本書根據(jù)高職高專教學特點,針對新專業(yè)教學標準要求,面向信息安全工程師崗位���,以計算機病毒原理分析與防治為主線���,結(jié)合國內(nèi)知名計算機病毒防治企業(yè)——三六零數(shù)字安全科技集團有限公司的實戰(zhàn)經(jīng)驗和技術(shù),按工業(yè)和信息化部“十四五”規(guī)劃教材的要求��,精心選擇最新病毒樣本和防病毒技術(shù)作為本書內(nèi)容����。本書共分為12章,主要涵蓋認識計算機病毒�、構(gòu)建病毒的分析環(huán)境、計算機病毒的檢測與免疫��、腳本病毒的分析與防治���、宏病毒的分析與防治�����、PE病毒的分析與防治�����、蠕蟲病毒的分析與防治��、木馬病毒的分析與防治��、郵件病毒的分析與防治���、移動終端惡意代碼的分析與防護���、反映像劫持技術(shù)和反病毒策略。其中部分內(nèi)容介紹了當前比較流行病毒的樣本分析和防護技術(shù)��,能夠很好地滿足當前市場對計算機病毒防治的技術(shù)需求���。
武春嶺�����,男��,1975年2月出生�����,漢族�����,中共黨員�,二級教授�����,現(xiàn)任重慶電子工程職業(yè)學院人工智能與大數(shù)據(jù)學院院長�。重慶市政協(xié)委員,國家"萬人計劃”教學名師�����,享受國務(wù)院政府特殊津貼專家�����,信息安全技術(shù)應用國家級教學創(chuàng)新團隊負責人�����,重慶市五一勞動獎?wù)芦@得者�����,重慶市技術(shù)能手,重慶市特級技師�����、重慶市級名師�,重慶市委網(wǎng)信辦網(wǎng)絡(luò)安全專家咨詢委員會副主任,重慶市公安局網(wǎng)絡(luò)與信息安全信息通報機制專家�����,重慶市教委信息化專家�����,兼任中共重慶市網(wǎng)信辦專家副主任委員�����,國家安全行業(yè)指導委員會委員��,世界技能大賽網(wǎng)絡(luò)安全賽項中國區(qū)專家�。
第1章 認識計算機病毒 1
1.1 計算機病毒及其發(fā)展 2
1.1.1 計算機病毒的概念 2
1.1.2 計算機病毒的發(fā)展過程 2
1.2 計算機病毒的特點及主要類型 8
1.2.1 計算機病毒的特點 8
1.2.2 計算機病毒的主要類型 10
1.3 計算機病毒和惡意軟件的區(qū)別 11
1.3.1 常見惡意代碼的命名規(guī)則 11
1.3.2 常見惡意代碼的前綴 12
1.4 計算機病毒的危害及預防措施 13
1.4.1 計算機病毒的生命周期 13
1.4.2 計算機病毒的危害 14
1.4.3 常見計算機病毒的預防措施 14
1.5 體會病毒程序 15
1.5.1 批處理文件 15
1.5.2 關(guān)機程序 15
1.5.3 修改密碼和定時關(guān)機的病毒程序 16
第2章 構(gòu)建病毒的分析環(huán)境 23
2.1 常用的分析工具 24
2.1.1 UltraEdit 24
2.1.2 文件的修復 27
2.1.3 捆綁文件的分離 29
2.2 虛擬機系統(tǒng) 31
2.2.1 關(guān)于VMware Workstation 31
2.2.2 虛擬機系統(tǒng)的安裝 31
2.3 IceSword的使用 35
2.3.1 IceSword的簡介 35
2.3.2 IceSword的主要功能 36
2.4 Filemon的使用 42
2.4.1 Filemon的簡介 42
2.4.2 Filemon的主要功能 42
2.5 RegSnap的使用 43
2.5.1 RegSnap的簡介 43
2.5.2 RegSnap的主要功能 44
2.6 注冊表的使用 45
2.6.1 注冊表的功能及結(jié)構(gòu) 45
2.6.2 注冊表的常用操作及命令 49
2.6.3 注冊表操作函數(shù) 51
2.6.4 注冊表的操作 56
第3章 計算機病毒的檢測與免疫 60
3.1 計算機病毒的預防 61
3.2 計算機病毒的免疫方法 63
3.2.1 特定免疫方法 63
3.2.2 基于完整性檢查的免疫方法 64
3.3 計算機病毒的檢測方法 65
3.3.1 基于現(xiàn)象觀察法 65
3.3.2 基于對比法 66
3.3.3 基于加和對比法 66
3.3.4 基于搜索法 67
3.3.5 基于軟件仿真掃描法 67
3.3.6 基于先知掃描法 68
3.3.7 基于人工智能陷阱技術(shù) 68
3.4 U盤病毒實踐 68
第4章 腳本病毒的分析與防治 71
4.1 腳本病毒的技術(shù)原理 72
4.1.1 腳本病毒 72
4.1.2 腳本病毒的技術(shù)特征 73
4.2 腳本病毒的破壞性和清除 75
4.3 腳本病毒的行為分析 79
4.3.1 利用磁盤文件對象 79
4.3.2 注冊表惡意篡改 81
4.4 萬花谷病毒的實例分析 82
4.4.1 萬花谷病毒的源代碼分析 82
4.4.2 萬花谷病毒的行為分析及清除 84
4.5 新歡樂時光病毒的實例分析 86
4.5.1 新歡樂時光病毒的介紹 86
4.5.2 新歡樂時光病毒的特征 88
4.5.3 新歡樂時光病毒的源代碼分析 88
4.5.4 新歡樂時光病毒的行為分析 97
4.5.5 手工清除新歡樂時光病毒 98
4.6 腳本病毒防治 100
4.6.1 隱藏和恢復驅(qū)動器 100
4.6.2 修改和恢復IE標題 101
4.6.3 隱藏和恢復“開始”菜單中的“運行”命令 103
第5章 宏病毒的分析與防治 107
5.1 關(guān)于宏病毒 108
5.1.1 宏 108
5.1.2 Office文檔的文件格式 108
5.1.3 宏病毒的原理 109
5.2 宏病毒的特點 110
5.2.1 自動運行 110
5.2.2 調(diào)用API和外部程序 111
5.2.3 宏代碼混淆 111
5.3 宏病毒的檢測 113
5.4 宏病毒的預防和清除 113
5.4.1 宏病毒的預防 113
5.4.2 宏病毒的清除 114
5.5 宏的制作和清除 116
5.5.1 宏的錄制 116
5.5.2 宏的編輯 117
5.5.3 宏的清除 119
第6章 PE病毒的分析與防治 122
6.1 PE文件的結(jié)構(gòu) 123
6.1.1 PE文件的定義 123
6.1.2 DOS頭部文件的結(jié)構(gòu) 123
6.1.3 PE頭部文件的結(jié)構(gòu) 123
6.1.4 表的結(jié)構(gòu) 125
6.1.5 PE節(jié)的結(jié)構(gòu) 126
6.2 PE病毒的判斷 126
6.2.1 判斷PE文件中的程序入口 126
6.2.2 根據(jù)PE結(jié)構(gòu)提取特征代碼 126
6.3 鏈接庫與函數(shù) 127
6.3.1 靜態(tài)鏈接 127
6.3.2 動態(tài)鏈接 127
6.3.3 運行時鏈接 128
6.3.4 基于鏈接的分析 128
6.4 CIH病毒的分析清除案例 129
6.4.1 CIH病毒的簡介 129
6.4.2 CIH病毒的識別 129
6.4.3 CIH病毒的源代碼分析 129
6.5 PE病毒的分析與清除 132
6.5.1 執(zhí)行病毒感染 133
6.5.2 對比分析感染過程 135
6.5.3 逆向清除和恢復 137
第7章 蠕蟲病毒的分析與防治 144
7.1 蠕蟲病毒的主要特點 145
7.1.1 蠕蟲病毒的簡介 145
7.1.2 蠕蟲病毒與傳統(tǒng)病毒的區(qū)別 145
7.2 蠕蟲病毒的攻擊原理 146
7.2.1 漏洞與緩沖區(qū)溢出 146
7.2.2 緩沖區(qū)溢出漏洞的服務(wù)器模型 147
7.2.3 服務(wù)器模型的實現(xiàn) 148
7.2.4 模型的漏洞分析 148
7.2.5 蠕蟲病毒的傳播模型 149
7.2.6 蠕蟲病毒探測模塊的實現(xiàn)方式 150
7.3 沖擊波病毒的源代碼分析 152
7.3.1 沖擊波病毒的簡介 152
7.3.2 感染沖擊波病毒的主要癥狀 152
7.3.3 源代碼分析 153
7.4 熊貓燒香病毒的分析 161
7.4.1 熊貓燒香病毒的特點 161
7.4.2 熊貓燒香病毒的源代碼分析 162
7.4.3 熊貓燒香病毒主要行為的分析 170
7.4.4 手動清除熊貓燒香病毒 174
7.5 SysAnti病毒的分析 174
7.5.1 實驗準備 175
7.5.2 SysAnti病毒的主要病毒文件 175
7.5.3 SysAnti病毒在系統(tǒng)中的其他信息 177
7.5.4 手動清除SysAnti病毒 179
7.5.5 程序清除SysAnti病毒 180
第8章 木馬病毒的分析與防治 184
8.1 關(guān)于木馬病毒 185
8.1.1 木馬病毒的定義 185
8.1.2 木馬病毒的危害 185
8.1.3 木馬病毒的特點 186
8.1.4 木馬病毒的分類 187
8.2 木馬病毒的攻擊原理 187
8.2.1 木馬病毒的模型 187
8.2.2 木馬病毒的植入技術(shù) 189
8.2.3 木馬病毒的自啟動技術(shù) 189
8.2.4 自啟動程序的實現(xiàn) 191
8.2.5 木馬病毒的隱藏手段 192
8.2.6 木馬進程的隱藏 193
8.3 紅色代碼病毒的分析 195
8.3.1 紅色代碼病毒的簡介 195
8.3.2 紅色代碼病毒的變種 195
8.3.3 紅色代碼病毒的源代碼分析 196
8.3.4 紅色代碼病毒的源代碼防治 200
8.4 sxs.exe病毒的分析與清除 201
8.4.1 sxs.exe病毒的行為記錄 201
8.4.2 sxs.exe病毒的行為分析 203
8.4.3 手動清除sxs.exe病毒 204
8.4.4 程序清除sxs.exe病毒 205
第9章 郵件病毒的分析與防治 209
9.1 關(guān)于郵件病毒 210
9.1.1 郵件病毒 210
9.1.2 郵件病毒的危害 210
9.1.3 郵件病毒的預防措施 211
9.2 垃圾郵件的分析與過濾 211
9.2.1 垃圾郵件與郵件蠕蟲 211
9.2.2 垃圾郵件的識別技術(shù) 212
9.2.3 垃圾郵件的來源追蹤 214
9.3 反垃圾郵件技術(shù) 215
9.3.1 SPF 215
9.3.2 DKIM標準 216
9.3.3 DMARC協(xié)議 216
9.3.4 反垃圾郵件網(wǎng)關(guān) 216
9.4 梅麗莎病毒的剖析 218
9.4.1 梅麗莎病毒的簡介 218
9.4.2 梅麗莎病毒的源代碼分析 218
9.4.3 梅麗莎病毒的行為狀態(tài)分析 221
9.4.4 梅麗莎病毒的清除 223
9.5 金豬報喜病毒的分析和清除 224
9.5.1 實驗準備 224
9.5.2 金豬報喜病毒的主要病毒文件 224
9.5.3 金豬報喜病毒在系統(tǒng)中的其他信息 225
9.5.4 手動清除金豬報喜病毒 227
9.5.5 程序清除金豬報喜病毒 228
第10章 移動終端惡意代碼的分析與防護 233
10.1 移動終端系統(tǒng)與惡意代碼 234
10.1.1 移動終端惡意代碼的概述 234
10.1.2 主流移動終端操作系統(tǒng) 234
10.1.3 移動終端操作系統(tǒng)存在的問題 236
10.2 移動終端惡意代碼的關(guān)鍵技術(shù) 237
10.2.1 移動終端惡意代碼的傳播方式 237
10.2.2 移動終端惡意代碼的攻擊方式 237
10.2.3 移動終端惡意代碼的生存環(huán)境 237
10.2.4 移動終端的漏洞 238
10.3 移動終端惡意代碼的分類與防范 238
10.3.1 移動終端惡意代碼的分類 238
10.3.2 移動終端惡意代碼的防范 240
10.4 移動終端的殺毒工具 240
10.4.1 國外移動終端惡意代碼的防范技術(shù)及其產(chǎn)品 240
10.4.2 國內(nèi)移動終端惡意代碼的防范技術(shù)及其產(chǎn)品 241
10.5 手機漏洞與移動支付安全 242
10.5.1 手機漏洞的現(xiàn)狀 242
10.5.2 移動支付的相關(guān)漏洞 243
10.5.3 移動支付安全的解決方案 244
第11章 反映像劫持技術(shù) 251
11.1 關(guān)于映像劫持 252
11.1.1 映像劫持的概述 252
11.1.2 映像劫持的原理 252
11.2 調(diào)試器 253
11.2.1 主要參數(shù) 253
11.2.2 重定向機制 253
11.3 映像劫持的過程和防御 254
11.3.1 過程演示 254
11.3.2 查找和清除映像劫持 257
11.4 SysAnti病毒映像劫持 257
11.4.1 SysAnti病毒映像劫持的分析 257
11.4.2 SysAnti病毒映像劫持的清除 259
第12章 反病毒策略 262
12.1 病毒的防治策略 263
12.1.1 多層次保護策略 263
12.1.2 基于點的保護策略 263
12.1.3 集成方案策略 264
12.1.4 被動型策略和主動型策略 264
12.1.5 基于訂購的防病毒支持服務(wù) 264
12.2 瀏覽器的安全介紹 264
12.2.1 IE的安全 264
12.2.2 360安全瀏覽器的安全 266
12.3 主流反病毒產(chǎn)品的簡介 267
12.3.1 趨勢維C片 267
12.3.2 企業(yè)防毒墻 267
12.3.3 InterScan郵件安全版 268
12.3.4 Microsoft Exchange與IBM Domino的防病毒軟件 268
12.4 集成云安全技術(shù) 270
12.4.1 IWSA防病毒網(wǎng)關(guān) 270
12.4.2 IWSS的反病毒產(chǎn)品 271
參考文獻 276
書單推薦
