计算机病毒与恶意代码:原理.技术及防范(第4版)/刘功申等

本书的主要内容来源于作者大学本科计算机病毒和恶意代码12年教学经验，8年恶意代码及其防范研究基础，以及前期编写的4本教材。本书的前身《计算机病毒及其防范技术》、《计算机病毒及其防范技术（第2版）》、《恶意代码防范》和《恶意代码与计算机病毒——原理、技术和实践》被多所高校作为教材，得到了大家的支持和认可。同时，这些教材也分别两次获得了“上海交通大学优秀教材特等奖”、“上海市高等教育教材一等奖”。

本书详细介绍恶意代码（含传统计算机病毒）的基本原理和主要防治技术，深入分析和探讨恶意代码的产生机制、寄生特点、传播方式、危害表现以及防范和对抗等方面的技术，主要内容包括恶意代码的基本含义、恶意代码的理论模型、恶意代码的结构和技术特征分析、特洛伊木马、勒索软件、Linux系统下的恶意代码、蠕虫、移动终端恶意代码、恶意代码的查杀方法和防治技术，以及常用杀毒软件及其解决方案和恶意代码的防治策略等。 本书通俗易懂，注重理论与实践相结合，所设计的教学实验覆盖了所有类型的恶意代码，使读者能够举一反三。为了便于教学，本书附带教学课件、实验用源代码以及辅助应用程序版本说明等内容，下载地址为www.tupwk.com.cn/downpage，下载并解压缩后，就可按照教材设计的实验步骤使用。 本书可作为高等院校信息安全专业和计算机相关专业的教材，也可供广大系统管理员、计算机安全技术人员参考。

刘功申，博士，教授。2003年毕业于上海交通大学计算机科学与技术系，并获得博士学位。2004年起，在上海交通大学网络空间安全学院从事教学科研工作。研究方向包括内容安全、恶意代码及自然语言处理等。主持国家自然科学基金项目3项，“十二五”科技支撑子课题1项，H863项目1项；参与973、国家工程实验室、“十三五”网络空间安全专项、重点基金等项目10项。文本语义分析、情感倾向性分析方面的多项成果应用于网络舆情预警与监测系统。编写了《恶意代码与计算机病毒――原理、技术和实践》《恶意代码防范》《数字内容安全》等教材8部（第一作者5部），获得了上海市高等教育优秀教材奖一等奖2项。指导全国大学生信息安全大赛获得作品决赛一等奖4项，二等奖3项。

第1章恶意代码概述 1.1为什么提出恶意代码的概念 1.2恶意代码的概念 1.3恶意代码的发展历史 1.3.1概念阶段 1.3.2朦胧阶段 1.3.3第一款真实恶意代码 1.3.4PC病毒 1.3.5蠕虫插曲 1.3.6走向战争 1.3.7对抗杀毒软件 1.3.8写病毒不再困难 1.3.9破坏硬件的病毒 1.3.10网络时代： 蠕虫 1.3.11网络时代： 木马 1.3.12网络时代： 工业互联网恶意代码 1.3.13网络时代： 物联网恶意代码 1.3.14网络时代： 勒索型恶意代码 1.4恶意代码的种类 1.5恶意代码的传播途径 1.6感染恶意代码的症状 1.6.1恶意代码的表现现象 1.6.2与恶意代码现象类似的硬件故障 1.6.3与恶意代码现象类似的软件故障 1.7恶意代码的命名规则 1.8恶意代码的近期新趋势 1.9习题 第2章恶意代码模型及机制 2.1基本定义 2.2基于图灵机的传统计算机病毒模型 2.2.1随机访问计算机模型 2.2.2随机访问存储程序模型 2.2.3图灵机模型 2.2.4带后台存储的RASPM模型 2.2.5操作系统模型 2.2.6基于RASPM_ABS的病毒 2.3基于递归函数的计算机病毒的数学模型 2.3.1Adlemen病毒模型 2.3.2Adlemen病毒模型的分析 2.4Internet蠕虫传播模型 2.4.1SIS模型和SI模型 2.4.2SIR模型 2.4.3网络模型中蠕虫传播的方式 2.5恶意代码预防理论模型 2.6传统计算机病毒的结构和工作机制 2.6.1引导模块 2.6.2感染模块 2.6.3破坏模块 2.6.4触发模块 2.7习题 第3章传统计算机病毒 3.1引导型病毒编制技术 3.1.1引导型病毒编制原理 3.1.2引导型病毒实验 3.216位可执行文件病毒编制技术 3.2.116位可执行文件结构及运行原理 3.2.2COM文件病毒原理 3.2.3COM文件病毒实验 3.332位可执行文件病毒编制技术 3.3.1PE文件结构及其运行原理 3.3.2PE文件型病毒关键技术 3.3.3从Ring3到Ring0的简述 3.3.4PE文件格式实验 3.4宏病毒 3.4.1宏病毒的运行环境 3.4.2宏病毒的特点 3.4.3经典宏病毒 3.4.4Word宏病毒的工作机制 3.5综合实验 综合实验一： 32位文件型病毒实验 综合实验二： 类TaiWan No.1病毒实验 3.6习题 第4章Linux恶意代码技术 4.1Linux系统的公共误区 4.2Linux系统恶意代码的分类 4.3Shell恶意脚本 4.3.1Shell恶意脚本编制技术 4.3.2Shell恶意脚本实验 4.4ELF文件格式 4.5ELF格式文件感染原理 4.5.1无关ELF格式的感染方法 4.5.2利用ELF格式的感染方法 4.5.3高级感染技术 4.6Linux ELF病毒实例 4.6.1病毒技术汇总 4.6.2原型病毒实现 4.7综合实验 综合实验三： Linux ELF病毒实验 4.8习题 第5章特洛伊木马 5.1基本概念 5.1.1木马概述 5.1.2木马的分类 5.1.3远程控制、木马与病毒 5.1.4木马的工作流程 5.1.5木马的技术发展 5.2简单木马程序实验 5.2.1自动隐藏 5.2.2自动加载 5.2.3实现Server端功能 5.2.4实现Client端功能 5.2.5实施阶段 5.3木马程序的关键技术 5.3.1植入技术 5.3.2自启动技术 5.3.3隐藏技术 5.3.4远程线程插入实验 5.3.5其他技术 5.4木马防范技术 5.4.1防治特洛伊木马基本知识 5.4.2几种常见木马病毒的杀除方法 5.4.3已知木马病毒的端口列表 5.5综合实验 综合实验四： 网站挂马实验 综合实验五： BO2K木马实验 综合实验六： 木马病毒清除实验 5.6习题 第6章移动智能终端恶意代码 6.1移动终端恶意代码概述 6.2智能手机操作系统及其弱点 6.2.1智能手机操作系统 6.2.2手机操作系统的弱点 6.3移动终端恶意代码关键技术 6.3.1移动终端恶意代码传播途径 6.3.2移动终端恶意代码攻击方式 6.3.3移动终端恶意代码的生存环境 6.3.4移动终端设备的漏洞 6.4Android恶意功能开发实验 6.4.1Android短信拦截 6.4.2Android电话监听 6.5移动终端恶意代码实例 6.6移动终端恶意代码的防范 6.7移动终端安全防护工具 6.7.1国外移动终端安全防护工具 6.7.2国内移动终端安全防护工具 6.8综合实验 综合实验七： Android手机木马实验 6.9习题 第7章蠕虫 7.1蠕虫的基本概念 7.1.1蠕虫的分类 7.1.2蠕虫和其他恶意代码的关系 7.1.3蠕虫的危害 7.1.4“震网”蠕虫 7.2蠕虫的特征 7.3蠕虫病毒的机制 7.4基于RPC漏洞的蠕虫 7.4.1RPC漏洞 7.4.2冲击波病毒 7.4.3冲击波的shellcode分析 7.4.4冲击波实验 7.5综合实验 综合实验八： 基于U盘传播的蠕虫实验 7.6习题 第8章勒索型恶意代码 8.1勒索型恶意代码概述 8.1.1全球勒索型恶意代码 8.1.2勒索型恶意代码的攻击阶段 8.1.3勒索型恶意代码的特性 8.1.4勒索型恶意代码出现的原因 8.2勒索型恶意代码的历史与现状 8.2.1勒索型恶意代码的历史 8.2.2技术发展趋势 8.2.3近期新勒索型恶意代码实例 8.2.4勒索型恶意代码加密算法 8.3WannaCry恶意代码分析 8.3.1基本模块 8.3.2详细过程 8.4HiddenTear源代码分析 8.4.1HiddenTear的代码特征 8.4.2HiddenTear关键代码分析 8.4.3HiddenTear加密的漏洞 8.5防范与应对策略 8.5.1增强安全意识 8.5.2备份重要文件 8.5.3网络流量的检测 8.5.4网络隔离措施 8.5.5更新软件和安装补丁 8.6综合实验 综合实验九： 勒索型恶意代码实验 8.7总结 8.8习题 第9章其他恶意代码 9.1流氓软件 9.1.1流氓软件的定义 9.1.2应对流氓软件的政策 9.1.3流氓软件的主要特征 9.1.4流氓软件的发展过程 9.1.5流氓软件的分类 9.2利用Outlook漏洞的恶意代码 9.2.1邮件型恶意代码的传播方式 9.2.2邮件型恶意代码的传播原理 9.2.3邮件型恶意代码的预防 9.3WebPage中的恶意代码 9.3.1脚本病毒的基本类型 9.3.2Web恶意代码的工作机制 9.3.3Web恶意代码实验 9.4僵尸网络 9.5Rootkit恶意代码 9.6高级持续性威胁 9.6.1APT的攻击过程 9.6.2APT的特征 9.6.3典型的APT案例 9.6.4APT的防范 9.7综合实验 综合实验十： 邮件型恶意代码实验 9.8习题 第10章恶意代码防范技术 10.1恶意代码防范技术的发展 10.2中国恶意代码防范技术的发展 10.3恶意代码防范思路 10.4恶意代码的检测 10.4.1恶意代码的检测技术 10.4.2恶意代码的检测方法 10.4.3自动检测程序核心部件 10.4.4恶意代码查找实验 10.5恶意代码的清除 10.5.1恶意代码清除的原理 10.5.2恶意代码的清除方法 10.6恶意代码的预防 10.6.1系统监控技术 10.6.2个人防火墙技术 10.6.3系统加固技术 10.7恶意代码的免疫 10.7.1传统恶意代码免疫方法 10.7.2人工免疫系统 10.8数据备份与数据恢复的意义 10.8.1数据备份 10.8.2数据恢复 10.8.3数据恢复工具 10.9综合实验 综合实验十一： 恶意代码检测实验(OAV) 10.10习题 第11章常用杀毒软件及其解决方案 11.1恶意代码防范产业发展 11.2国内外反病毒软件评测机构 11.2.1WildList 11.2.2AMTSO 11.2.3AVTest 11.2.4Virus Bulletin 11.2.5AVComparatives 11.2.6ICSA实验室 11.2.7中国反病毒软件评测机构 11.3国内外有名杀毒软件比较 11.3.1杀毒软件推荐功能 11.3.2流行杀毒产品比较 11.3.3恶意代码防范产品的地缘性 11.4企业级恶意代码防治方案 11.4.1企业恶意代码防范需求 11.4.2企业网络的典型结构 11.4.3企业网络的典型应用 11.4.4恶意代码在网络上传播的过程 11.4.5企业网络恶意代码防范方案 11.5习题 第12章恶意代码防治策略 12.1恶意代码防治策略的基本准则 12.2国家层面上的防治策略 12.3单机用户防治策略 12.3.1一般技术措施 12.3.2个人用户上网基本策略 12.4如何建立安全的单机系统 12.4.1打牢基础 12.4.2选好工具 12.4.3注意方法 12.4.4应急措施 12.4.5自我提高 12.5企业用户防治策略 12.5.1如何建立防御计划 12.5.2执行计划 12.5.3恶意代码扫描引擎相关问题 12.5.4额外的防御工具 12.6未来的防范措施 12.7恶意代码犯罪相关法律法规基础 12.8习题 附录A计算机病毒相关网上资源 附录B相关法律法规 参考文献

    第5章特洛伊木马 视频讲解 古希腊士兵藏在高大的木马中潜入特洛伊城，采用里应外合的战术一举占领了特洛伊城。现在所讲的特洛伊木马侵入远程主机的方式在战术上与古希腊士兵的攻城方式相同。通过这样的解释相信大多数读者对木马入侵主机的方式有所领悟： 它就是通过某些手段潜入对方的计算机系统，并以种种隐蔽方式藏匿在系统中； 系统启动时，木马自动在后台隐蔽运行； 最终，这种程序以“里应外合”的工作方式，达到控制对方计算机、窃取关键信息等目的。 特洛伊木马和传统病毒的优选区别是表现欲望不强，通常只采取窃取的手段获取信息，因此，受害者很难发现特洛伊木马的踪迹。即使在反病毒软件日益强大的今天，特洛伊木马仍是非常大的安全隐患。绝大多数人不知道木马为何物，会给他们带来多大的危害，所以他们迄今仍不停地从不可信的站点下载可能捆绑了木马的文件。 本章将介绍木马的一些特征、木马入侵的一些常用技术，以及防范和清除方法。在本章的最后，还对几款常见木马程序的防范经验作了较为详细的说明。 本章学习目标 （1） 掌握特洛伊木马的概念。 （2） 掌握木马开发实例。 （3） 掌握木马的工作流程和关键技术。 （4） 掌握木马防范方法。 5.1基 本 概 念 5.1.1木马概述 木马的全称是“特洛伊木马”(Trojan Horse)，得名于原荷马史诗《伊利亚特》中的战争手段。在网络安全领域中，“特洛伊木马”是一种与远程计算机之间建立起连接，使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。 一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。 (1) 硬件部分。建立木马连接所必需的硬件实体。 ① 控制端： 对服务端进行远程控制的一方。 ② 服务端： 被控制端远程控制的一方。 ③ Internet： 控制端对服务端进行远程控制，数据传输的网络载体。 (2) 软件部分。实现远程控制所必需的软件程序。 ① 控制端程序： 控制端用以远程控制服务端的程序。 ② 木马程序： 潜入服务端内部，获取其操作权限的程序。 ③ 木马配置程序： 设置木马程序的端口号、触发条件、木马名称等，并使其在服务端藏得更隐蔽的程序。 (3) 具体连接部分。通过Internet在服务端和控制端之间建立一条木马通道所必需的元素。 ① 控制端IP和服务端IP： 即控制端和服务端的网络地址，也是木马进行数据传输的目的地。 ② 控制端端口和木马端口： 即控制端和服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。 木马是恶意代码的一种，Back Orifice(BO)、Netspy、Picture、Netbus、Asylum以及冰河、灰鸽子等这些都属于木马种类。综合现在流行的木马程序，它们都有以下基本特征。