《惡意代碼與計算機病毒原理、技術和實踐》詳細介紹了惡意代碼(含傳統(tǒng)計算機病毒)的基本原理和主要防治技術,深入分析和探討了惡意代碼的產(chǎn)生機理、寄生特點、傳播方式、危害表現(xiàn)以及防范和對抗等方面的技術。本書主要內(nèi)容包括惡意代碼概述、惡意代碼模型及機理、傳統(tǒng)計算機病毒、宏病毒、特洛伊木馬、linux惡意代碼技術、蠕蟲、移動智能終端惡意代碼、其他惡意代碼、惡意代碼防范技術、常用殺毒軟件及其解決方案、惡意代碼防治策略。
《惡意代碼與計算機病毒原理、技術和實踐》通俗易懂,注重理論與實踐相結(jié)合,所設計的教學實驗覆蓋了所有類型的惡意代碼,使讀者能夠舉一反三。為了便于教學,教材附帶教學課件、實驗用源代碼以及輔助應用程序版本說明等內(nèi)容,下載地址為www.tup.com.cn。下載并解壓縮后,就可按照教材設計的實驗步驟使用。
《惡意代碼與計算機病毒原理、技術和實踐》可作為高等院校信息安全專業(yè)和計算機相關專業(yè)的教材,也可作為廣大系統(tǒng)管理員、計算機安全技術人員的參考書。
惡意代碼作為信息安全領域的重要一環(huán),近年來在軍事戰(zhàn)爭、社會穩(wěn)定方面發(fā)揮了雙刃劍的作用,引起了社會各界的廣泛重視。
傳統(tǒng)的計算機病毒是一個非常狹義的定義,它僅僅概括了感染文件(可執(zhí)行文件及數(shù)據(jù)文件)和引導區(qū)的惡意代碼,無法描述各種新興惡意代碼的特征和內(nèi)涵。鑒于此,本書采用“惡意代碼”這個概念來概括書中內(nèi)容。
本書的主要內(nèi)容來源于作者所在大學本科計算機病毒和惡意代碼7年教學經(jīng)驗、5年研發(fā)基礎,以及前期編寫的3本教材。本書的前身《計算機病毒及其防范技術》、《計算機病毒及其防范技術(第2版)》和《惡意代碼防范》被多所高校作為教材,得到了大家的認可。同時,這些教材也獲得了“上海交通大學優(yōu)秀教材特等獎”、“上海市高等教育教材一等獎”。
本書重點分析惡意代碼的運行機制,并通過實驗的方式講解常見惡意代碼。在分析惡意代碼技術的基礎上,重點分析惡意代碼的檢測和清除技術。此外,還對預防惡意代碼的策略和防治方案進行了探討。全書共分12章,具體內(nèi)容如下。
第1章惡意代碼概述,主要介紹惡意代碼的基本概念,并在此基礎上講述惡意代碼的關鍵歷史轉(zhuǎn)折點、技術分類、傳播途徑、感染癥狀、命名規(guī)則及未來發(fā)展趨勢等相關問題。
第2章惡意代碼模型及機理,主要介紹惡意代碼的理論模型,如基于圖靈機、遞歸函數(shù)和傳染病的數(shù)學模型,惡意代碼的預防理論模型,傳統(tǒng)計算機病毒的結(jié)構(gòu)及工作機制等。
第3章傳統(tǒng)計算機病毒,主要介紹在DOS、Windows 9x、Windows 2000平臺下傳統(tǒng)病毒的工作機制和編制技術,并以3種平臺下的可執(zhí)行文件結(jié)構(gòu)為線索,在分析這些文件結(jié)構(gòu)的基礎上,引入不同平臺的病毒編制技術。為了保證教材的系統(tǒng)性,本章還簡要介紹了引導型病毒。
第4章宏病毒,以Microsoft Word宏病毒為主線介紹宏病毒的基本概念、作用機制、宏病毒實驗和防范方法等內(nèi)容。
第5章特洛伊木馬,為了使讀者充分了解特洛伊木馬,本章詳細分析了木馬的技術特征、木馬入侵的一些常用技術以及木馬入侵的防范和清除方法。此外,還對幾款常見木馬程序的防范經(jīng)驗做了較為詳細的說明。
第6章 Linux惡意代碼技術,在了解Linux安全問題的基礎上,探討了Linux惡意代碼的概念,分析了Linux可執(zhí)行文件格式(ELF)的運行機理。本章還精心設計了兩個實驗,以直觀的方式分別講解了Linux操作系統(tǒng)的惡意腳本和感染ELF格式文件的病毒原理。
第7章蠕蟲,主要介紹近年來破壞力非常大的蠕蟲(Worm)的基本特征、技術特征和工作機理,并且詳細介紹了基于RPC漏洞和U盤傳播的蠕蟲技術。
第8章移動智能終端惡意代碼,以手機惡意代碼為主線,介紹移動終端惡意代碼的概念、技術進展和防范工具,使讀者了解未來移動終端設備上的威脅。特別是詳細介紹了Android下開發(fā)惡意行為程序的技術。
第9章其他惡意代碼,對近年來新興的流氓軟件、Outlook漏洞惡意代碼、Webpage惡意代碼、僵尸網(wǎng)絡和Rootkit惡意代碼做了介紹,并對其中典型惡意代碼的編制技術做了詳細講解。
第10章惡意代碼防范技術以檢測、清除、預防、免疫、防范策略、備份及恢復6個層次為主要思路,介紹惡意代碼的診斷原理和方法、清除原理和方法、主動和被動防治技術以及數(shù)據(jù)備份和數(shù)據(jù)恢復等。
第11章常用殺毒軟件及其解決方案,通過介紹企業(yè)網(wǎng)絡的典型結(jié)構(gòu)、典型應用和網(wǎng)絡時代的病毒特征,得出企業(yè)網(wǎng)絡防惡意代碼體系對技術和工具的需求,從而給出一些典型惡意代碼防治體系解決方案。
第12章惡意代碼防治策略,通過討論防御性策略得到的不同建議,來避免計算機受到惡意代碼的影響。本章側(cè)重于全局策略和規(guī)章,并且針對企業(yè)用戶所講述的內(nèi)容比針對單機用戶的要多一些。本章還就如何制訂一個防御計劃、如何挑選一個快速反應小組、如何控制住惡意代碼的發(fā)作,以及安全工具的選擇等問題提出了一些建議。
在本書完稿之際,作者對上海交通大學教材出版基金的資助表示衷心感謝; 感謝教學7年來聽過作者計算機病毒原理和惡意代碼防范課程的所有學生,他們?yōu)樽髡叩闹v義提出了很多寶貴意見; 感謝各類參考資料的提供者,這些資料既充實了作者的教材,也豐富了作者的知識; 感謝清華大學出版社的各位編輯,他們耐心地加工我的書稿; 感謝我的妻子和孩子,該書稿的完成離不開家人的默默支持。
為便于教學,本教材提供教學課件和實驗用源代碼,可通過http://www.tup.com.cn下載。作者在教學資源網(wǎng)站(http://scholar.eastday.com)上提供最新資源索引,敬請參考。
由于水平有限,書中難免有疏漏之處,懇請讀者批評指正,以使本書得以進一步改進和完善。
作者2013年8月于上海交通大學思源湖畔
目錄
《惡意代碼與計算機病毒原理、技術和實踐》
第1章惡意代碼概述
1.1惡意代碼的產(chǎn)生
1.2惡意代碼的概念
1.3惡意代碼的發(fā)展歷史
1.4惡意代碼的種類
1.5惡意代碼的傳播途徑
1.6感染惡意代碼的癥狀
1.6.1惡意代碼的表現(xiàn)現(xiàn)象
1.6.2與惡意代碼現(xiàn)象類似的硬件故障
1.6.3與惡意代碼現(xiàn)象類似的軟件故障
1.7惡意代碼的命名規(guī)則
1.8惡意代碼的最新發(fā)展趨勢
1.9習題
目錄
《惡意代碼與計算機病毒原理、技術和實踐》
第1章惡意代碼概述
1.1惡意代碼的產(chǎn)生
1.2惡意代碼的概念
1.3惡意代碼的發(fā)展歷史
1.4惡意代碼的種類
1.5惡意代碼的傳播途徑
1.6感染惡意代碼的癥狀
1.6.1惡意代碼的表現(xiàn)現(xiàn)象
1.6.2與惡意代碼現(xiàn)象類似的硬件故障
1.6.3與惡意代碼現(xiàn)象類似的軟件故障
1.7惡意代碼的命名規(guī)則
1.8惡意代碼的最新發(fā)展趨勢
1.9習題
第2章惡意代碼模型及機理
2.1基本定義
2.2基于圖靈機的傳統(tǒng)計算機病毒模型
2.2.1隨機訪問計算機模型
2.2.2隨機訪問存儲程序模型
2.2.3圖靈機模型
.2.2.4帶后臺存儲的raspm模型
2.2.5操作系統(tǒng)模型
2.2.6基于raspm_abs的病毒
2.3基于遞歸函數(shù)的計算機病毒的數(shù)學模型
2.3.1adlemen病毒模型
2.3.2adlemen病毒模型的分析
2.4internet蠕蟲傳播模型
2.4.1sis模型和si模型
2.4.2sir模型
2.4.3網(wǎng)絡模型中蠕蟲傳播的方式
2.5惡意代碼預防理論模型
2.6傳統(tǒng)計算機病毒的結(jié)構(gòu)和工作機制
2.6.1引導模塊
2.6.2感染模塊
2.6.3破壞模塊
2.6.4觸發(fā)模塊
2.7習題
第3章傳統(tǒng)計算機病毒
3.1引導型病毒編制技術
3.1.1引導型病毒編制原理
3.1.2引導型病毒實驗
3.216位可執(zhí)行文件病毒編制技術
3.2.116位可執(zhí)行文件結(jié)構(gòu)及運行原理
3.2.2com文件病毒原理
3.2.3com文件病毒實驗
3.332位可執(zhí)行文件病毒編制技術
3.3.1pe文件結(jié)構(gòu)及其運行原理
3.3.2pe文件型病毒關鍵技術
3.3.3從ring3到ring0的簡述
3.3.4pe文件格式實驗
3.4綜合實驗一: 32位文件型病毒實驗
3.5習題
第4章宏病毒
4.1宏病毒概述
4.1.1宏病毒的運行環(huán)境
4.1.2宏病毒的特點
4.1.3經(jīng)典宏病毒
4.1.4宏病毒的共性
4.2宏病毒的作用機制
4.2.1word中的宏
4.2.2word宏語言
4.2.3宏病毒關鍵技術
4.2.4宏復制實驗
4.3word宏病毒查殺
4.3.1人工發(fā)現(xiàn)宏病毒的方法
4.3.2手工清除宏病毒的方法
4.3.3宏病毒查殺方法
4.3.4宏病毒清除工具
4.4預防宏病毒
4.5綜合實驗二: 類taiwan no.1病毒實驗
4.6習題
第5章特洛伊木馬
5.1基本概念
5.1.1木馬的定義
5.1.2木馬的分類
5.1.3遠程控制、木馬與病毒
5.1.4木馬的工作流程
5.1.5木馬的技術發(fā)展
5.2簡單木馬程序?qū)嶒?
5.2.1自動隱藏
5.2.2自動加載
5.2.3實現(xiàn)server端功能
5.2.4實現(xiàn)client端功能
5.2.5實施階段
5.3木馬程序的關鍵技術
5.3.1植入技術
5.3.2自啟動技術
5.3.3隱藏技術
5.3.4遠程線程插入實驗
5.3.5其他技術
5.4木馬防范技術
5.4.1防治特洛伊木馬基本知識
5.4.2幾種常見木馬病毒的殺除方法
5.4.3已知木馬病毒的端口列表
5.5綜合實驗
5.5.1綜合實驗三: 網(wǎng)站掛馬實驗
5.5.2綜合實驗四: bo2k木馬實驗
5.5.2綜合實驗五: 木馬病毒清除實驗
5.6習題
第6章linux惡意代碼技術
6.1linux系統(tǒng)的公共誤區(qū)
6.2linux系統(tǒng)病毒分類
6.3shell惡意腳本
6.3.1shell惡意腳本編制技術
6.3.2shell惡意腳本實驗
6.4elf文件格式
6.5elf格式文件感染原理
6.5.1無關elf格式的感染方法
6.5.2利用elf格式的感染方法
6.5.3高級感染技術
6.6linux elf病毒實例
6.6.1病毒技術匯總
6.6.2原型病毒實現(xiàn)
6.7綜合實驗六: linux elf病毒實驗
6.8習題
第7章蠕蟲
7.1蠕蟲的基本概念
7.1.1蠕蟲的分類
7.1.2蠕蟲和其他惡意代碼的關系
7.1.3蠕蟲的危害
7.1.4“震網(wǎng)”蠕蟲
7.2蠕蟲的特征
7.3蠕蟲病毒的機理
7.4基于rpc漏洞蠕蟲
7.4.1rpc漏洞
7.4.2沖擊波病毒
7.4.3沖擊波的shellcode分析
7.4.4沖擊波實驗
7.5綜合實驗七: 基于u盤傳播的蠕蟲實驗
7.6習題
第8章移動智能終端惡意代碼
8.1移動終端惡意代碼概述
8.2智能手機操作系統(tǒng)及其弱點
8.2.1常見的手機操作系統(tǒng)
8.2.2手機操作系統(tǒng)的弱點
8.3移動終端惡意代碼關鍵技術
8.3.1移動終端惡意代碼傳播途徑
8.3.2移動終端惡意代碼攻擊方式
8.3.3移動終端惡意代碼生存環(huán)境
8.3.4移動終端設備的漏洞
8.4android惡意功能開發(fā)實驗
8.4.1android 短信攔截
8.4.2android電話監(jiān)聽
8.5移動終端惡意代碼實例
8.6移動終端惡意代碼的防范
8.7移動終端安全防護工具
8.7.1國外移動終端安全防護工具
8.7.2國內(nèi)移動終端安全防護工具
8.8綜合實驗八: android手機木馬實驗
8.9習題
第9章其他惡意代碼
9.1流氓軟件
9.1.1流氓軟件定義
9.1.2應對流氓軟件的政策
9.1.3流氓軟件的主要特征
9.1.4流氓軟件的發(fā)展過程
9.1.5流氓軟件的分類
9.2利用outlook漏洞的惡意代碼
9.2.1郵件型惡意代碼的傳播方式
9.2.2郵件型惡意代碼的傳播原理
9.2.3郵件型惡意代碼的預防
9.3webpage中的惡意代碼
9.3.1腳本病毒基本類型
9.3.2web惡意代碼的工作機理
9.3.3web惡意代碼實驗
9.4僵尸網(wǎng)絡
9.5rootkit惡意代碼
9.6綜合實驗九: 郵件型惡意代碼實驗
9.7習題
第10章惡意代碼防范技術
10.1惡意代碼防范技術的發(fā)展
10.2中國惡意代碼防范技術的發(fā)展
10.3惡意代碼防范思路
10.4惡意代碼的檢測
10.4.1惡意代碼的檢測原理
10.4.2惡意代碼的檢測方法
10.4.3自動檢測程序核心部件
10.4.4惡意代碼查找實驗
10.5惡意代碼的清除
10.5.1惡意代碼清除的原理
10.5.2惡意代碼的清除方法
10.6惡意代碼的預防
10.6.1系統(tǒng)監(jiān)控技術
10.6.2源監(jiān)控技術
10.6.3個人防火墻技術
10.6.4系統(tǒng)加固技術
10.7惡意代碼的免疫
10.7.1惡意代碼免疫的原理
10.7.2免疫的方法及其特點
10.7.3數(shù)字免疫系統(tǒng)
10.8數(shù)據(jù)備份與數(shù)據(jù)恢復的意義
10.8.1數(shù)據(jù)備份
10.8.2數(shù)據(jù)恢復
10.8.3數(shù)據(jù)恢復工具
10.9綜合實驗十: 惡意代碼檢測實驗(oav)
10.10習題
第11章常用殺毒軟件及其解決方案
11.1惡意代碼防范產(chǎn)業(yè)發(fā)展
11.2國內(nèi)外反病毒軟件評測機構(gòu)
11.2.1wildlist
11.2.2avtest
11.2.3virus bulletin
11.2.4avcomparatives
11.2.5icsa
11.2.6westcoastlabs
11.2.7中國的反病毒軟件評測機構(gòu)
11.3國內(nèi)外著名殺毒軟件比較
11.3.1殺毒軟件必備功能
11.3.2流行殺毒產(chǎn)品比較
11.3.3惡意代碼防范產(chǎn)品的地緣性
11.4企業(yè)級惡意代碼防治方案
11.4.1企業(yè)惡意代碼防范需求
11.4.2企業(yè)網(wǎng)絡的典型結(jié)構(gòu)
11.4.3企業(yè)網(wǎng)絡的典型應用
11.4.4惡意代碼在網(wǎng)絡上傳播的過程
11.4.5企業(yè)網(wǎng)絡惡意代碼防范方案
11.5習題
第12章惡意代碼防治策略
12.1惡意代碼防治策略的基本準則
12.2國家層面上的防治策略
12.3單機用戶防治策略
12.3.1一般技術措施
12.3.2個人用戶上網(wǎng)基本策略
12.4如何建立安全的單機系統(tǒng)
12.4.1打牢基礎
12.4.2選好工具
12.4.3注意方法
12.4.4應急措施
12.4.5自我提高
12.5企業(yè)用戶防治策略
12.5.1如何建立防御計劃
12.5.2執(zhí)行計劃
12.5.3惡意代碼掃描引擎相關問題
12.5.4額外的防御工具
12.6未來的防范措施
12.7惡意代碼犯罪相關法律法規(guī)基礎
12.7.1中華人民共和國刑法
12.7.2中華人民共和國治安管理處罰法
12.7.3計算機病毒防治管理辦法(公安部51號令)
12.7.4全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定
12.7.5中華人民共和國計算機信息系統(tǒng)安全保護條例(國務院第147號令)
12.7.6中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法
12.7.7計算機信息網(wǎng)絡國聯(lián)網(wǎng)安全保護管理辦法(公安部第33號令)
12.7.8互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所管理條例(國務院第363號令)
12.8習題
附錄a惡意代碼相關網(wǎng)上資源
附錄b相關法律法規(guī)
參考文獻
新書資訊