计算机病毒防治实用教程

内容简介

本课程是高职高专信息安全专业的必修课程。《计算机病毒防治实用教程》从计算机病毒的概念及其发展趋势开始，分类介绍了网页脚本病毒、宏病毒、蠕虫病毒及木马病毒等典型病毒，每类病毒都结合实例，从病毒防治的技术原理、病毒行为分析及防治措施等方面讲解了几个具有代表性的防治技术，还介绍了防病毒软件技术的发展方向和有代表性厂家产品的发展情况。
　　《计算机病毒防治实用教程》可作为高职高专院校信息安全专业、网络技术专业等的教学用书。也可作为防病毒软件设计者的参考书。

目录

出版说明
前言
第1章 计算机病毒概论
1.1 计算机病毒的定义
1.2 计算机病毒的发展状况
1.2.1 计算机病毒的起源
1.2.2 国内计算机病毒的发展状况
1.3 计算机病毒的传播途径
1.4 计算机病毒的特点
1.5 计算机病毒的分类
1.6 计算机病毒和恶意软件的区别
1.7 常见恶意代码的命名规则
1.8 计算机病毒的生命周期
1.9 计算机病毒的影响
1.10 计算机病毒的措施
1.11 习题

第2章 病毒分析平台
2.1 掌握ultraEdit的使用方法
2.2 掌握影子系统的使用方法
2.3 掌握Icesword的使用方法
2.4 掌握FileMon的使用方法
2.5 掌握RegSn印工具的使用方法
2.6 技能训练——病毒分析常用工具实验
2.6.1 文件修复实验
2.6.2 分离捆绑文件实验
2.6.3 系统诊断实验
2.6.4 系统监视实验
2.7 习题

第3章 典型计算机病毒剖析
3.1 注册表的操作及维护
3.1.1 注册表功能及结构
3.1.2 注册表常用操作及命令
3.1.3 注册表操作函数
3.1.4 注册表操作示例
3.2 网页脚本病毒剖析
3.2.1 网页脚本病毒简介
3.2.2 网页脚本病毒的特点
3.2.3 网页脚本病毒发作现象及清除示例
3.2.4 脚本及恶意网页代码示例
3.2.5 “万花谷”病毒实例剖析
3.2.6 新“欢乐时光”病毒实例剖析
3.3 宏病毒剖析
3.3.1 宏病毒简介
3.3.2 宏病毒工作原理
3.3.3 宏病毒特点及检测
3.3.4 宏病毒及清除
3.3.5 宏操作示例
3.3.6 “梅丽莎”病毒剖析及清除示例
3.4 蠕虫病毒剖析
3.4.1 蠕虫病毒简介
3.4.2 蠕虫病毒特点
3.4.3 漏洞与缓冲区溢出技术
3.4.4 “红色代码”病毒实例剖析
3.4.5 “熊猫烧香”病毒实例剖析
3.5 木马病毒剖析
3.5.1 木马病毒的起源和定义
3.5.2 木马病毒的功能
3.5.3 木马病毒的特点
3.5.4 木马病毒的分类
3.5.5 木马病毒的基本工作原理
3.5.6 木马攻击技术
3.5.7 Trojan.PSW.QQPass.pqb木马病毒剖析
3.6 技能训练——病毒分析实验
3.6.1 注册表操作实验
3.6.2 网页脚本病毒防治实验
3.6.3 宏病毒防治实验
3.6.4 蠕虫病毒防治实验
3.6.5 木马病毒防治实验
3.7 习题

第4章 计算机病毒防范、免疫与清除技术
4.1 计算机病毒的防范措施
4.2 计算机病毒免疫技术
4.3 计算机病毒检测方法
4.3.1 现象观察法
4.3.2 对比法
4.3.3 加和对比法
4.3.4 搜索法
4.3.5 软件仿真扫描法
4.3.6 先知扫描法
4.3.7 人工智能陷阱技术和宏病毒陷阱技术
4.4 计算机病毒的清除
4.5 技能训练——病毒防范和免疫实验
4.5.1 防范网页木马攻击实验
4.5.2 防范网页病毒攻击实验
4.5.3 病毒免疫实验
4.5.4 手工清除“QQ尾巴”病毒实验
4.5.5 手工清除隐藏文件病毒实验
4.6 习题

第5章 反病毒软件的编制技术
5.1 计算机病毒特征码的作用
5.2 查毒技术
5.2.1 主动防御技术
5.2.2 启发式查毒技术
5.3 杀毒技术的发展
5.4 反病毒软件构成分析
5.4.1 反病毒软件的构成
5.4.2 反病毒引擎的体系构架
5.4.3 反病毒引擎的发展方向
5.5 杀毒软件案例剖析
5.5.1 杀毒软件KV300的构成
5.5.2 杀毒参数自动分析程序——ANYCOM分析
5.5.3 全自动杀毒实用程序案例——AUTOKV剖析
5.6 简单的杀毒程序实践
5.6.1 sxs.exe病毒杀毒程序
5.6.2 “熊猫烧香”病毒杀毒程序
5.6.3 1099病毒查杀程序
5.6.4 “冲击波”病毒杀毒源代码分析
5.7 技能训练——反病毒程序实验
5.7.1 编写清除SXS.exe病毒程

摘要与插图

1996年，计算机病毒的破坏能力又有了进一步提高，为了躲避反病毒软件的监视，新的变形病毒应运而生。以前那种采用特征代码串来标识计算机病毒的技术又开始失效。传人中国的是“幽灵”，随后是“猴子”等两栖（同时感染系统和文件）变形病毒，这些病毒先后在一定范围内流行，不过由于反病毒软件的及时跟进，以及国人已经习惯于综合使用各种反病毒软件，因此这些病毒都没有能掀起太大的风浪。令人担忧的是，随着互连网络的普及，计算机病毒编写者开始通过互联网络来交流编程技术和心得体会。网上也出现了专门的变形病毒引擎，利用这些引擎，任何人都可以编写出带无穷变形功能的计算机病毒。
　　1997年，在沉寂了一小段时间以后，病毒又找到了新的突破点，部分计算机用户利用了功能强大的宏语言，编制了各色各样的宏病毒。随后是各种各样的好奇者，简单地利用宏编辑器改造了自己的产品。据一些反病毒软件站点报告，全世界一个星期就有近千只新病毒出现，而其中绝大部分是宏病毒。
　　1997年下半年，一个叫做SPY的可以攻击NE（16位Windows格式可执行文件）格式程序的病毒，曾经在南方流行一时，敲响了向Windows进攻的警钟。到了1998年的年中，CIH病毒终于攻破了Windows 95平台。这个病毒创造了几个第一，即第一个流行的攻击PE格式32位保护模式程序的病毒；第一个可以破坏计算机硬件的病毒。以前的病毒只能破坏软件系统，而CIH病毒不但直接利用IOS指令摧毁硬盘数据（即使主板具有防病毒功能，也无能为力），而且通过清洗存储在Flash EPROM中的BIOS指令，导致系统主板无法工作，破坏机器。CIH病毒利用虚拟设备驱动程序（VXD）技术逃过了当时所有反病毒软件的监测，并且令目前所有宣称可以防病毒的主板大失颜面。
　　据网上的一封道歉信报道，CIH病毒是中国台湾的一名学生编写的。通过反编译发现，这个病毒系利用SIDT指令来获取系统的核心级执行权限，进而截获系统核心功能的调用。这实际上可以说是Windows 95系统（Windows 98同样有这个问题）的一个漏洞。所幸的是，Windows NT已经封锁了这一条指令，因此CIH病毒无法在Windows NT下兴风作浪。
　　……