基本信息

内容简介

目录

前言

基本信息

原书名：Malicious Mobile Code:Virus Protection for Windows

原出版社：O'Reilly

作者：Roger A.Grimes

译者：张志斌 贾旺盛 等

出版社：机械工业出版社

ISBN：7111124839

出版日期：2004 年6月

开本：16开

页码：514

版次：1-1

内容简介

什么是恶意传播代码?它们从哪里来?它们是如何传播的?你应该如何防止它们攻击你的电脑?如果你的电脑已经被它们攻击，你又应该如何处理呢?

本书为系统管理员和用户提供了大量信息，帮助他们来理解Windows系统下的恶意代码问题。通过对不同的恶意传播代码分章探讨，作者对各种类型的恶意代码都进行了详细的讨论，包括：

病毒

木马和蠕虫

ActiveX和Java恶意攻击代码

DOS病毒

宏病毒

基于浏览器的恶意攻击代码

Email攻击

即时消息攻击(Instant messaging attack)

本书对于每一种攻击方式均进行了详尽的介绍。除了描述这些攻击方式的原理之外，还提供了一些技术细节，以帮助你理解为什么这些攻击能够实现。每一章对于相应的攻击方式都介绍了应当采取的具体保护措施。

尽管你已经竭尽全力，但仍然可能受到恶意代码的攻击。有时这种攻击的结果非常明显；而有时除非造成巨大破坏，结果难以察觉。本书介绍了如何寻找和识别遭受各种不同攻击的迹象。每一章都介绍了如何删除这些恶意代码并恢复你的系统。在每一章结尾，作者对该章相应的攻击类型的危险程度作了评价。

目录

前言

第一章 介绍

追查

什么是恶意传播代码

恶意代码和法律

编写恶意代码的亚文化

恶意传播代码术语

小结

第二章 dos病毒

背景介绍

dos技术

dos病毒技术

dos病毒类型

病毒防御原理

dos病毒的例子

如何发现dos病毒

清除dos病毒

保护你的系统不受病毒攻击

危险评估--低

小结

第三章 windows技术

windows技术

windows的新版本

小结

第四章 windows病毒

windows平台下的dos病毒

windows平台下的windows病毒

windows nt病毒感染的特征和症状

windows病毒的例子

发现windows病毒

清除病毒

清除文件感染病毒

windows下的病毒防御

未来

危险评估--中

小结

第五章 宏病毒

什么是宏病毒

微软word和excel宏

使用宏

office 2000安全

宏病毒技术

宏病毒例子

发现宏病毒

清除宏病毒并且恢复系统

防御宏病毒

危险评估--高

小结

第六章 木马和蠕虫

威胁

什么是木马和蠕虫

特征和症状

木马的类型

木马技术

熟悉你的计算机

木马和蠕虫的例子

发现并且清除木马和蠕虫

预防木马和蠕虫

危险评估--高

小结

第七章 即时消息攻击

即时消息介绍

即时消息类型

irc

攻击即时消息

irc攻击的例子

发现恶意im

清除恶意im

保护你自己不受im攻击

危险评估--中

小结

第八章 internet浏览器技术

介绍

浏览器技术

网页语言

其他浏览器技术

何时应该注意浏览器中的内容

小结

第九章 通过internet浏览器攻击

基于浏览器的攻击行为

攻击和入侵示例

检测internet浏览器攻击

删除和修复被破坏的文件

预防internet浏览器攻击

危险评估--中

小结

第十章 恶意的java applet

java

java安全

java的恶意利用

java恶意利用的例子

检测恶意的java applet

删除恶意的java代码

保护自己免受恶意的java代码攻击

危险评估--低

小结

第十一章 恶意activex控件

activex

activex安全

activex安全性评述

恶意activex的例子

检测恶意activex控件

删除并预防恶意activex控件

危险评估--中

小结

第十二章 邮件攻击

介绍

邮件程序

邮件漏洞

检测邮件攻击

删除被感染的邮件

阻止邮件攻击

危险评估--高

小结

第十三章 欺骗性病毒

计算机病毒之母

欺骗性病毒消息的种类

检测

删除并阻止欺骗性病毒

危险评估--低

小结

第十四章 防御

防御策略

恶意传播代码防御计划

使用良好的反病毒扫描程序

反病毒扫描位置

使得任何一台windows pc变得安全的最好步骤

额外的防御工具

反病毒产品综述

前景

小结

第十五章 恶意传播代码的未来

计算机技术的未来

恶意传播代码的发展

真正的防范措施

小结

词汇表

前言

有几件事我们曾经以为是毋庸置疑的：计算机不可能因为仅仅读了一封电子邮件而感染病毒，恶意传播代码不可能损害硬件；病毒不可能在一张有写保护的启动盘中；计算机不可能因为一个图形文件而感染病毒。这些年我已经把这些建议不知说了多少遍，这几乎成了反病毒研究人员的口头语。每当一些人写信向我们询问这一次病毒危机是否需要小心时，我们都要将这些话重复一遍。但是我们错了。是啊，这在以前并没有错。可今天，网络已经普及，计算机也在发展，新的语言不断出现，旧的语言也在不断扩展。写程序变得越来越容易了，写恶意代码来做坏事也不再困难。很可能今天刚写完的恶意代码明天就会传染给上百万台机器。

像“梅丽莎”(Melissa)和“爱虫”(I Love You)这样的蠕虫病毒可以在几小时内使成千上万个网络陷于瘫痪；CIH病毒可以在一天内破坏数千台机器的硬盘数据并且毁坏计算机的BIOS芯片。如果你很不明智地浏览了黑客站点，那么当你在进入自己的所谓“安全”的银行账户时，黑客们将记录你的银行账户信息。当你在网上通过即时消息与别人交谈时也为别人入侵你的计算机系统提供了可乘之机。你在浏览网页时，你的浏览器会不停下载并且运行程序。一个很简单的恶意程序就可以在你上网冲浪时对系统进行破坏。今天，恶意传播代码所能做到的还远不止这些。

现在大约有五万多种计算机病毒、特洛伊木马以及恶意程序。数百个网站以及很多国际黑客组织都在悄悄地行动。他们互相比试看谁能写出危害最大的作品。很多人的工作就是努力窥探别人的隐私和破坏别人的数据。如果你的工作与计算机有关，那么恶意传播代码对你来说将不仅仅是不方便的问题。本书将帮助你保护微软

Windows系统和网络。

关于本书

本书介绍了恶意传播代码对于Windows PC攻击的手段，主要包括：计算机病毒、宏病毒、特洛伊木马程序、蠕虫、电子邮件攻击、Java TM和ActiveX TM攻击、即时消息攻击以及基于浏览器的攻击。

本书面向中高级计算机用户和对于防止Windows系统遭受恶意代码攻击感兴趣的网络管理员。本书假设读者对于PC机的原理非常熟悉，能够理解启动、数据文件和可执行文件之间的区别，了解万维网(WWW)和因特网(Internet)的概念。

为什么要写本书

为什么还要写一本关于病毒的书呢?首先，迄今为止我还没有找到一本覆盖最新类型的病毒和特洛伊木马信息的书。现在市面上已经有很多关于计算机病毒的书，但是大多数是集中讨论DOS下运行的病毒，对于宏病毒、Windows下的病毒以及其他类型的恶意代码仅仅是一带而过。大多数病毒疑难解答(FAQ)文档也是多年没有更新过了。许多网站上关于病毒的论文也是很久以前的。当然，现在仍然有许多DOS系统存在，但是现在大多数机器已经升级到了Windows，并且互联网也已经普及。

现在互联网已经成了一切，而恶意代码的威胁也主要变成了以宏病毒、电子邮件后门木马以及基于Web的脚本语言编写的恶意代码等。恶意传播代码(Malicious Mobile Code，MMC)是一个新的术语，概括了所有有害的能够自动复制传播的代

码。个人计算机安全的未来在于我们是否理解恶意传播代码能做什么和不能做什么。通过在网上浏览，我找到很多短文章和网站讨论某些具体的话题，像Java的威胁或者宏病毒，但是没有人把所有这些威胁综合在一起系统地论述。其次，所有的反病毒书籍和文章都强调对终端用户加强教育，并且推荐现在最新的反病毒扫描软件作为阻止恶意传播代码的最好方法。这样的建议很有问题并且很难奏效。大多数用户对于反病毒建议并不特别注意，他们也不需要如此。并且人们都知道即使是最好的反病毒扫描器也只能检查出以前出现过的旧病毒，而对于新出现的病毒却毫无办法。最新出现的蠕虫或病毒在被消灭以前的传播速度似乎更快了。但是如果我们问一位反病毒研究者是如何保护他们自己的机器的，他们会列举删除文件、编辑注册表和更改系统等一系列手段，所有这些手段都会阻止恶意代码发挥作用。这些防御经验应该与大家共享。总之，以上就是我写这本书的目的。

本书没有包括的内容

在计算机安全这一领域中，恶意传播代码仅仅是一部分。微软Windows也仅仅是众多操作系统中的一种。还有很多方面的安全威胁在此我不能涉及到。以下是本书所没有涉及到的主题：

非微软的操作平台以及应用程序

本书只讨论IBM兼容PC下的安全问题，以及对于微软操作平台及其应用程序 所特有的攻击方式。本书重点讨论DOS、Windows、Office、Outlook以及IE。

对于Macintosh、Unix以及开放源代码平台下的大量威胁并未涉及。随着Linux逐渐赢得人们的喜爱，威胁这一平台的恶意代码数量也在上升。本书所讨论的许多攻击方式也适用于其他平台(例如，跨平台的宏病毒)，但是其他平台并不是我们介绍的重点。

直接的黑客攻击

本书并没有涉及到黑客对于系统的直接攻击。我们不打算讨论一个心怀恶意的人如何Telnet到25号端口来伪装Email地址。但是如果一种蠕虫程序或者病毒这样做的话，我们将进行讨论。本书将通过一些以前出现过的恶意代码来帮助你学会如何对付它们。黑客们可能当初设计了这些代码，但是当这些代码传播开后，他们就任其自生自灭了。

主机攻击

除了一些必要的例外，本书主要讲述面向客户机的攻击。在客户/服务器体系结构下，应该有主机和客户机。服务器主机向客户机提供数据和应用程序。一台Web服务器应该算是一台主机，而与它相连的网络浏览器则是客户机部分。

.　许多黑客攻击的目标是包括主机系统的安全体系。本书只设计Windows客户机的威胁。我们也会讨论Windows NT服务器的安全，但是我们仅仅讨论当它担任客户角色时(如，浏览网页)的安全问题。

主机拒绝服务攻击

目前对于连入网络的计算机增长最快的威胁就是拒绝服务攻击(Denial of Service，DoS)。黑客们向远程的计算机发送奇怪的信息或请求使得主机的处理器处于完全的死锁状态，这样主机将无法响应合法用户的请求。对于一些Windows NT服务器，拒绝服务攻击可以简单地通过向一个以前未用的TCP/IP端口发送一个单独的数据包来实现。服务器提供商们现在正在投入巨大的精力来解决成熟的错误处理问题以帮助避免拒绝攻击造成的糟糕的响应速度。虽然，一些涉及互联网主机的拒绝服务攻击方法没有在本书中涉及，但是恶意的Java applet或者其他一些恶意传播代码导致的拒绝服务攻击在本书中有相应的介绍。