计算机病毒原理及防范技术

本书的重要特点体现在编者在总结归纳出计算机病毒工作机制等共性原理的基础上，着重对目前流行的各种典型的计算机病毒的原理进行仔细的分析, 在内容的选取、概念的引入、文字的叙述以及例题和习题的选择等方面，都力求遵循面向应用、逻辑结构简明合理、由浅入深、深入浅出、循序渐进、便于自学的原则，突出其实用性与应用性。本书能使读者在较短时间内掌握计算机病毒的基础知识，既能使初学者快速入门，又能使具有一定基础的读者得到进一步提高。同时，每章后面都附有相应的练习题，以帮助读者对本章所学知识进一步理解和掌握。

21世纪是科学技术高速发展的信息时代，随着计算机及计算机网络的发展，伴随而来的计算机病毒的传播问题越来越引起人们的关注。尤其是近年来随着Internet的流行，有些计算机病毒借助网络爆发流行，这些新型病毒与以往的计算机病毒相比具有一些新的特点，给广大计算机用户带来了极大的损失，同时也给网络应用安全带来严峻的挑战。面对这种新的形势和挑战，加强对计算机病毒的了解和防治就显得尤为重要了。

计算机病毒防治是信息安全中非常重要的一个方面，计算机病毒也是引出信息安全问题的根本原因之一，所以计算机病毒的基本原理和计算机病毒防治的基本原理及方法是信息安全专业的学生必须了解和掌握的基本内容。全书共分10章，主要介绍计算机病毒的基本原理与计算机病毒防治的基本原理和方法。逐章内容简介如下：

第1章主要讲述计算机病毒的概念，主要包括计算机病毒的定义、特征、基本构造，计算机病毒的发展简史，对计算机病毒传播途径、生命周期进行分析，最后简述计算机病毒防治的基本方法。

第2章介绍基础知识，讲解有关计算机底层的最基本问题，包括计算机结构、汇编语言等知识。

第3章介绍计算机病毒基本机制，讨论有关计算机病毒的基本构成、作用方式等方面的内容。

第4～6章介绍在DOS、Windows环境下的病毒分析和编程技巧。

第7～10章介绍防治计算机病毒的基本技巧、理论模型及防治技术。

本书的重要特点体现在编者在总结归纳出计算机病毒工作机制等共性原理的基础上，着重对目前流行的各种典型的计算机病毒的原理进行仔细的分析, 在内容的选取、概念的引入、文字的叙述以及例题和习题的选择等方面，都力求遵循面向应用、逻辑结构简明合理、由浅入深、深入浅出、循序渐进、便于自学的原则，突出其实用性与应用性。本书能使读者在较短时间内掌握计算机病毒的基础知识，既能使初学者快速入门，又能使具有一定基础的读者得到进一步提高。同时，每章后面都附有相应的练习题，以帮助读者对本章所学知识进一步理解和掌握。

本书由王路群任主编，杨威、张松慧任副主编，袁晓曦、鄢军霞、库波、谢日星、余恒芳、张宇、肖奎、江骏等参加部分章节内容的编写，杨威、鄢军霞统编全稿。

由于编者水平有限，书中不妥或错误之处在所难免，望广大读者批评指正。

 

编 者

2009年1月

序
前言
 
第1章  计算机病毒概述 1
本章学习目标 1
1.1  计算机病毒概述 1
1.1.1  计算机病毒的定义 1
1.1.2  计算机病毒的特征 2
1.1.3  计算机病毒的基本构造 5
1.1.4  计算机病毒的生命周期 5
1.2  生物病毒和计算机病毒的比较 6
1.2.1  生物病毒概述 6
1.2.2  生物病毒和计算机病毒的联系与区别 7
1.3  计算机病毒分类 9
1.3.1  按计算机病毒寄生方式和感染
      途径分类 9
1.3.2  按计算机病毒攻击的操作
       系统分类 10
1.3.3  按计算机病毒攻击的计算机
      类型分类 10
1.3.4  按计算机病毒的链接方式分类 11
1.3.5  按计算机病毒的表现（破坏）
      情况分类 11
1.3.6  按计算机病毒的传播媒介分类 12
1.4  计算机病毒的传播途径 12
1.5  计算机病毒的危害与症状 14
1.5.1  计算机病毒的危害 14
1.5.2  计算机病毒的发作症状 15
1.6  计算机病毒及其他破坏性程序演化历史 17
1.6.1  病毒的发展过程 17
1.6.2  病毒的发展阶段 19
1.6.3  当前流行的蠕虫病毒的发展 21
1.6.4  计算机病毒的发展趋势 23
1.7  计算机病毒的基本防治 24
习题 25
第2章  基础知识 26
本章学习目标 26
2.1  磁盘结构与管理 26
2.1.1  硬盘结构 26
2.1.2  主引导扇区 27
2.1.3  硬盘分区表的结构 28
2.1.4  扩展分区 28
2.2  文件系统 29
2.2.1  FAT 29
2.2.2  簇和FAT32 30
2.2.3  FAT16 和FAT32的比较 30
2.2.4  NTFS 31
2.2.5  进阶FAT 32
2.3  汇编语言和接口基础 34
2.3.1  汇编语言中的约定符号说明 35
2.3.2  8086系列CPU基本结构 35
2.3.3  执行部件 36
2.3.4  总线接口部件 37
2.3.5  寄存器组 38
2.3.6  分段的问题和20位物理地址的形成 41
2.3.7  寻址方式 43
2.3.8  常用机器指令 45
2.4  计算机引导过程 50
2.5  COM和EXE文件结构 52
习题 56
第3章  计算机病毒基本机制 57
本章学习目标 57
3.1  计算机病毒的5种状态 57
3.2  计算机病毒的结构和3种机制 58
3.3  感染机制 60
3.3.1  感染目标和感染过程 60
3.3.2  感染长度和感染次数 64
3.3.3  引导型病毒感染方式 66
3.3.4  寄生式感染 67
3.3.5  插入式和逆插入式感染 69
3.3.6  滋生和破坏性感染 70
3.3.7  链式感染 71
3.3.8  无入口感染 72
3.3.9  对目标文件、库文件和源代码
      的感染 72
3.3.10  混合感染和交叉感染 72
3.3.11  零长度感染 73
3.4  触发机制 73
3.4.1  触发条件 74
3.4.2  时间触发和操作触发 74
3.4.3  启动触发 78
3.4.4  中断触发 78
3.4.5  感染触发 79
3.4.6  其他触发方式 79
3.5  破坏机制 80
3.5.1  对文件的破坏 80
3.5.2  对系统的破坏 81
3.5.3  对内存的破坏 82
3.5.4  对硬件的破坏 82
3.5.5  混合攻击方式 82
3.5.6  其他攻击方式 82
习题 83
第4章  DOS病毒解析 84
本章学习目标 84
4.1  引导型病毒 84
4.1.1  引导型病毒原理 84
4.1.2  大麻病毒解析 87
4.1.3  大麻病毒源代码 88
4.2  文件型病毒 96
4.2.1  文件型病毒原理 96
4.2.2  文件型病毒实例??CIH病毒 96
4.2.3  CIH病毒源代码 98
4.3  混合型病毒 115
习题 116
第5章  Windows病毒解析 117
本章学习目标 117
5.1  Win32 PE病毒原理 117
5.1.1  重定位问题 117
5.1.2  获取API地址问题 119
5.1.3  文件搜索问题 119
5.1.4  病毒常用API函数 120
5.2  脚本病毒 123
5.2.1  VBS和WSH概述 124
5.2.2  脚本病毒原理和特点 127
5.2.3  简单脚本病毒的实现 128
5.2.4  脚本病毒防范措施 131
5.3  宏病毒 132
5.3.1  模板和宏 132
5.3.2  宏病毒原理 133
5.3.3  简单宏病毒的程序 133
5.3.4  宏病毒一般对策 136
5.4  网页病毒 137
5.4.1  网页病毒原理 137
5.4.2  在一个网页中嵌入病毒的实例 138
5.4.3  网页病毒的防范措施 141
习题 141
第6章  其他破坏性程序 142
本章学习目标 142
6.1  木马程序 142
6.1.1  木马概述 142
6.1.2  木马原理 145
6.1.3  典型木马实例 152
6.1.4  木马的预防和清除 154
6.2  蠕虫 157
6.2.1  蠕虫简介 157
6.2.2  蠕虫的分类 158
6.2.3  蠕虫的工作原理 160
6.2.4  蠕虫的行为特征 162
6.2.5  蠕虫实例 163
6.2.6  蠕虫的防治 169
6.3  邮件炸弹 170
6.3.1  邮件炸弹的概述 170
6.3.2  邮件炸弹的原理 171
6.3.3  邮件炸弹的防御 173
6.3.4  垃圾邮件 175
习题 176
第7章  计算机病毒基本技巧 177
本章学习目标 177
7.1  病毒隐藏技巧 177
7.1.1  引导型病毒的隐藏技巧 178
7.1.2  文件型病毒的隐藏技巧 178
7.1.3  宏病毒的隐藏技巧 180
7.1.4  进程隐藏 180
7.2  病毒简单加密 181
7.3  病毒的多态 181
7.3.1  多态性的级别 183
7.3.2  多态病毒的原理 183
7.3.3  多态病毒的对抗 188
7.4  花指令和变形术 188
7.4.1  花指令 188
7.4.2  变形技术 190
7.5  异常处理 191
7.5.1  异常处理的方式 191
7.5.2  异常处理的过程 191
7.5.3  异常处理的参数 193
习题 195
第8章  计算机病毒理论模型 196
本章学习目标 196
8.1  基于图灵机的病毒模型 196
8.1.1  RAM模型 196
8.1.2  RASPM模型 198
8.1.3  图灵机模型 198
8.1.4  RASPM-ABS模型和基于此的病毒 201
8.1.5  操作系统模型 209
8.2  基于递归函数的病毒模型 211
8.2.1  Adleman病毒模型 211
8.2.2  Adleman病毒模型解析 212
8.3  蠕虫传播模型 213
8.3.1  SIS模型和SI模型 217
8.3.2  SIR模型 217
8.3.3  蠕虫在网络中的传播方式 219
8.3.4  SI模型的仿真 220
8.3.5  SIS模型的仿真 222
8.3.6  SIR模型的仿真 224
习题 225
第9章  其他平台的病毒 226
本章学习目标 226
9.1  其他平台病毒的概述 226
9.2  Mac OS环境下的病毒 228
9.3  Shell脚本及病毒 232
9.4  伪造的库函数 236
9.5  基于ELF的计算机病毒 237
9.5.1  代码段和数据段 238
9.5.2  5种感染方式 242
9.5.3  Linux平台下的病毒 250
9.6  移动设备病毒 254
习题 259
第10章  病毒对抗技术 260
10.1  病毒的检测技术 260
10.1.1  危险信号 260
10.1.2  特征值检测技术 262
10.1.3  行为监测技术 265
10.1.4  校验检测技术 266
10.1.5  启发式扫描 271
10.1.6  虚拟机技术 274
10.2  病毒的清除 275
10.2.1  引导型病毒的清除 276
10.2.2  文件型病毒的清除 277
10.2.3  宏病毒的清除 278
10.2.4  病毒的去激活 281
10.3  病毒防御技术 281
10.3.1  病毒入侵途径分析 281
10.3.2  病毒的预防措施及方法 282
10.3.3  数字免疫 285
10.3.4  防火墙和防毒软件 288
10.4  病毒样本的获取方法 291
10.4.1  企业获取方法和个人获取
       方法的异同 291
10.4.2  脚本病毒样本的提取 293
10.4.3  宏病毒样本的提取 295
10.4.4  PE病毒样本的提取 295
习题 298
附录1  常用中断 300
附录2  分区类型表 306
附录3  特殊内存地址及作用 308
附录4  常见病毒及发作时间或条件 312
参考文献 314