本書的主要內容來源於作者大學本科計算機病毒和惡意代碼12年教學經驗，8年惡意代碼及其防範研究基礎，以及前期編寫的4本教材。本書的前身《計算機病毒及其防範技術》、《計算機病毒及其防範技術（第2版）》、《惡意代碼防範》和《惡意代碼與計算機病毒——原理、技術和實踐》被多所高校作為教材，得到了大家的支持和認可。同時，這些教材也分別兩次獲得了“上海交通大學優秀教材特等獎”、“上海市高等教育教材一等獎”。

●第1章惡意代碼概述1.1為什麼提出惡意代碼的概念1.2惡意代碼的概念1.3惡意代碼的發展歷史1.3.1概念階段1.3.2朦矓階段1.3.3第一款真實惡意代碼1.3.4PC病毒1.3.5蠕蟲插曲1.3.6走向戰爭1.3.7對抗殺毒軟件1.3.8寫病毒不再困難1.3.9破壞硬件的病毒1.3.10網絡時代： 蠕蟲1.3.11網絡時代： 木馬1.3.12網絡時代： 工業互聯網惡意代碼1.3.13網絡時代： 物聯網惡意代碼1.3.14網絡時代： 勒索型惡意代碼1.4惡意代碼的種類1.5惡意代碼的傳播途徑1.6感染惡意代碼的癥狀1.6.1惡意代碼的表現現像1.6.2與惡意代碼現像類似的硬件故障1.6.3與惡意代碼現像類似的軟件故障1.7惡意代碼的命名規則1.8惡意代碼的近期新趨勢1.9習題第2章惡意代碼模型及機制2.1基本定義2.2基於圖靈機的傳統計算機病毒模型2.2.1隨機訪問計算機模型2.2.2隨機訪問存儲程序模型2.2.3圖靈機模型2.2.4帶後臺存儲的RASPM模型2.2.5操作繫統模型2.2.6基於RASPM_ABS的病毒2.3基於遞歸函數的計算機病毒的數學模型2.3.1Adlemen病毒模型2.3.2Adlemen病毒模型的分析2.4Internet蠕蟲傳播模型2.4.1SIS模型和SI模型2.4.2SIR模型2.4.3網絡模型中蠕蟲傳播的方式2.5惡意代碼預防理論模型2.6傳統計算機病毒的結構和工作機制2.6.1引導模塊2.6.2感染模塊2.6.3破壞模塊2.6.4觸發模塊2.7習題第3章傳統計算機病毒3.1引導型病毒編制技術3.1.1引導型病毒編制原理3.1.2引導型病毒實驗3.216位可執行文件病毒編制技術3.2.116位可執行文件結構及運行原理3.2.2COM文件病毒原理3.2.3COM文件病毒實驗3.332位可執行文件病毒編制技術3.3.1PE文件結構及其運行原理3.3.2PE文件型病毒關鍵技術3.3.3從Ring3到Ring0的簡述3.3.4PE文件格式實驗3.4宏病毒3.4.1宏病毒的運行環境3.4.2宏病毒的特點3.4.3經典宏病毒3.4.4Word宏病毒的工作機制3.5綜合實驗綜合實驗一： 32位文件型病毒實驗綜合實驗二： 類TaiWan No.1病毒實驗3.6習題第4章Linux惡意代碼技術4.1Linux繫統的公共誤區4.2Linux繫統惡意代碼的分類4.3Shell惡意腳本4.3.1Shell惡意腳本編制技術4.3.2Shell惡意腳本實驗4.4ELF文件格式4.5ELF格式文件感染原理4.5.1無關ELF格式的感染方法4.5.2利用ELF格式的感染方法4.5.3高級感染技術4.6Linux ELF病毒實例4.6.1病毒技術彙總4.6.2原型病毒實現4.7綜合實驗綜合實驗三： Linux ELF病毒實驗4.8習題第5章特洛伊木馬5.1基本概念5.1.1木馬概述5.1.2木馬的分類5.1.3遠程控制、木馬與病毒5.1.4木馬的工作流程5.1.5木馬的技術發展5.2簡單木馬程序實驗5.2.1自動隱藏5.2.2自動加載5.2.3實現Server端功能5.2.4實現Client端功能5.2.5實施階段5.3木馬程序的關鍵技術5.3.1植入技術5.3.2自啟動技術5.3.3隱藏技術5.3.4遠程線程插入實驗5.3.5其他技術5.4木馬防範技術5.4.1防治特洛伊木馬基本知識5.4.2幾種常見木馬病毒的殺除方法5.4.3已知木馬病毒的端口列表5.5綜合實驗綜合實驗四： 網站掛馬實驗綜合實驗五： BO2K木馬實驗綜合實驗六： 木馬病毒清除實驗5.6習題第6章移動智能終端惡意代碼6.1移動終端惡意代碼概述6.2智能手機操作繫統及其弱點6.2.1智能手機操作繫統6.2.2手機操作繫統的弱點6.3移動終端惡意代碼關鍵技術6.3.1移動終端惡意代碼傳播途徑6.3.2移動終端惡意代碼攻擊方式6.3.3移動終端惡意代碼的生存環境6.3.4移動終端設備的漏洞6.4Android惡意功能開發實驗6.4.1Android6.4.2Android 6.5移動終端惡意代碼實例6.6移動終端惡意代碼的防範6.7移動終端安全防護工具6.7.1國外移動終端安全防護工具6.7.2國內移動終端安全防護工具6.8綜合實驗綜合實驗七： Android手機木馬實驗6.9習題第7章蠕蟲7.1蠕蟲的基本概念7.1.1蠕蟲的分類7.1.2蠕蟲和其他惡意代碼的關繫7.1.3蠕蟲的危害7.1.4“震網”蠕蟲7.2蠕蟲的特征7.3蠕蟲病毒的機制7.4基於RPC漏洞的蠕蟲7.4.1RPC漏洞7.4.2衝擊波病毒7.4.3衝擊波的shellcode分析7.4.4衝擊波實驗7.5綜合實驗綜合實驗八： 基於U盤傳播的蠕蟲實驗7.6習題第8章勒索型惡意代碼8.1勒索型惡意代碼概述8.1.1全球勒索型惡意代碼8.1.2勒索型惡意代碼的攻擊階段8.1.3勒索型惡意代碼的特性8.1.4勒索型惡意代碼出現的原因8.2勒索型惡意代碼的歷史與現狀8.2.1勒索型惡意代碼的歷史8.2.2技術發展趨勢8.2.3近期新勒索型惡意代碼實例8.2.4勒索型惡意代碼加密算法8.3WannaCry惡意代碼分析8.3.1基本模塊8.3.2詳細過程8.4HiddenTear源代碼分析8.4.1HiddenTear的代碼特征8.4.2HiddenTear關鍵代碼分析8.4.3HiddenTear加密的漏洞8.5防範與應對策略8.5.1增強安全意識8.5.2備份重要文件8.5.3網絡流量的檢測8.5.4網絡隔離措施8.5.5更新軟件和安裝補丁8.6綜合實驗綜合實驗九： 勒索型惡意代碼實驗8.7總結8.8習題第9章其他惡意代碼9.1流氓軟件9.1.1流氓軟件的定義9.1.2應對流氓軟件的政策9.1.3流氓軟件的主要特征9.1.4流氓軟件的發展過程9.1.5流氓軟件的分類9.2利用Outlook漏洞的惡意代碼9.2.1郵件型惡意代碼的傳播方式9.2.2郵件型惡意代碼的傳播原理9.2.3郵件型惡意代碼的預防9.3WebPage中的惡意代碼9.3.1腳本病毒的基本類型9.3.2Web惡意代碼的工作機制9.3.3Web惡意代碼實驗9.4僵尸網絡9.5Rootkit惡意代碼9.6高級持續性威脅9.6.1APT的攻擊過程9.6.2APT的特征9.6.3典型的APT案例9.6.4APT的防範9.7綜合實驗綜合實驗十： 郵件型惡意代碼實驗9.8習題第10章惡意代碼防範技術10.1惡意代碼防範技術的發展10.2中國惡意代碼防範技術的發展10.3惡意代碼防範思路10.4惡意代碼的檢測10.4.1惡意代碼的檢測技術10.4.2惡意代碼的檢測方法10.4.3自動檢測程序核心部件10.4.4惡意代碼查找實驗10.5惡意代碼的清除10.5.1惡意代碼清除的原理10.5.2惡意代碼的清除方法10.6惡意代碼的預防10.6.1繫統監控技術10.6.2個人防火牆技術10.6.3繫統加固技術10.7惡意代碼的免疫10.7.1傳統惡意代碼免疫方法10.7.2人工免疫繫統10.8數據備份與數據恢復的意義10.8.1數據備份10.8.2數據恢復10.8.3數據恢復工具10.9綜合實驗綜合實驗十一： 惡意代碼檢測實驗(OAV)10.10習題第11章常用殺毒軟件及其解決方案11.1惡意代碼防範產業發展11.2國內外反病毒軟件評測機構11.2.1WildList11.2.2AMTSO11.2.3AVTest11.2.4Virus Bulletin11.2.5AVComparatives11.2.6ICSA實驗室11.2.7中國反病毒軟件評測機構11.3國內外有名殺毒軟件比較11.3.1殺毒軟件推薦功能11.3.2流行殺毒產品比較11.3.3惡意代碼防範產品的地緣性11.4企業級惡意代碼防治方案11.4.1企業惡意代碼防範需求11.4.2企業網絡的典型結構11.4.3企業網絡的典型應用11.4.4惡意代碼在網絡上傳播的過程11.4.5企業網絡惡意代碼防範方案11.5習題第12章惡意代碼防治策略12.1惡意代碼防治策略的基本準則12.2國家層面上的防治策略12.3單機用戶防治策略12.3.1一般技術措施12.3.2個人用戶上網基本策略12.4如何建立安全的單機繫統12.4.1打牢基礎12.4.2選好工具12.4.3注意方法12.4.4應急措施12.4.5自我提高12.5企業用戶防治策略12.5.1如何建立防御計劃12.5.2執行計劃12.5.3惡意代碼掃描引擎相關問題12.5.4額外的防御工具12.6未來的防範措施12.7惡意代碼犯罪相關法律法規基礎12.8習題附錄A計算機病毒相關網上資源附錄B相關法律法規參考文獻

本書詳細介紹惡意代碼（含傳統計算機病毒）的基本原理和主要防治技術，深入分析和探討惡意代碼的產生機制、寄生特點、傳播方式、危害表現以及防範和對抗等方面的技術，主要內容包括惡意代碼的基本含義、惡意代碼的理論模型、惡意代碼的結構和技術特征分析、特洛伊木馬、勒索軟件、Linux繫統下的惡意代碼、蠕蟲、移動終端惡意代碼、惡意代碼的查殺方法和防治技術，以及常用殺毒軟件及其解決方案和惡意代碼的防治策略等。本書通俗易懂，注重理論與實踐相結合，所設計的教學實驗覆蓋了所有類型的惡意代碼，使讀者能夠舉一反三。為了便於教學，本書附帶教學課件、實驗用源代碼以及輔助應用程序版本說明等內容，下載地址為www.tupwk.com.cn/downpage，下載並解壓縮後，就可按照教材設計的實驗步驟使用。本書可作為高等院校信息安全專業和計算機相關專業的教材，也可供廣大繫統管理員、計算機安全技術人員參考。

劉功申 孟魁 王軼駿 姜開達 李生紅 著

    第5章特洛伊木馬視頻講解古希臘士兵藏在高大的木馬中潛入特洛伊城，采用裡應外合的戰術一舉占領了特洛伊城。現在所講的特洛伊木馬侵入遠程主機的方式在戰術上與古希臘士兵的攻城方式相同。通過這樣的解釋相信大多數讀者對木馬入侵主機的方式有所領悟： 它就是通過某些手段潛入對方的計算機繫統，並以種種隱蔽方式藏匿在繫統中； 繫統啟動時，木馬自動在後臺隱蔽運行； 最終，這種程序以“裡應外合”的工作方式，達到控制對方計算機、竊取關鍵信息等目的。特洛伊木馬和傳統病毒的優選區別是表現欲望不強，通常隻采取竊取的手段獲取信息，因此，受害者很難發現特洛伊木馬的蹤跡。即使在反病毒軟件日益強大的今天，特洛伊木馬仍是非常大的安全隱患。絕大多數人不知道木馬為何物，會給他們帶來多大的危害，所以他們迄今仍不停地從不可信的站點下載可能捆綁了木馬的文件。本章等

由於傳統的計算機病毒是一個非常狹義的定義，它僅僅概括了感染文件（可執行文件及數據文件）和引導區的惡意代碼，無法描述各種新興惡意代碼的特征和內涵。鋻於此，本書采用“惡意代碼”這個概念來概括書中內容。惡意代碼作為信息安全領域的重要一環，近年來在組織對抗、國家博弈、社會穩定方面發揮了雙刃劍的作用，引起了社會各界的廣泛重視。本書的主要內容來源於作者在計算機病毒和惡意代碼領域的12年教學經驗、8年惡意代碼及其防範研究基礎以及前期編寫的4種教材。本書的前身《計算機病毒及其防範技術》《計算機病毒及其防範技術（第2版）》《惡意代碼防範》和《惡意代碼與計算機病毒——原理、技術和實踐》被多所高校作為教材，得到了大家的支持和認可。同時，這些教材也分別獲得了“上海交通大學優秀教材特等獎”“上海市高等教育教材一等獎”。書中重點分析惡意代碼的運行機制，並通過實驗的方式講解常見惡意代碼。在分析惡意代碼技術的等