機(jī)病毒的檢測(cè)與免疫、腳本病毒的分析與防治、宏病毒的分析與防治、PE病毒的分析與防治、蠕蟲(chóng)病毒的分析與防治、木馬病毒的分析與防治、郵件病毒的分析與防治、移動(dòng)終端惡意代碼的分析與防護(hù)、反映像劫持技術(shù)和反病毒策略。其中部分內(nèi)容介紹了當(dāng)前比較流行病毒的樣本分析和防護(hù)技術(shù),能夠很好地滿足當(dāng)前市場(chǎng)對(duì)計(jì)算機(jī)病毒防治的技術(shù)需求。
武春嶺,男,1975年2月出生,漢族,中共黨員,二級(jí)教授,現(xiàn)任重慶電子工程職業(yè)學(xué)院人工智能與大數(shù)據(jù)學(xué)院院長(zhǎng)。重慶市政協(xié)委員,國(guó)家"萬(wàn)人計(jì)劃”教學(xué)名師,享受?chē)?guó)務(wù)院政府特殊津貼專家,信息安全技術(shù)應(yīng)用國(guó)家級(jí)教學(xué)創(chuàng)新團(tuán)隊(duì)負(fù)責(zé)人,重慶市五一勞動(dòng)獎(jiǎng)?wù)芦@得者,重慶市技術(shù)能手,重慶市特級(jí)技師、重慶市級(jí)名師,重慶市委網(wǎng)信辦網(wǎng)絡(luò)安全專家咨詢委員會(huì)副主任,重慶市公安局網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制專家,重慶市教委信息化專家,兼任中共重慶市網(wǎng)信辦專家副主任委員,國(guó)家安全行業(yè)指導(dǎo)委員會(huì)委員,世界技能大賽網(wǎng)絡(luò)安全賽項(xiàng)中國(guó)區(qū)專家。
第1章 認(rèn)識(shí)計(jì)算機(jī)病毒 1
1.1 計(jì)算機(jī)病毒及其發(fā)展 2
1.1.1 計(jì)算機(jī)病毒的概念 2
1.1.2 計(jì)算機(jī)病毒的發(fā)展過(guò)程 2
1.2 計(jì)算機(jī)病毒的特點(diǎn)及主要類(lèi)型 8
1.2.1 計(jì)算機(jī)病毒的特點(diǎn) 8
1.2.2 計(jì)算機(jī)病毒的主要類(lèi)型 10
1.3 計(jì)算機(jī)病毒和惡意軟件的區(qū)別 11
1.3.1 常見(jiàn)惡意代碼的命名規(guī)則 11
1.3.2 常見(jiàn)惡意代碼的前綴 12
1.4 計(jì)算機(jī)病毒的危害及預(yù)防措施 13
1.4.1 計(jì)算機(jī)病毒的生命周期 13
1.4.2 計(jì)算機(jī)病毒的危害 14
1.4.3 常見(jiàn)計(jì)算機(jī)病毒的預(yù)防措施 14
1.5 體會(huì)病毒程序 15
1.5.1 批處理文件 15
1.5.2 關(guān)機(jī)程序 15
1.5.3 修改密碼和定時(shí)關(guān)機(jī)的病毒程序 16
第2章 構(gòu)建病毒的分析環(huán)境 23
2.1 常用的分析工具 24
2.1.1 UltraEdit 24
2.1.2 文件的修復(fù) 27
2.1.3 捆綁文件的分離 29
2.2 虛擬機(jī)系統(tǒng) 31
2.2.1 關(guān)于VMware Workstation 31
2.2.2 虛擬機(jī)系統(tǒng)的安裝 31
2.3 IceSword的使用 35
2.3.1 IceSword的簡(jiǎn)介 35
2.3.2 IceSword的主要功能 36
2.4 Filemon的使用 42
2.4.1 Filemon的簡(jiǎn)介 42
2.4.2 Filemon的主要功能 42
2.5 RegSnap的使用 43
2.5.1 RegSnap的簡(jiǎn)介 43
2.5.2 RegSnap的主要功能 44
2.6 注冊(cè)表的使用 45
2.6.1 注冊(cè)表的功能及結(jié)構(gòu) 45
2.6.2 注冊(cè)表的常用操作及命令 49
2.6.3 注冊(cè)表操作函數(shù) 51
2.6.4 注冊(cè)表的操作 56
第3章 計(jì)算機(jī)病毒的檢測(cè)與免疫 60
3.1 計(jì)算機(jī)病毒的預(yù)防 61
3.2 計(jì)算機(jī)病毒的免疫方法 63
3.2.1 特定免疫方法 63
3.2.2 基于完整性檢查的免疫方法 64
3.3 計(jì)算機(jī)病毒的檢測(cè)方法 65
3.3.1 基于現(xiàn)象觀察法 65
3.3.2 基于對(duì)比法 66
3.3.3 基于加和對(duì)比法 66
3.3.4 基于搜索法 67
3.3.5 基于軟件仿真掃描法 67
3.3.6 基于先知掃描法 68
3.3.7 基于人工智能陷阱技術(shù) 68
3.4 U盤(pán)病毒實(shí)踐 68
第4章 腳本病毒的分析與防治 71
4.1 腳本病毒的技術(shù)原理 72
4.1.1 腳本病毒 72
4.1.2 腳本病毒的技術(shù)特征 73
4.2 腳本病毒的破壞性和清除 75
4.3 腳本病毒的行為分析 79
4.3.1 利用磁盤(pán)文件對(duì)象 79
4.3.2 注冊(cè)表惡意篡改 81
4.4 萬(wàn)花谷病毒的實(shí)例分析 82
4.4.1 萬(wàn)花谷病毒的源代碼分析 82
4.4.2 萬(wàn)花谷病毒的行為分析及清除 84
4.5 新歡樂(lè)時(shí)光病毒的實(shí)例分析 86
4.5.1 新歡樂(lè)時(shí)光病毒的介紹 86
4.5.2 新歡樂(lè)時(shí)光病毒的特征 88
4.5.3 新歡樂(lè)時(shí)光病毒的源代碼分析 88
4.5.4 新歡樂(lè)時(shí)光病毒的行為分析 97
4.5.5 手工清除新歡樂(lè)時(shí)光病毒 98
4.6 腳本病毒防治 100
4.6.1 隱藏和恢復(fù)驅(qū)動(dòng)器 100
4.6.2 修改和恢復(fù)IE標(biāo)題 101
4.6.3 隱藏和恢復(fù)“開(kāi)始”菜單中的“運(yùn)行”命令 103
第5章 宏病毒的分析與防治 107
5.1 關(guān)于宏病毒 108
5.1.1 宏 108
5.1.2 Office文檔的文件格式 108
5.1.3 宏病毒的原理 109
5.2 宏病毒的特點(diǎn) 110
5.2.1 自動(dòng)運(yùn)行 110
5.2.2 調(diào)用API和外部程序 111
5.2.3 宏代碼混淆 111
5.3 宏病毒的檢測(cè) 113
5.4 宏病毒的預(yù)防和清除 113
5.4.1 宏病毒的預(yù)防 113
5.4.2 宏病毒的清除 114
5.5 宏的制作和清除 116
5.5.1 宏的錄制 116
5.5.2 宏的編輯 117
5.5.3 宏的清除 119
第6章 PE病毒的分析與防治 122
6.1 PE文件的結(jié)構(gòu) 123
6.1.1 PE文件的定義 123
6.1.2 DOS頭部文件的結(jié)構(gòu) 123
6.1.3 PE頭部文件的結(jié)構(gòu) 123
6.1.4 表的結(jié)構(gòu) 125
6.1.5 PE節(jié)的結(jié)構(gòu) 126
6.2 PE病毒的判斷 126
6.2.1 判斷PE文件中的程序入口 126
6.2.2 根據(jù)PE結(jié)構(gòu)提取特征代碼 126
6.3 鏈接庫(kù)與函數(shù) 127
6.3.1 靜態(tài)鏈接 127
6.3.2 動(dòng)態(tài)鏈接 127
6.3.3 運(yùn)行時(shí)鏈接 128
6.3.4 基于鏈接的分析 128
6.4 CIH病毒的分析清除案例 129
6.4.1 CIH病毒的簡(jiǎn)介 129
6.4.2 CIH病毒的識(shí)別 129
6.4.3 CIH病毒的源代碼分析 129
6.5 PE病毒的分析與清除 132
6.5.1 執(zhí)行病毒感染 133
6.5.2 對(duì)比分析感染過(guò)程 135
6.5.3 逆向清除和恢復(fù) 137
第7章 蠕蟲(chóng)病毒的分析與防治 144
7.1 蠕蟲(chóng)病毒的主要特點(diǎn) 145
7.1.1 蠕蟲(chóng)病毒的簡(jiǎn)介 145
7.1.2 蠕蟲(chóng)病毒與傳統(tǒng)病毒的區(qū)別 145
7.2 蠕蟲(chóng)病毒的攻擊原理 146
7.2.1 漏洞與緩沖區(qū)溢出 146
7.2.2 緩沖區(qū)溢出漏洞的服務(wù)器模型 147
7.2.3 服務(wù)器模型的實(shí)現(xiàn) 148
7.2.4 模型的漏洞分析 148
7.2.5 蠕蟲(chóng)病毒的傳播模型 149
7.2.6 蠕蟲(chóng)病毒探測(cè)模塊的實(shí)現(xiàn)方式 150
7.3 沖擊波病毒的源代碼分析 152
7.3.1 沖擊波病毒的簡(jiǎn)介 152
7.3.2 感染沖擊波病毒的主要癥狀 152
7.3.3 源代碼分析 153
7.4 熊貓燒香病毒的分析 161
7.4.1 熊貓燒香病毒的特點(diǎn) 161
7.4.2 熊貓燒香病毒的源代碼分析 162
7.4.3 熊貓燒香病毒主要行為的分析 170
7.4.4 手動(dòng)清除熊貓燒香病毒 174
7.5 SysAnti病毒的分析 174
7.5.1 實(shí)驗(yàn)準(zhǔn)備 175
7.5.2 SysAnti病毒的主要病毒文件 175
7.5.3 SysAnti病毒在系統(tǒng)中的其他信息 177
7.5.4 手動(dòng)清除SysAnti病毒 179
7.5.5 程序清除SysAnti病毒 180
第8章 木馬病毒的分析與防治 184
8.1 關(guān)于木馬病毒 185
8.1.1 木馬病毒的定義 185
8.1.2 木馬病毒的危害 185
8.1.3 木馬病毒的特點(diǎn) 186
8.1.4 木馬病毒的分類(lèi) 187
8.2 木馬病毒的攻擊原理 187
8.2.1 木馬病毒的模型 187
8.2.2 木馬病毒的植入技術(shù) 189
8.2.3 木馬病毒的自啟動(dòng)技術(shù) 189
8.2.4 自啟動(dòng)程序的實(shí)現(xiàn) 191
8.2.5 木馬病毒的隱藏手段 192
8.2.6 木馬進(jìn)程的隱藏 193
8.3 紅色代碼病毒的分析 195
8.3.1 紅色代碼病毒的簡(jiǎn)介 195
8.3.2 紅色代碼病毒的變種 195
8.3.3 紅色代碼病毒的源代碼分析 196
8.3.4 紅色代碼病毒的源代碼防治 200
8.4 sxs.exe病毒的分析與清除 201
8.4.1 sxs.exe病毒的行為記錄 201
8.4.2 sxs.exe病毒的行為分析 203
8.4.3 手動(dòng)清除sxs.exe病毒 204
8.4.4 程序清除sxs.exe病毒 205
第9章 郵件病毒的分析與防治 209
9.1 關(guān)于郵件病毒 210
9.1.1 郵件病毒 210
9.1.2 郵件病毒的危害 210
9.1.3 郵件病毒的預(yù)防措施 211
9.2 垃圾郵件的分析與過(guò)濾 211
9.2.1 垃圾郵件與郵件蠕蟲(chóng) 211
9.2.2 垃圾郵件的識(shí)別技術(shù) 212
9.2.3 垃圾郵件的來(lái)源追蹤 214
9.3 反垃圾郵件技術(shù) 215
9.3.1 SPF 215
9.3.2 DKIM標(biāo)準(zhǔn) 216
9.3.3 DMARC協(xié)議 216
9.3.4 反垃圾郵件網(wǎng)關(guān) 216
9.4 梅麗莎病毒的剖析 218
9.4.1 梅麗莎病毒的簡(jiǎn)介 218
9.4.2 梅麗莎病毒的源代碼分析 218
9.4.3 梅麗莎病毒的行為狀態(tài)分析 221
9.4.4 梅麗莎病毒的清除 223
9.5 金豬報(bào)喜病毒的分析和清除 224
9.5.1 實(shí)驗(yàn)準(zhǔn)備 224
9.5.2 金豬報(bào)喜病毒的主要病毒文件 224
9.5.3 金豬報(bào)喜病毒在系統(tǒng)中的其他信息 225
9.5.4 手動(dòng)清除金豬報(bào)喜病毒 227
9.5.5 程序清除金豬報(bào)喜病毒 228
第10章 移動(dòng)終端惡意代碼的分析與防護(hù) 233
10.1 移動(dòng)終端系統(tǒng)與惡意代碼 234
10.1.1 移動(dòng)終端惡意代碼的概述 234
10.1.2 主流移動(dòng)終端操作系統(tǒng) 234
10.1.3 移動(dòng)終端操作系統(tǒng)存在的問(wèn)題 236
10.2 移動(dòng)終端惡意代碼的關(guān)鍵技術(shù) 237
10.2.1 移動(dòng)終端惡意代碼的傳播方式 237
10.2.2 移動(dòng)終端惡意代碼的攻擊方式 237
10.2.3 移動(dòng)終端惡意代碼的生存環(huán)境 237
10.2.4 移動(dòng)終端的漏洞 238
10.3 移動(dòng)終端惡意代碼的分類(lèi)與防范 238
10.3.1 移動(dòng)終端惡意代碼的分類(lèi) 238
10.3.2 移動(dòng)終端惡意代碼的防范 240
10.4 移動(dòng)終端的殺毒工具 240
10.4.1 國(guó)外移動(dòng)終端惡意代碼的防范技術(shù)及其產(chǎn)品 240
10.4.2 國(guó)內(nèi)移動(dòng)終端惡意代碼的防范技術(shù)及其產(chǎn)品 241
10.5 手機(jī)漏洞與移動(dòng)支付安全 242
10.5.1 手機(jī)漏洞的現(xiàn)狀 242
10.5.2 移動(dòng)支付的相關(guān)漏洞 243
10.5.3 移動(dòng)支付安全的解決方案 244
第11章 反映像劫持技術(shù) 251
11.1 關(guān)于映像劫持 252
11.1.1 映像劫持的概述 252
11.1.2 映像劫持的原理 252
11.2 調(diào)試器 253
11.2.1 主要參數(shù) 253
11.2.2 重定向機(jī)制 253
11.3 映像劫持的過(guò)程和防御 254
11.3.1 過(guò)程演示 254
11.3.2 查找和清除映像劫持 257
11.4 SysAnti病毒映像劫持 257
11.4.1 SysAnti病毒映像劫持的分析 257
11.4.2 SysAnti病毒映像劫持的清除 259
第12章 反病毒策略 262
12.1 病毒的防治策略 263
12.1.1 多層次保護(hù)策略 263
12.1.2 基于點(diǎn)的保護(hù)策略 263
12.1.3 集成方案策略 264
12.1.4 被動(dòng)型策略和主動(dòng)型策略 264
12.1.5 基于訂購(gòu)的防病毒支持服務(wù) 264
12.2 瀏覽器的安全介紹 264
12.2.1 IE的安全 264
12.2.2 360安全瀏覽器的安全 266
12.3 主流反病毒產(chǎn)品的簡(jiǎn)介 267
12.3.1 趨勢(shì)維C片 267
12.3.2 企業(yè)防毒墻 267
12.3.3 InterScan郵件安全版 268
12.3.4 Microsoft Exchange與IBM Domino的防病毒軟件 268
12.4 集成云安全技術(shù) 270
12.4.1 IWSA防病毒網(wǎng)關(guān) 270
12.4.2 IWSS的反病毒產(chǎn)品 271
參考文獻(xiàn) 276