计算机病毒与反病毒技术【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

计算机病毒与反病毒技术PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　计算机病毒概述1

1.1　计算机病毒的定义1

目录1

1.2　计算机病毒的基本特征与本质3

1.2.1　计算机病毒的基本特征3

1.2.2　计算机病毒的本质6

1.3　计算机病毒的分类7

1.3.1　分类的目的7

1.3.3　按照计算机病毒攻击的操作系统分类8

1.3.2　按照计算机病毒的破坏能力、破坏情况分类8

1.3.4　按照计算机病毒攻击的机型分类9

1.3.5　按照计算机病毒特有的算法分类10

1.3.6　按照计算机病毒的链接方式分类10

1.3.7　按照计算机病毒的传播媒介分类11

1.3.8　按照计算机病毒的寄生对象和驻留方式分类11

1.4　恶意程序、蠕虫与木马12

1.4.1　恶意程序12

1.4.2　蠕虫13

1.4.3　特洛伊木马14

1.5　计算机病毒的命名规则15

1.5.1　通用命名规则15

1.5.2　国际上对病毒命名的惯例16

1.5.3　病毒命名亟待进一步规范、统一19

1.6　计算机病毒的危害与症状20

1.6.1　计算机病毒的危害20

1.6.2　计算机病毒的症状22

1.6.3　计算机病毒症状与计算机故障区别25

1.7　计算机病毒的传播途径29

1.8　计算机病毒的生命周期30

1.9　计算机病毒的发展简史31

1.9.1　病毒的起源31

1.9.2　病毒的发展阶段35

1.9.3　计算机病毒的新特点37

1.9.4　导致计算机病毒产生的社会渊源39

1.9.5　计算机病毒存在的必然性、长期性40

1.10　计算机病毒的基本防治41

课外阅读：中国计算机病毒狂潮实录42

1.11　研究计算机病毒的基本原则42

习题46

第2章　预备知识47

2.1　硬盘结构简介47

2.1.1　硬盘的物理结构48

2.1.2　硬盘的数据结构51

2.1.3　扩展分区与扩展MBR简介55

2.2.1　文件系统简介58

2.2　文件系统58

2.2.2　FAT32 DBR60

2.2.3　保留扇区62

2.2.4　FAT16与FAT3263

2.2.5　NTFS文件系统66

2.3　计算机的启动过程69

2.3.1　系统启动过程简介69

2.3.2　DOS引导程序70

2.3.3　Windows 2000/XP启动过程简介71

2.4　中断72

2.4.1 中断简介73

2.4.2　中断优先权73

2.4.3 中断向量表73

2.4.4　中断处理过程75

2.4.5　中断与计算机病毒76

2.5 内存管理77

2.5.1 内存寻址技术的演变77

2.5.2　DOS内存布局78

2.5.3　保护模式与虚拟内存79

2.5.4　Win32内存管理82

2.6　EXE文件的格式83

2.6.1 MZ文件格式84

2.6.2　PE文件格式86

课外阅读：CIH病毒始作俑者——陈盈豪其人103

习题105

3.1.1　计算机病毒的状态106

3.1　计算机病毒的状态与基本环节106

第3章　病毒的逻辑结构与基本机制106

3.1.2　计算机病毒的基本环节108

3.2　计算机病毒的基本结构108

3.2.1 一个简单的计算机病毒108

3.2.2　计算机病毒的逻辑结构109

3.3　计算机病毒的传播机制111

3.3.1 病毒实施感染的前提条件111

3.3.2　病毒的感染对象和感染过程112

3.3.3 引导型病毒传染机理113

3.3.4　文件型病毒传染机理113

3.3.5　混合感染和交叉感染114

3.4　文件型病毒的感染方式115

3.4.1　寄生感染115

3.4.2　无入口点感染118

3.4.3 滋生感染120

3.4.4　链式感染120

3.5　计算机病毒的触发机制121

3.4.5　OBJ、LIB和源码的感染121

3.6　计算机病毒的破坏机制123

3.7　计算机病毒程序结构示例125

课外阅读：Windows自动启动程序的十大藏身之所155

习题156

第4章　DOS病毒的基本原理与DOS病毒分析157

4.1　病毒的重定位157

4.1.2　病毒如何重定位158

4.1.1　病毒为什么需要重定位158

4.2　引导型病毒159

4.2.1 引导型病毒的基本原理159

4.2.2　引导型病毒的触发与INT 13H160

4.2.3 引导型病毒样例分析162

4.2.4 引导型病毒的特点与清除167

4.3　文件型病毒168

4.3.1 文件型病毒的基本原理168

4.3.2　感染COM文件169

4.3.3　感染EXE文件177

4.4　混合型病毒的基本原理181

课外阅读：后病毒时代，黑客与病毒共舞182

习题184

第5章　Windows病毒分析185

5.1　PE病毒原理185

5.1.1　获取API函数地址186

5.1.2　搜索感染目标文件189

5.1.3 内存映射文件190

5.1.4　病毒感染PE文件的基本方法191

5.1.6　PE概念病毒感染分析193

5.1.5　病毒返回到HOST程序的方法193

5.1.7　示例病毒感染测试与手工修复212

5.1.8　CIH病毒分析215

5.2　脚本病毒219

5.2.1　WSH简介219

5.2.2　脚本病毒的特点223

5.2.3　脚本病毒原理分析224

5.2.4　网页背后的秘密234

5.2.5　脚本病毒的防范235

5.2.6　爱虫病毒分析236

5.3　宏病毒246

5.3.1　宏病毒简介247

5.3.2　宏病毒的基本原理247

5.3.3　宏病毒的防治255

5.3.4　梅丽莎病毒分析256

课外阅读：关于NTFS文件系统中的数据流问题260

习题263

6.1　蠕虫的起源及其定义264

第6章　网络蠕虫264

6.1.1　蠕虫的起源265

6.1.2　蠕虫的原始定义265

6.1.3　计算机病毒的原始定义265

6.1.4　蠕虫与病毒之间的区别及联系266

6.1.5　蠕虫定义的进一步说明266

6.2　蠕虫的分类与漏洞267

6.2.1　蠕虫的分类267

6.2.2　蠕虫与漏洞267

6.3.1　蠕虫的基本结构269

6.3　蠕虫的基本原理269

6.3.2　蠕虫的工作方式与扫描策略270

6.3.3　蠕虫的传播模型272

6.3.4　蠕虫的行为特征273

6.3.5　蠕虫技术的发展275

6.4　蠕虫的防治275

6.4.1　蠕虫的防治策略275

6.4.2　蠕虫的防治周期276

6.4.3　蠕虫的检测与清除277

6.5　“冲击波清除者”分析279

6.5.1　“冲击波清除者”概述279

6.5.2　“冲击波清除者”主代码分析280

课外阅读：缓冲区溢出与病毒攻击原理286

习题289

第7章　特洛伊木马290

7.1　特洛伊木马概述290

7.1.1　特洛伊木马的定义290

7.1.3　特洛伊木马的基本原理291

7.1.2　特洛伊木马的结构291

7.1.4　特洛伊木马的传播方式295

7.1.5　特洛伊木马的危害295

7.2　特洛伊木马的特性与分类296

7.2.1　特洛伊木马的特性296

7.2.2　特洛伊木马的分类298

7.3　特洛伊木马的伪装、隐藏与启动300

7.3.1　木马的伪装方式300

7.3.2　木马的隐藏方式301

7.3.3　木马的启动方式302

7.4　透视木马开发技术304

7.4.1　特洛伊木马技术的发展304

7.4.2　木马程序的自动启动技术305

7.4.3 木马的伪隐藏技术305

7.4.4　木马的真隐藏技术307

7.4.5　木马的秘密信道技术314

7.4.6　木马的远程监控技术317

7.5.1 中木马后常出现的状况320

7.5　检测和清除特洛伊木马320

7.5.2　检测和清除木马的方法321

7.5.3　木马“广外女生”的分析和清除323

课外阅读：CIH病毒原理的应用——物理内存的读写324

习题327

第8章　计算机病毒常用技术综述328

8.1　计算机病毒的隐藏技术329

8.1.1 引导型病毒的隐藏技术329

8.1.2　文件型病毒的隐藏技术330

8.1.4　Windows病毒的隐藏技术331

8.1.3　宏病毒的隐藏技术331

8.2　病毒的加密与多态技术332

8.2.1 加密解密技术与病毒的多态性332

8.2.2　使用改变可执行代码技术的多态病毒334

8.2.3　多态性的级别335

8.2.4　多态病毒的原理335

8.2.5　多态病毒的对抗341

8.3　EPO技术简介341

8.4.1　核心态与用户态342

8.4　病毒进入系统核心态的方法342

8.4.2　病毒进入系统核心态的方法343

8.5　病毒驻留内存技术345

8.5.1　DOS环境下文件型病毒的内存驻留345

8.5.2　引导区病毒的内存驻留346

8.5.3　Windows环境下病毒的内存驻留347

8.5.4　宏病毒的内存驻留方法348

8.6　计算机病毒截获系统操作的方法348

8.6.1　DOS病毒截获系统服务的方法348

8.6.2　Windows病毒截获系统服务的方法348

8.7　计算机病毒直接API调用与异常处理技术350

8.7.1 直接API调用技术350

8.7.2　异常处理351

8.8　计算机病毒的反调试、反跟踪、反分析技术354

8.8.1 防调试器技术354

8.8.2　反静态分析技术——花指令355

8.8.3　其他技术358

课外阅读：32位代码优化常识359

习题367

第9章　计算机病毒的检测、清除与免疫368

9.1　反病毒技术综述368

9.1.1 反病毒技术的产生与发展简介368

9.1.2　计算机病毒防治技术的划分370

9.2　计算机病毒的防范策略371

9.2.1　计算机病毒防范的概念371

9.2.2　必须具有的安全意识371

9.2.3　预防计算机病毒的一般措施372

9.3　计算机病毒的诊断方法及其原理374

9.3.1　病毒检测方法综述374

9.3.2 比较法诊断的原理375

9.3.3　校验和法诊断的原理375

9.3.4　扫描法诊断的原理376

9.3.5　行为监测法诊断的原理377

9.3.6　感染实验法诊断的原理378

9.3.7　软件模拟法诊断的原理379

9.4.1 启发式代码扫描的基本原理380

9.3.8　分析法诊断的原理380

9.4　启发式代码扫描技术380

9.4.2　可疑程序功能及其权值与相应标志381

9.4.3 关于虚警382

9.4.4　传统扫描技术与启发式扫描技术的结合384

9.4.5 启发式检测技术与反病毒技术发展趋势385

9.5　虚拟机查毒技术385

9.5.1　虚拟机简介385

9.5.2　查毒虚拟机的基本原理386

9.5.3 单步断点跟踪与虚拟执行387

9.5.4　虚拟机的设计方案388

9.5.5　反虚拟机技术389

9.6　病毒实时监控技术390

9.6.1 实时监控技术简介390

9.6.2　病毒实时监控的基本原理及其设计难点391

9.7　计算机病毒的清除393

9.7.1　清除病毒的一般方法393

9.7.3 文件型病毒的清除394

9.7.2　引导型病毒的清除394

9.8　计算机病毒的免疫技术396

9.8.1 重入检测和病毒免疫396

9.8.2　计算机病毒免疫的方法及其缺点396

9.8.3　数字免疫系统简介397

课外阅读：VxD技术及其在实时反病毒中的应用399

习题402

10.1 Linux系统启动过程403

第10章　UNIX/Linux病毒与手机病毒简介403

10.2　ELF文件格式404

10.2.1 目标文件405

10.2.2　ELF头406

10.2.3 节408

10.2.4　字符串表413

10.2.5 符号表414

10.2.6　重定位415

10.2.7　程序载入和动态链接概述418

10.3.1 有关UNIX病毒的几个误区423

10.3　UNIX病毒概述423

10.3.2　Shell脚本与病毒424

10.3.3　蠕虫424

10.3.4　欺骗库函数425

10.3.5　UNIX/Linux的安全现状426

10.4　基于ELF的计算机病毒427

10.4.1　病毒机理427

10.4.2　一个Linux病毒原型分析429

10.5.1　手机病毒原理433

10.5　手机病毒简介433

10.5.2　手机病毒的攻击方式及危害434

10.5.3　手机漏洞分析434

10.5.4　手机病毒的发展趋势436

10.5.5　手机病毒的防范436

习题437

附录A 中华人民共和国计算机信息系统安全保护条例438

附录B　计算机病毒防治管理办法441

附录C　DOS功能调用一览表444

参考文献450