图书信息?

宣传语?

内 容 简 介?

作者简介?

序?

写 在 前 面?

目 录?

图书信息?

安全技术大系?

计算机病毒分析与防范大全（第3版）(含CD光盘1张)

王建锋, 钟玮, 杨威编著

ISBN 978-7-121-13246-9

出版日期：2011年5月

定价：69.00元

16开

572页

宣传语?

超值光盘

病毒防范实验文件

病毒防范实验演示

病毒防范工具软件

内 容 简 介?

本书是作者在信息安全领域多年经验的总结和提炼。本书从计算机病毒的定义及特征开始，将目前发现的所有计算机病毒加以分类，总结出每一类病毒的共性和特征，提出具有针对性的防范建议，以便普通读者揭开病毒的神秘面纱，构建自己的防范体系。

本书适合计算机安全领域的从业者及爱好者阅读，对计算机普通用户更深入地了解计算机病毒也有莫大的帮助。

作者简介?

王建锋，1971年生，现任北京瑞星公司客户服务中心总经理。国家注册信息安全专业人员（CISP）。多年来一直从事反病毒技术研究及信息安全项目管理等工作。2000年以来，主要负责重大恶性计算机病毒的应急处理工作，组织并参与创建瑞星客户服务中心呼叫中心系统及计算机病毒应急处理平台，在新型病毒的预警、分析以及反病毒策略研究等领域具有丰富的管理和实践经验。

钟玮，1976年生，现任北京瑞星公司客户服务中心副总经理。全面负责瑞星信息安全增值服务业务的管理工作。2002年以来，参与国务院新闻办、港澳办、中组部、华远集团等国内20余家政府部门，以及大型企业信息安全整体解决方案及安全外包方案的制定与实施；为中粮集团、中央电视台、微软公司、国务院中直管理局、联合国驻京机构等30余家重点单位长期提供数据安全、数据恢复咨询及数据安全管理项目实施；多次组织并参与信息产业部电子教育中心、清华大学、中科院计算所等国内权威机构信息安全培训项目的实施，具有丰富的信息安全项目的管理及实践经验。

杨威，1981年生，北京瑞星公司客户服务中心培训服务主管。瑞星反病毒技术工程师，国家注册信息安全专业人员（CISP）。具有多年反病毒及数据安全工作经验，一直致力于数据恢复技术及计算机反病毒技术研究，负责策划瑞星公司数据恢复、病毒分析、网络安全等全系列课程培训方案，以及相关培训教材的编写，具有丰富的信息安全技术教学经验。

序?

计算机病毒是一个社会性的问题，仅靠信息安全厂商研发的安全产品而没有全社会的配合，是无法有效地建立信息安全体系的。因此，面向全社会普及计算机病毒的基础知识，增强大家的病毒防范意识，“全民皆兵”并配合适当的反病毒工具，才能真正地做到防患于未然。我们很高兴地看到战斗在反病毒领域第一线的专业人士，将自己多年的反病毒经验加以总结，与大家共享，帮助普通的计算机使用者揭开计算机病毒的神秘面纱，这无疑是一件有利于促进信息化发展的好事情。

这本书实用性比较强，较为全面地介绍了计算机病毒的基本知识，分析了典型病毒的特征，很适合初中级水平的计算机使用者参考。希望这本书的发行，能够在普及计算机防病毒知识方面发挥积极的作用，并根据实际情况不断更新，将最新的技术和发展趋势带给广大的读者。

瑞星公司董事长

王莘

再 版 前 言

从《计算机病毒分析与防范大全》一书面世以来，已经是第5个年头了，期间经历过一次改版。随着计算机病毒技术的发展，针对病毒而进行分析和防御的手段也在不断完善，为了便于广大读者及时掌握最新计算机病毒的特性及其分析、防御方法，同时，也是在众多热心读者朋友的支持和鼓励下，本书进行了第2次改版。新面世的第3版书的内容，是在第2版的基础之上，主要针对近期出现的典型病毒和当前反病毒最新技术进行了大量的补充和完善，新增大量实际案例。着重增加了计算机病毒惯用技术、“云安全”技术等在当前主流的计算机病毒对抗中最新技术手段及其实现原理，通过大量的实际代码分析和案例说明，使读者能够掌握相关技术的深层原理及其应用技巧，从而全面提高自己的病毒分析与病毒防御技术能力。由于书中的程序代码分析示例均取自于专业反病毒工程师的真实病毒分析过程，有些代码由于受到分析环境及分析工具的限制，我们采用了截图的方式保留示例源代码，在一定程度上影响了代码文字清晰度，对于读者在阅读过程中带来的不便深表歉意。

作 者

2011年3月12日

写 在 前 面?

提起计算机病毒，绝大多数计算机的使用者都会深恶痛绝，因为没有“中过招”的人已经是凤毛麟角了。但在谈虎色变之余，很多人对计算机病毒又充满了好奇，对病毒的制造者既痛恨又敬畏。这种复杂的感情实际上很容易理解，就像古人面对大自然的感情一样，因为无法解释风雨雷电，也就只能制造神话，崇拜图腾了。

计算机病毒当然不值得崇拜，它给社会信息化的发展制造了太多的麻烦，每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元。但同时，它也催化了一个新兴的产业——信息安全产业。反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术……这一根根救命稻草，使很多企业和个人用户免遭侵害，在很大程度上缓解了计算机病毒造成的巨大破坏，同时，越来越多的企业加入到信息安全领域，同层出不穷的黑客和病毒制造者做着顽强的斗争。

但稻草毕竟是稻草，救得一时不一定救得一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发，无论从产品线还是从技术角度来讲，都已经达到了相当完善的程度。但是，再好的产品，如果不懂得如何去使用，发挥不了产品真正的优势，又与稻草有什么区别呢？很多用户在被病毒感染以后才想起购买杀毒软件，查杀以后就再也不管，没有定期的升级和维护，更没有根据自己的使用环境的特点，制定相应的防范策略，可以说把产品的使用效率降到了最低，这样的状态，怎能应付日新月异的病毒攻击呢？

那么，如何将手中的稻草变成强大的武器，当危险临近时，能够主动出击，防患于未然呢？笔者认为，关键的问题在于对“对手”的了解。正如我们上面举过的例子，我们现在之所以对很多自然现象习以为常，是因为我们对其成因有了最基础的了解，这样才可能未雨绸缪，配合手中的工具，防患于未然。

本书的创作初衷正是将笔者在信息安全领域多年的经验加以总结、提炼，从计算机病毒的定义及特征开始讲起，将病毒的起源、发展历史、发展趋势及造成的危害系统而全面地介绍给读者，并将目前发现的所有计算机病毒加以分类，总结出每一类病毒的共性和特征，提出具有针对性的防范建议，以便于普通读者揭开病毒的神秘面纱，构建自己的防范体系。同时，本书还根据杀毒软件行业的特点，以专业的视角介绍了反病毒行业病毒分析的流程，帮助读者构建自己的病毒分析实验室，从而对计算机病毒进行彻底的剖析。此外，为了更好地将书中提到的知识和技能运用到实践中，我们还特别地为初学者设计了非常实用的小实验，并对实验过程进行了必要的演示，以帮助大家更好地理解计算机病毒的原理。

魔高一尺，道高一丈。我们相信，只要知己知彼，我们一定会在与计算机病毒进行的这场持久战中取得最终的胜利！

作 者

目 录?

第一篇 认识计算机病毒

第1章 什么是计算机病毒2

1.1 计算机病毒的定义2

1.2 计算机病毒的特征3

1.3 计算机病毒的结构8

1.3.1 计算机病毒的程序结构8

1.3.2 计算机病毒的存储结构8

1.4 计算机病毒的分类及命名10

1.4.1 根据寄生的数据存储方式划分11

1.4.2 根据感染文件类型划分12

1.4.3 根据传播途径分类12

1.4.4 列举几种具有代表性的病毒类型12

1.5 计算机病毒的命名规则14

1.6 计算机病毒的入侵方式17

1.7 计算机病毒的生命周期17

1.8 计算机病毒的传播18

第2章 计算机病毒发展史20

2.1 计算机病毒的起源及其发展过程20

2.2 计算机病毒大事记24

2.3 计算机病毒的发展趋势33

2.3.1 智能化33

2.3.2 人性化34

2.3.3 隐蔽化34

2.3.4 多样化34

2.3.5 专用病毒生成工具的出现34

2.3.6 攻击反病毒软件35

2.3.7 病毒的互联网化35

第3章 计算机病毒的危害36

3.1 计算机病毒编制者的目的36

3.1.1 恶作剧（开玩笑）36

3.1.2 报复心理37

3.1.3 保护版权38

3.1.4 娱乐需要38

3.1.5 政治或军事目的38

3.1.6 获取经济利益39

3.2 计算机病毒对计算机应用的影响39

3.2.1 破坏数据39

3.2.2 占用磁盘存储空间40

3.2.3 抢占系统资源40

3.2.4 影响计算机运行速度40

3.2.5 计算机病毒错误与不可预见的危害40

3.2.6 计算机病毒的兼容性对系统运行的影响41

3.2.7 计算机病毒给用户造成严重的心理压力41

3.2.8 计算机病毒对计算机用户隐私信息的威胁41

3.3 计算机病毒造成的社会危害41

3.4 计算机病毒在国家安全上的影响45

3.4.1 直面军事信息安全的挑战45

3.4.2 高度依赖信息系统的美军青睐计算机病毒武器46

3.4.3 防患未然要从细节做起48

第二篇 计算机病毒分析

第4章 追根溯源——传统计算机病毒概述50

4.1 早期的DOS病毒介绍50

4.1.1 DOS操作系统简介50

4.1.2 DOS病毒50

4.2 Office杀手——宏病毒51

4.2.1 什么是“宏”51

4.2.2 宏病毒的定义52

4.2.3 宏病毒的特点53

4.2.4 宏病毒的发作现象及处理53

4.2.5 典型的宏病毒——“七月杀手”病毒55

4.2.6 防范宏病毒的安全建议56

4.3 变化多端的文件型病毒57

4.3.1 文件型病毒的复制机制57

4.3.2 文件型病毒的分类58

4.3.3 文件型病毒的发展史58

4.3.4 文件型病毒简介60

4.3.5 典型的文件型病毒——WIN95.CIH病毒解剖63

4.3.6 新CIH病毒（WIN32.Yami）剖析66

4.4 攻击磁盘扇区的引导型病毒67

4.4.1 引导型病毒背景介绍67

4.4.2 引导型病毒的主要特点和分类70

4.4.3 引导型病毒的发作现象及处理70

4.4.4 典型的引导型病毒——WYX病毒解析73

4.4.5 防范引导区病毒的安全建议76

第5章 互联网时代的瘟疫——蠕虫病毒77

5.1 背景介绍77

5.1.1 蠕虫病毒的起源78

5.1.2 蠕虫病毒与普通病毒的比较79

5.1.3 蠕虫病毒的特点和发展趋势79

5.1.5 蠕虫病毒的传播80

5.2 病毒的特点及危害80

5.2.1 蠕虫病毒的特点80

5.2.2 蠕虫病毒造成的社会危害81

5.3 蠕虫病毒的发作现象及处理方法83

5.3.1 “SP2杀手”蠕虫病毒84

5.3.2 “魔波”（Worm.Mocbot.a）蠕虫病毒86

5.3.3 “SCO炸弹”（Worm.Novarg）88

5.3.4 恶性蠕虫病毒——“斯文”（Worm.Swen）88

5.4 典型蠕虫病毒解析89

5.4.1 “熊猫烧香”病毒解析89

5.4.2 Worm.Win32.WebDown.a蠕虫病毒解析99

5.5 防范蠕虫病毒的安全建议102

5.6 蠕虫病毒防范实验103

5.6.1 实验目的104

5.6.2 实验大纲104

5.6.3 实验工具软件104

5.6.4 实验过程简述104

第6章 隐藏的危机——木马病毒分析106

6.1 木马病毒的背景介绍106

6.2 木马病毒的隐藏性107

6.3 典型的木马病毒112

6.3.1 “灰鸽子”（Backdoor.Huigezi）112

6.3.2 盗号木马GameOnline116

6.3.3 RootKit键盘记录器木马117

6.4 木马病毒的又一重要传播途径——网站挂马119

6.4.1 网页挂马的概念119

6.4.2 常见的网页挂马方式119

6.5 防范木马病毒的安全建议120

第7章 网页冲浪的暗流——网页脚本病毒分析126

7.1 脚本病毒的背景知识介绍126

7.1.1 VBScript概述126

7.1.2 “WSH”概述127

7.1.3 有关注册表的基本知识127

7.2 脚本病毒的特点128

7.3 脚本病毒的发作现象及处理129

7.4 典型脚本病毒分析133

7.4.1 “自动播放”（Autorun）脚本病毒分析133

7.4.2 脚本病毒Hack.Exploit.Script.JS.Iframe.z分析139

7.5 防范脚本病毒的安全建议140

7.6 脚本及恶意网页实验141

7.6.1 实验目的142

7.6.2 实验内容142

7.6.3 实验用工具软件及操作系统142

7.6.4 实验背景知识及说明142

7.6.5 实验流程148

7.7 注册表维护实验150

7.7.1 实验目的150

7.7.2 实验内容150

7.7.3 实验工具软件150

7.7.4 实验步骤150

7.7.5 实验流程159

7.8 通过恶意脚本进行网页挂马演示160

第8章 不要和陌生人说话——即时通信病毒分析161

8.1 即时通信病毒背景介绍161

8.1.1 什么是IM161

8.1.2 主流即时通信软件简介161

8.1.3 IM软件的基本工作原理163

8.1.4 IM软件造成的安全威胁163

8.2 即时通信病毒的特点及危害164

8.3 即时通信病毒发作现象及处理方法166

8.4 典型的即时通信病毒——“MSN性感鸡”解析168

8.5 防范即时通信病毒的安全建议170

第9章 无孔不入——系统漏洞攻击病毒分析172

9.1 漏洞攻击病毒背景介绍172

9.2 漏洞攻击的类型及原理173

9.2.1 缓冲区溢出漏洞173

9.2.2 内存损坏漏洞175

9.3 典型漏洞分析178

9.3.1 微软视频控件（Microsoft Video ActiveX Control）漏洞178

9.3.2 MS08-067漏洞分析180

9.3.3 CVE-2008-0015漏洞分析182

9.3.4 ARP协议安全漏洞攻击183

9.4 防范漏洞攻击病毒的安全建议190

第10章 病毒发展的新阶段——移动通信病毒分析192

10.1 移动通信病毒背景介绍192

10.2 移动通信病毒的特点194

10.2.1 手机病毒的传播途径194

10.2.2 手机病毒的传播特点196

10.2.3 手机病毒的危害196

10.3 移动通信病毒的发作现象196

10.4 典型手机病毒分析198

10.4.1 手机病毒发展过程198

10.4.2 典型手机病毒——Cabir199

10.4.3 “骷髅头”手机病毒200

10.4.4 “食人鱼”手机病毒200

10.5 WinCE.Dust手机病毒源代码200

10.6 防范移动通信病毒的安全建议209

第11章 防人之心不可无——网络钓鱼概述210

11.1 网络钓鱼背景介绍210

11.2 网络钓鱼的手段及危害211

11.2.1 利用电子邮件“钓鱼”211

11.2.2 利用木马程序“钓鱼”211

11.2.3 利用虚假网址“钓鱼”211

11.2.4 假冒知名网站“钓鱼”212

11.2.5 其他钓鱼方式214

11.3 防范网络钓鱼的安全建议215

11.3.1 金融机构采取的网上安全防范措施215

11.3.2 对于个人用户的安全建议215

第12章 强买强卖——流氓软件概述218

12.1 流氓软件背景介绍218

12.2 流氓软件的分类及其流氓行径219

12.3 流氓软件的危害220

12.4 防范流氓软件的安全建议221

12.4.1 IE插件管理专家Upiea221

12.4.2 超级兔子2011222

12.4.3 瑞星卡卡安全助手222

12.5 典型流氓软件分析——“飘雪”223

12.5.1 “飘雪”感染过程223

12.5.2 清除方法225

12.6 典型流氓软件分析——“8749”227

第13章 其他操作系统病毒230

13.1 Linux与UNIX病毒230

13.2 MAC OS系统病毒231

13.3 其他典型系统病毒简介231

第三篇 反病毒技术

第14章 反病毒技术发展趋势233

14.1 反病毒保护措施日益全面和实时233

14.2 反病毒产品体系结构面临突破234

14.3 对未知病毒的防范能力日益增强234

14.4 企业级别、网关级别的产品越来越重要235

14.5 主动防御技术的应用235

14.6 关注移动设备和无线产品的安全236

第15章 基础知识——常见文件格式237

15.1 病毒与文件格式237

15.1.1 常见的文件格式237

15.1.2 文档能够打开但无法正常显示时采取的措施244

15.1.3 文档打不开时采取的措施245

15.1.4 常见的文件后缀247

15.1.5 双扩展名——病毒邮件所带附件的特点之一247

15.2 PE文件格式248

15.2.1 PE文件格式一览248

15.2.2 检验PE文件的有效性249

15.2.3 File Header250

15.2.4 OptionalHeader251

15.2.5 Section Table252

15.2.6 Import Table（引入表）253

15.2.7 Export Table（引出表）255

第16章 搭建病毒分析实验室257

16.1 神奇的虚拟机257

16.1.1 硬件要求与运行环境257

16.1.2 VMware258

16.1.3 Virtual PC267

16.1.4 VMware与Virtual PC的主要区别272

16.1.5 病毒“蜜罐”272

16.2 常用病毒分析软件273

16.2.1 系统监测工具273

16.2.2 文本编辑器294

16.2.3 综合软件300

16.3 静态分析技术308

16.3.1 基础知识308

16.3.2 W32Dasm简介310

16.3.3 IDA Pro317

16.3.4 破解教程320

16.4 动态分析技术322

16.4.1 SoftICE322

16.4.2 Windbg332

16.4.3 OllyDBG337

16.4.4 常用的Win32 API函数340

16.4.5 破解实例341

第17章 计算机病毒惯用技术解密344

17.1 反静态分析、检测技术344

17.1.1 花指令344

17.1.2 动态改变指令345

17.1.3 代码隐蔽技术345

17.1.4 入口点隐蔽346

17.1.5 加密技术347

17.1.6 高级代码变形348

17.1.7 加壳技术353

17.2 反动态分析、检测技术353

17.2.1 检测商用虚拟机353

17.2.2 反-反病毒仿真技术355

17.3 执行体隐藏保护技术359

17.3.1 文件隐藏359

17.3.2 挂接遍历文件相关API359

17.3.3 进程隐藏360

17.3.4 文件保护361

17.3.5 进程保护361

17.3.6 注册表保护361

17.4 反制技术362

17.4.1 禁止反病毒软件的运行362

17.4.2 破坏反病毒软件的功能362

17.5 压缩与脱壳362

17.5.1 自动脱壳362

17.5.2 手动脱壳371

17.5.3 脱壳技巧374

17.6 加壳脱壳实验382

17.6.1 工具介绍382

17.6.2 加壳操作382

17.6.3 脱壳操作384

第18章 捕捉计算机病毒391

18.1 计算机病毒的症状391

18.1.1 计算机病毒发作前的表现现象391

18.1.2 计算机病毒发作时的表现现象393

18.1.3 计算机病毒发作后的表现现象394

18.2 Windows的自启动方式395

18.2.1 自启动目录396

18.2.2 系统配置文件启动397

18.2.3 注册表启动399

18.2.4 其他启动方式401

18.3 计算机病毒排查流程详解403

18.3.1 故障初步判断403

18.3.2 通过系统自带工具进行排查404

18.3.3 使用第三方工具辅助进行检测406

18.3.4 对病毒程序进行清理412

第19章 典型病毒的源代码分析413

19.1 AdWare.Win32.Fsutk.a413

19.2 Hack.Exploit.Win32.MS08-067.kt420

19.3 Win32.KUKU.kj430

19.4 Worm.Win32.Bonew.a456

19.5 Worm.Nimaya462

第20章 反病毒技术剖析467

20.1 病毒诊治技术剖析467

20.1.1 反病毒技术概述467

20.1.2 病毒诊断技术468

20.1.3 虚拟机在反病毒技术中的应用473

20.2 反病毒引擎技术剖析476

20.2.1 反病毒引擎在整个杀毒软件中的地位476

20.2.2 反病毒引擎的发展历程477

20.2.3 反病毒引擎的体系架构478

20.2.4 反病毒引擎的技术特征478

20.2.5 反病毒引擎的发展方向481

20.3 主动防御技术详解482

第四篇 反病毒产品及解决方案

第21章 “云安全”在反病毒领域的应用489

21.1 国内外厂商的现状和发展趋势489

21.1.1 国际信息安全厂商的

现状和发展趋势489

21.1.2 国内信息安全厂商的

现状和发展趋势492

21.2 瑞星云安全的产生和

技术发展历史493

第22章 中国反病毒产业发展概述496

第23章 主流反病毒产品特点介绍500

23.1 瑞星杀毒软件500

23.2 江民杀毒软件502

23.3 金山毒霸505

23.4 诺顿杀毒软件507

23.5 趋势杀毒软件508

23.6 熊猫卫士508

23.7 卡巴斯基杀毒软件510

23.8 360安全卫士511

第24章 反病毒安全体系的建立512

24.1 建设安全体系遵循的原则512

24.1.1 法律512

24.1.2 思想意识513

24.1.3 技术手段514

24.1.4 管理手段515

24.1.5 技能手段516

24.2 如何选择反病毒产品517

24.2.1 使用方面517

24.2.2 服务方面517

附录A 计算机安全法规518

附录B 新病毒处理流程532

附录C 常用文件后缀名列表534