了得網研究生_計算機病毒與惡意代碼——原理、技術及防範（第4版）

產品特色

編輯推薦

本書的主要內容來源於作者大學本科計算機病毒和惡意代碼12年教學經驗，8年惡意代碼及其防範研究基礎，以及前期編寫的4本教材。本書的前身《計算機病毒及其防範技術》、《計算機病毒及其防範技術（第2版）》、《惡意代碼防範》和《惡意代碼與計算機病毒——原理、技術和實踐》被多所高校作為教材，得到了大家的支持和認可。同時，這些教材也分別兩次獲得了“上海交通大學優秀教材特等獎”、“上海市高等教育教材一等獎”。

內容簡介

本書詳細介紹惡意代碼（含傳統計算機病毒）的基本原理和主要防治技術，深入分析和探討惡意代碼的產生機制、寄生特點、傳播方式、危害表現以及防範和對抗等方面的技術，主要內容包括惡意代碼的基本含義、惡意代碼的理論模型、惡意代碼的結構和技術特征分析、特洛伊木馬、勒索軟件、Linux繫統下的惡意代碼、蠕蟲、移動終端惡意代碼、惡意代碼的查殺方法和防治技術，以及常用殺毒軟件及其解決方案和惡意代碼的防治策略等。
本書通俗易懂，注重理論與實踐相結合，所設計的教學實驗覆蓋了所有類型的惡意代碼，使讀者能夠舉一反三。為了便於教學，本書附帶教學課件、實驗用源代碼以及輔助應用程序版本說明等內容，下載地址為www.tupwk.com.cn/downpage，下載並解壓縮後，就可按照教材設計的實驗步驟使用。
本書可作為高等院校信息安全專業和計算機相關專業的教材，也可供廣大繫統管理員、計算機安全技術人員參考。

目錄

源碼下載

第1章惡意代碼概述

1.1為什麼提出惡意代碼的概念

1.2惡意代碼的概念
目錄

源碼下載

第1章惡意代碼概述

1.1為什麼提出惡意代碼的概念

1.2惡意代碼的概念

1.3惡意代碼的發展歷史

1.3.1概念階段

1.3.2朦矓階段

1.3.3款真實惡意代碼

1.3.4PC病毒

1.3.5蠕蟲插曲

1.3.6走向戰爭

1.3.7對抗殺毒軟件

1.3.8寫病毒不再困難

1.3.9破壞硬件的病毒

1.3.10網絡時代：蠕蟲

1.3.11網絡時代：木馬

1.3.12網絡時代：工業互聯網惡意代碼

1.3.13網絡時代：物聯網惡意代碼

1.3.14網絡時代：勒索型惡意代碼

1.4惡意代碼的種類

1.5惡意代碼的傳播途徑

1.6感染惡意代碼的癥狀

1.6.1惡意代碼的表現現像

1.6.2與惡意代碼現像類似的硬件故障

1.6.3與惡意代碼現像類似的軟件故障

1.7惡意代碼的命名規則

1.8惡意代碼的趨勢

1.9習題

第2章惡意代碼模型及機制

2.1基本定義

2.2基於圖靈機的傳統計算機病毒模型

2.2.1隨機訪問計算機模型

2.2.2隨機訪問存儲程序模型

2.2.3圖靈機模型

2.2.4帶後臺存儲的RASPM模型

2.2.5操作繫統模型

2.2.6基於RASPM_ABS的病毒

2.3基於遞歸函數的計算機病毒的數學模型

2.3.1Adlemen病毒模型

2.3.2Adlemen病毒模型的分析

2.4Internet蠕蟲傳播模型

2.4.1SIS模型和SI模型

2.4.2SIR模型

2.4.3網絡模型中蠕蟲傳播的方式

2.5惡意代碼預防理論模型

2.6傳統計算機病毒的結構和工作機制

2.6.1引導模塊

2.6.2感染模塊

2.6.3破壞模塊

2.6.4觸發模塊

2.7習題

第3章傳統計算機病毒

3.1引導型病毒編制技術

3.1.1引導型病毒編制原理

3.1.2引導型病毒實驗

3.216位可執行文件病毒編制技術

3.2.116位可執行文件結構及運行原理

3.2.2COM文件病毒原理

3.2.3COM文件病毒實驗

3.332位可執行文件病毒編制技術

3.3.1PE文件結構及其運行原理

3.3.2PE文件型病毒關鍵技術

3.3.3從Ring3到Ring0的簡述

3.3.4PE文件格式實驗

3.4宏病毒

3.4.1宏病毒的運行環境

3.4.2宏病毒的特點

3.4.3經典宏病毒

3.4.4Word宏病毒的工作機制

3.5綜合實驗

綜合實驗一： 32位文件型病毒實驗

綜合實驗二：類TaiWan No.1病毒實驗

3.6習題

第4章Linux惡意代碼技術

4.1Linux繫統的公共誤區

4.2Linux繫統惡意代碼的分類

4.3Shell惡意腳本

4.3.1Shell惡意腳本編制技術

4.3.2Shell惡意腳本實驗

4.4ELF文件格式

4.5ELF格式文件感染原理

4.5.1無關ELF格式的感染方法

4.5.2利用ELF格式的感染方法

4.5.3高級感染技術

4.6Linux ELF病毒實例

4.6.1病毒技術彙總

4.6.2原型病毒實現

4.7綜合實驗

綜合實驗三： Linux ELF病毒實驗

4.8習題

第5章特洛伊木馬

5.1基本概念

5.1.1木馬概述

5.1.2木馬的分類

5.1.3遠程控制、木馬與病毒

5.1.4木馬的工作流程

5.1.5木馬的技術發展

5.2簡單木馬程序實驗

5.2.1自動隱藏

5.2.2自動加載

5.2.3實現Server端功能

5.2.4實現Client端功能

5.2.5實施階段

5.3木馬程序的關鍵技術

5.3.1植入技術

5.3.2自啟動技術

5.3.3隱藏技術

5.3.4遠程線程插入實驗

5.3.5其他技術

5.4木馬防範技術

5.4.1防治特洛伊木馬基本知識

5.4.2幾種常見木馬病毒的殺除方法

5.4.3已知木馬病毒的端口列表

5.5綜合實驗

綜合實驗四：網站掛馬實驗

綜合實驗五： BO2K木馬實驗

綜合實驗六：木馬病毒清除實驗

5.6習題

第6章移動智能終端惡意代碼

6.1移動終端惡意代碼概述

6.2智能手機操作繫統及其弱點

6.2.1智能手機操作繫統

6.2.2手機操作繫統的弱點

6.3移動終端惡意代碼關鍵技術

6.3.1移動終端惡意代碼傳播途徑

6.3.2移動終端惡意代碼攻擊方式

6.3.3移動終端惡意代碼的生存環境

6.3.4移動終端設備的漏洞

6.4Android惡意功能開發實驗

6.4.1Android短信攔截

6.4.2Android電話監聽

6.5移動終端惡意代碼實例

6.6移動終端惡意代碼的防範

6.7移動終端安全防護工具

6.7.1國外移動終端安全防護工具

6.7.2國內移動終端安全防護工具

6.8綜合實驗

綜合實驗七： Android手機木馬實驗

6.9習題

第7章蠕蟲

7.1蠕蟲的基本概念

7.1.1蠕蟲的分類

7.1.2蠕蟲和其他惡意代碼的關繫

7.1.3蠕蟲的危害

7.1.4“震網”蠕蟲

7.2蠕蟲的特征

7.3蠕蟲病毒的機制

7.4基於RPC漏洞的蠕蟲

7.4.1RPC漏洞

7.4.2衝擊波病毒

7.4.3衝擊波的shellcode分析

7.4.4衝擊波實驗

7.5綜合實驗

綜合實驗八：基於U盤傳播的蠕蟲實驗

7.6習題

第8章勒索型惡意代碼

8.1勒索型惡意代碼概述

8.1.1全球勒索型惡意代碼

8.1.2勒索型惡意代碼的攻擊階段

8.1.3勒索型惡意代碼的特性

8.1.4勒索型惡意代碼出現的原因

8.2勒索型惡意代碼的歷史與現狀

8.2.1勒索型惡意代碼的歷史

8.2.2技術發展趨勢

8.2.3勒索型惡意代碼實例

8.2.4勒索型惡意代碼加密算法

8.3WannaCry惡意代碼分析

8.3.1基本模塊

8.3.2詳細過程

8.4HiddenTear源代碼分析

8.4.1HiddenTear的代碼特征

8.4.2HiddenTear關鍵代碼分析

8.4.3HiddenTear加密的漏洞

8.5防範與應對策略

8.5.1增強安全意識

8.5.2備份重要文件

8.5.3網絡流量的檢測

8.5.4網絡隔離措施

8.5.5更新軟件和安裝補丁

8.6綜合實驗

綜合實驗九：勒索型惡意代碼實驗

8.7總結

8.8習題

第9章其他惡意代碼

9.1流氓軟件

9.1.1流氓軟件的定義

9.1.2應對流氓軟件的政策

9.1.3流氓軟件的主要特征

9.1.4流氓軟件的發展過程

9.1.5流氓軟件的分類

9.2利用Outlook漏洞的惡意代碼

9.2.1郵件型惡意代碼的傳播方式

9.2.2郵件型惡意代碼的傳播原理

9.2.3郵件型惡意代碼的預防

9.3WebPage中的惡意代碼

9.3.1腳本病毒的基本類型

9.3.2Web惡意代碼的工作機制

9.3.3Web惡意代碼實驗

9.4僵尸網絡

9.5Rootkit惡意代碼

9.6高級持續性威脅

9.6.1APT的攻擊過程

9.6.2APT的特征

9.6.3典型的APT案例

9.6.4APT的防範

9.7綜合實驗

綜合實驗十：郵件型惡意代碼實驗

9.8習題

第10章惡意代碼防範技術

10.1惡意代碼防範技術的發展

10.2中國惡意代碼防範技術的發展

10.3惡意代碼防範思路

10.4惡意代碼的檢測

10.4.1惡意代碼的檢測技術

10.4.2惡意代碼的檢測方法

10.4.3自動檢測程序核心部件

10.4.4惡意代碼查找實驗

10.5惡意代碼的清除

10.5.1惡意代碼清除的原理

10.5.2惡意代碼的清除方法

10.6惡意代碼的預防

10.6.1繫統監控技術

10.6.2個人防火牆技術

10.6.3繫統加固技術

10.7惡意代碼的免疫

10.7.1傳統惡意代碼免疫方法

10.7.2人工免疫繫統

10.8數據備份與數據恢復的意義

10.8.1數據備份

10.8.2數據恢復

10.8.3數據恢復工具

10.9綜合實驗

綜合實驗十一：惡意代碼檢測實驗(OAV)

10.10習題

第11章常用殺毒軟件及其解決方案

11.1惡意代碼防範產業發展

11.2國內外反病毒軟件評測機構

11.2.1WildList

11.2.2AMTSO

11.2.3AVTest

11.2.4Virus Bulletin

11.2.5AVComparatives

11.2.6ICSA實驗室

11.2.7中國反病毒軟件評測機構

11.3國內外著名殺毒軟件比較

11.3.1殺毒軟件功能

11.3.2流行殺毒產品比較

11.3.3惡意代碼防範產品的地緣性

11.4企業級惡意代碼防治方案

11.4.1企業惡意代碼防範需求

11.4.2企業網絡的典型結構

11.4.3企業網絡的典型應用

11.4.4惡意代碼在網絡上傳播的過程

11.4.5企業網絡惡意代碼防範方案

11.5習題

第12章惡意代碼防治策略

12.1惡意代碼防治策略的基本準則

12.2國家層面上的防治策略

12.3單機用戶防治策略

12.3.1一般技術措施

12.3.2個人用戶上網基本策略

12.4如何建立安全的單機繫統

12.4.1打牢基礎

12.4.2選好工具

12.4.3注意方法

12.4.4應急措施

12.4.5自我提高

12.5企業用戶防治策略

12.5.1如何建立防御計劃

12.5.2執行計劃

12.5.3惡意代碼掃描引擎相關問題

12.5.4額外的防御工具

12.6未來的防範措施

12.7惡意代碼犯罪相關法律法規基礎

12.8習題

附錄A計算機病毒相關網上資源

附錄B相關法律法規

參考文獻

前言

前言

由

於傳統的計算機病毒是一個非常狹義的定義，它僅僅概括了感染文件（可執行文件及數據文件）和引導區的惡意代碼，無法描述各種新興惡意代碼的特征和內涵。鋻於此，本書采用“惡意代碼”這個概念來概括書中內容。
惡意代碼作為信息安全領域的重要一環，近年來在組織對抗、國家博弈、社會穩定方面發揮了雙刃劍的作用，引起了社會各界的廣泛重視。

前言

由

於傳統的計算機病毒是一個非常狹義的定義，它僅僅概括了感染文件（可執行文件及數據文件）和引導區的惡意代碼，無法描述各種新興惡意代碼的特征和內涵。鋻於此，本書采用“惡意代碼”這個概念來概括書中內容。
惡意代碼作為信息安全領域的重要一環，近年來在組織對抗、國家博弈、社會穩定方面發揮了雙刃劍的作用，引起了社會各界的廣泛重視。
本書的主要內容來源於作者在計算機病毒和惡意代碼領域的12年教學經驗、8年惡意代碼及其防範研究基礎以及前期編寫的4種教材。本書的前身《計算機病毒及其防範技術》《計算機病毒及其防範技術（第2版）》《惡意代碼防範》和《惡意代碼與計算機病毒——原理、技術和實踐》被多所高校作為教材，得到了大家的支持和認可。同時，這些教材也分別獲得了“上海交通大學優秀教材特等獎”“上海市高等教育教材一等獎”。
書中重點分析惡意代碼的運行機制，並通過實驗的方式講解常見惡意代碼。在分析惡意代碼技術的基礎上，重點分析惡意代碼的檢測和清除技術。此外，還對預防惡意代碼的策略和防治方案進行了探討。全書共分12章，具體內容如下。
第1章：惡意代碼概述。本章主要介紹惡意代碼的基本概念，並在此基礎上講述惡意代碼的關鍵歷史轉折點、技術分類、傳播途徑、感染癥狀、命名規則及未來發展趨勢等相關問題。
第2章：惡意代碼模型及機制。本章主要介紹惡意代碼的理論模型，如基於圖靈機的傳統計算機病毒模型、基於遞歸函數的計算機病毒的數學模型、惡意代碼預防理論模型、傳統計算機病毒的結構及工作機制等。
第3章：傳統計算機病毒。本章主要介紹在DOS、Windows 9x、Windows 2000平臺下傳統病毒的工作機制和編制技術，並以3種平臺下的可執行文件結構為線索，在分析這些文件結構的基礎上，引入不同平臺的病毒編制技術。為了保證教材的繫統性，本章還簡要介紹引導型病毒和宏病毒。
第4章： Linux惡意代碼技術。本章在了解Linux安全問題的基礎上，探討Linux惡意代碼的概念，分析Linux可執行文件格式(ELF)的運行機制。
第5章：特洛伊木馬。為了使讀者充分了解特洛伊木馬，本章詳細分析木馬的技術特征、木馬入侵的一些常用技術以及木馬入侵的防範和清除方法。此外，還對幾款常見木馬程序的防範經驗做了較為詳細的說明。
第6章：移動智能終端惡意代碼。本章以手機惡意代碼為主線，介紹移動終端惡意代碼的概念、技術進展和防範工具，使讀者了解未來移動終端設備上的威脅。特別是詳細介紹Android下開發惡意行為程序的技術。
第7章：蠕蟲。本章主要介紹近年來破壞力非常大的蠕蟲（Worm）的基本特征、技術特征和工作機制，並且詳細介紹基於RPC漏洞和U盤傳播的蠕蟲技術。
第8章：勒索型惡意代碼。2013年興起的勒索型惡意代碼是惡意代碼領域的家族。本章主要介紹勒索型惡意代碼的概念、原理、危害及防範技術。以流行的WannaCry為例，講解勒索型惡意代碼的結構及源代碼。同時，本章還以HiddenTear為例，設計了一個實驗。
第9章：其他惡意代碼。本章對近年來新興的流氓軟件、Outlook漏洞惡意代碼、WebPage惡意代碼、僵尸網絡、Rootkit惡意代碼和APT（高級持續威脅）做了介紹，並對其中典型惡意代碼的編制技術做了詳細講解。
第10章：惡意代碼防範技術。本章以檢測、清除、預防、防治、數據和策略6個層次為主要思路，介紹惡意代碼的診斷原理和方法、清除原理和方法、主動和被動防治技術以及數據備份和數據恢復等。
第11章：常用殺毒軟件及其解決方案。本章通過介紹企業網絡的典型結構、典型應用和網絡時代的病毒特征，得出企業網絡防範惡意代碼體繫對技術和工具的需求，從而給出一些典型惡意代碼防治體繫解決方案。
第12章：惡意代碼防治策略。本章通過討論防御性策略得到的不同建議來避免計算機受到惡意代碼的影響。本章側重於全局策略和規章，並且針對企業用戶所講述的內容比針對單機用戶的要多一些。本章還就如何制訂一個防御計劃，如何挑選一個快速反應小組，如何控制住惡意代碼的發作，以及安全工具的選擇等問題提出了一些建議。
在本書完稿之際，作者對上海交通大學教材出版基金的資助表示衷心感謝；感謝教學12年來聽過作者計算機病毒原理和惡意代碼防範課程的所有學生，他們為作者的講義提出了很多寶貴意見；感謝各類參考資料的提供者，這些資料既充實了作者的教材，也豐富了作者的知識；感謝清華大學出版社的各位編輯，他們耐心地加工我的書稿。
為便於教學，本書提供教學課件和實驗源代碼，可通過清華大學出版社的官方網站（www.tup.com.cn）下載。
由於作者水平有限，書中難免有疏漏之處，懇請讀者批評指正，以使本書得以進一步改進和完善。
作者

2019年1月

於上海交通大學思源湖畔

在線試讀

第3章傳統計算機病毒

視頻講解

傳統型計算機病毒是原始的幾類計算機病毒，主要包括感染引導區的病毒，感染可執行程序的病毒和感染數據文件的病毒。除了本章講解的幾個計算機病毒外，感染Linux繫統可執行程序的病毒也是傳統計算機病毒的一類代表。基於章節安排的考慮，Linux繫統下感染可執行文件的病毒放在本書第4章介紹。
DOS環境下的病毒數量已經定格在了5000多種。DOS平臺是病毒編制者(VXer)的樂園，因為程序員可以在該平臺下自由地讀、寫、控制繫統的所有資源。Windows平臺的出現促使計算機病毒技術迅速向新平臺轉化，Windows 9x(包括Windows 95/98/Me)平臺下的病毒曾經繁榮一時，雖然Windows 9x通過使用設備驅動和32位程序來管理文件繫統，給病毒編制帶來了一定的麻煩，但是VXer們還是分別利用Ring3和Ring0執行權限達到了目的。以NT內核為基礎的Windows 2000/NT/2003/XP等操作繫統，進一步改進了繫統的安全性，此時，雖然利用Ring3執行權限的病毒可以輕松轉到新平臺上來，但是進入Ring0難度進一步加大。隨著Windows Vista、Windows 7等的安全性進一步提高，利用Ring0執行權限的新病毒越來越難寫，寫傳統型計算機病毒簡直到了不可能的地步。
伴隨著操作繫統的不斷進步，可執行文件的格式也發生了巨大變化。它包括4個階段： DOS中以COM為擴展名的可執行文件和以EXE為擴展名的MZ格式的可執行文件； Windows 3.x下出現的NE(New Executable)格式的EXE和DLL文件； Windows 3.x和Windows 9x所專有的LE(Linear Executable，其專用於VxD文件)； Windows 9x和Windows NT/2000/XP下的32位的PE(Portable Executable)格式文件。總之，COM、MZ和NE屬於16位文件格式，PE屬於Win32文件格式，LE可以兼容16位和32位兩種環境。
當編制計算機病毒的先驅者們痴迷於他們高超的彙編語言技術和成果時，可能不會想到後繼者能以更加簡單的手法制造影響力更大的病毒。宏病毒是感染數據文件的病毒的典型代表，其中，Microsoft Word宏病毒又是宏病毒家族中有代表性的一類。像其他類型的病毒一樣，宏病毒也經歷了從產生到發展，再到衰退的過程。曾經，宏病毒感染了世界上幾乎所有的Windows計算機，占了當時惡意代碼總量的50%。第3章傳統計算機病毒

視頻講解

傳統型計算機病毒是原始的幾類計算機病毒，主要包括感染引導區的病毒，感染可執行程序的病毒和感染數據文件的病毒。除了本章講解的幾個計算機病毒外，感染Linux繫統可執行程序的病毒也是傳統計算機病毒的一類代表。基於章節安排的考慮，Linux繫統下感染可執行文件的病毒放在本書第4章介紹。
DOS環境下的病毒數量已經定格在了5000多種。DOS平臺是病毒編制者(VXer)的樂園，因為程序員可以在該平臺下自由地讀、寫、控制繫統的所有資源。Windows平臺的出現促使計算機病毒技術迅速向新平臺轉化，Windows 9x(包括Windows 95/98/Me)平臺下的病毒曾經繁榮一時，雖然Windows 9x通過使用設備驅動和32位程序來管理文件繫統，給病毒編制帶來了一定的麻煩，但是VXer們還是分別利用Ring3和Ring0執行權限達到了目的。以NT內核為基礎的Windows 2000/NT/2003/XP等操作繫統，進一步改進了繫統的安全性，此時，雖然利用Ring3執行權限的病毒可以輕松轉到新平臺上來，但是進入Ring0難度進一步加大。隨著Windows Vista、Windows 7等的安全性進一步提高，利用Ring0執行權限的新病毒越來越難寫，寫傳統型計算機病毒簡直到了不可能的地步。
伴隨著操作繫統的不斷進步，可執行文件的格式也發生了巨大變化。它包括4個階段： DOS中以COM為擴展名的可執行文件和以EXE為擴展名的MZ格式的可執行文件； Windows 3.x下出現的NE(New Executable)格式的EXE和DLL文件； Windows 3.x和Windows 9x所專有的LE(Linear Executable，其專用於VxD文件)； Windows 9x和Windows NT/2000/XP下的32位的PE(Portable Executable)格式文件。總之，COM、MZ和NE屬於16位文件格式，PE屬於Win32文件格式，LE可以兼容16位和32位兩種環境。
當編制計算機病毒的先驅者們痴迷於他們高超的彙編語言技術和成果時，可能不會想到後繼者能以更加簡單的手法制造影響力更大的病毒。宏病毒是感染數據文件的病毒的典型代表，其中，Microsoft Word宏病毒又是宏病毒家族中有代表性的一類。像其他類型的病毒一樣，宏病毒也經歷了從產生到發展，再到衰退的過程。曾經，宏病毒感染了世界上幾乎所有的Windows計算機，占了當時惡意代碼總量的50%。
本章主要介紹DOS、Windows平臺下引導區病毒、可執行文件病毒、感染數據文件的宏病毒等傳統型計算機病毒，並設計了多個實驗來展示這些病毒。
本章學習目標
（1）了解COM、EXE、NE、PE可執行文件格式。
（2）了解引導型病毒的原理及實驗。
（3）掌握COM文件型病毒的原理及實驗。
（4）掌握PE文件型病毒及實驗。
（5）掌握宏病毒的原理及實驗。

商品搜索

商品分类

【醫學】

【各大出版社】