计算机病毒分析与防范大全(第2版)

图书信息作者：韩筱卿王建锋钟玮等编著

出版社：电子工业出版社

出版时间： 2008-11-1

页数： 528页

开本： 16开

ISBN 9787121074714

分类：图书 >> 计算机>>信息安全

估价：49.80元

内容简介本书是作者在信息安全领域多年经验的总结和提炼。本书从计算机病毒的定义及特征开始，将目前发现的所有计算机病毒加以分类，总结出每一类病毒的共性和特征，提出具有针对性的防范建议，以便普通读者揭开病毒的神秘面纱，构建自己的防范体系。

本书适合计算机安全领域的从业者及爱好者阅读，对计算机普通用户更深入地了解计算机病毒也有莫大的帮助。

作者简介

韩筱卿，1971年生，现任北京瑞星公司副总裁。从1995年开始涉足计算机反病毒技术研究领域；1997年，参与开发的瑞星杀毒软件第一代产品获中国国家科委（现科技部）国家科技成果奖；参与了CIH病毒、BO黑客、红色代码、尼姆达、Happy Time等多种典型流行病毒的解决处理过程。2000年组织筹备成立了瑞星数据修复中心，经过多年的发展，使之成为计算机用户数据灾难恢复的首选之地。先后在清华大学、北京大学、北京理工大学、北京航空航天大学、上海同济大学、四川科技大学等多所高校做关于计算机反病毒技术的专题报告。

王建锋，1971年生，现任北京瑞星公司客户服务总经理。多年来一直从事反病毒技术研究及技术支持工作。2000年以来，主要负责重大恶性计算机病毒的应急处理工作，组织并参与创建瑞星客户服务中心呼叫中心系统及计算机病毒应急处理平台，在新型病毒预警、分析以及反病毒策略研究等领域具有丰富的经验。

钟玮，1976年生，现任北京瑞星公司客户服务副总经理兼数据安全部经理，全面负责信息安全增值服务的管理与拓展工作。2002年以来，参与国务院新闻办、港澳办、中组部、华远集团等国内20余家政府部门及大型企业信息安全整体解决方案及安全外包方案的制订与实施；为中粮集团、中央电视台、微软公司、国务院中直管理局、联合国驻京机构等30余家重点单位长期提供数据安全、数据恢复咨询及数据安全管理项目实施；多次组织并参与信息产业部电子教育中心、清华大学、中科院计算所等国内权威机构信息安全培训项目的实施，具有丰富的信息安全项目实践经验。

序计算机病毒是一个社会性的问题，仅靠信息安全厂商研发的安全产品而没有全社会的配合，是无法有效地建立信息安全体系的。因此，面向全社会普及计算机病毒的基础知识，增强大家的病毒防范意识，“全民皆兵”并配合适当的反病毒工具，才能真正地做到防患于未然。我们很高兴地看到战斗在反病毒领域第一线的专业人士，将自己多年的反病毒经验加以总结，与大家共享，帮助普通的计算机使用者揭开计算机病毒的神秘面纱，这无疑是一件有利于促进信息化发展的好事情。

这本书实用性比较强，较为全面地介绍了计算机病毒的基本知识，分析了典型病毒的特征，很适合初中级水平的计算机使用者参考。希望这本书的发行，能够在普及计算机防病毒知识方面发挥积极的作用，并根据实际情况不断更新，将最新的技术和发展趋势带给广大的读者。

瑞星公司董事长

王莘

2005年11月于北京

再版前言距离本书第1版的出版，时间已经过去了两年，许许多多新的病毒和入侵方式以更巧妙、更隐蔽的手段威胁着我们计算机的安全。计算机病毒技术在不断进步，我们对病毒的认识和防范水平也需要有相应的提高。因此，在众多热心读者朋友的支持和鼓励下，《计算机病毒分析与防范大全（第2版）》问世了。

与第1版相比，第2版总的篇幅有所增加。第2版新增了有关熊猫烧香、七月杀手、新CIH、魔波蠕虫、灰鸽子等目前流行病毒的相关内容，对病毒的发作现象和处理方法进行了详细的介绍。

除了本书配套光盘的现有内容，根据最新的计算机病毒疫情变化，笔者将提供更多的病毒查杀工具和安全知识等与读者分享，这些内容会不定期地进行更新，请读者访问博文视点网站的“图书资源下载”专区进行下载。

从Apple II里的恶作剧Elk Cloner和最早攻击PC的病毒Brain开始，病毒一步一步走进了计算机世界，莫里斯蠕虫、爱虫、CIH、尼姆达、欢乐时光、灰鸽子、熊猫烧香……危机一次次来袭，又一次次地被化解，这样的“战争”，也一直在继续。如果能够通过本书，使读者在与计算机病毒的斗争中取得主动并获得最终的胜利，对笔者来说，将是最大的欣慰。

作者

2008年9月12日

写在前面提起计算机病毒，绝大多数计算机的使用者都会深恶痛绝，因为没有“中过招”的人已经是凤毛麟角了。但在谈虎色变之余，很多人对计算机病毒又充满了好奇，对病毒的制造者既痛恨又敬畏。这种复杂的感情实际上很容易理解，就像古人面对大自然的感情一样，因为无法解释风雨雷电，也就只能制造神话，崇拜图腾了。

计算机病毒当然不值得崇拜，它给社会信息化的发展制造了太多的麻烦，每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元。但同时，它也催化了一个新兴的产业——信息安全产业。反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术……这一根根救命稻草，使很多企业和个人用户免遭侵害，在很大程度上缓解了计算机病毒造成的巨大破坏，同时，越来越多的企业加入到信息安全领域，同层出不穷的黑客和病毒制造者做着顽强的斗争。

但稻草毕竟是稻草，救得一时不一定救得一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发，无论从产品线还是从技术角度来讲，都已经达到了相当完善的程度。但是，再好的产品，如果不懂得如何去使用，发挥不了产品真正的优势，又与稻草有什么区别呢？很多用户在被病毒感染以后才想起购买杀毒软件，查杀以后就再也不管，没有定期的升级和维护，更没有根据自己的使用环境的特点，制定相应的防范策略，可以说把产品的使用效率降到了最低，这样的状态，怎能应付日新月异的病毒攻击呢？

那么，如何将手中的稻草变成强大的武器，当危险临近时，能够主动出击，防患于未然呢？笔者认为，关键的问题在于对“对手”的了解。正如我们上面举过的例子，我们现在之所以对很多自然现象习以为常，是因为我们对其成因有了最基础的了解，这样才可能未雨绸缪，配合手中的工具，防患于未然。

本书的创作初衷正是将笔者在信息安全领域多年的经验加以总结、提炼，从计算机病毒的定义及特征开始讲起，将病毒的起源、发展历史、发展趋势及造成的危害系统而全面地介绍给读者，并将目前发现的所有计算机病毒加以分类，总结出每一类病毒的共性和特征，提出具有针对性的防范建议，以便于普通读者揭开病毒的神秘面纱，构建自己的防范体系。同时，本书还根据杀毒软件行业的特点，以专业的视角介绍了反病毒行业病毒分析的流程，帮助读者构建自己的病毒分析实验室，从而对计算机病毒进行彻底的剖析。此外，为了更好地将书中提到的知识和技能运用到实践中，我们还特别地为初学者设计了非常实用的小实验，并对实验过程进行了必要的演示，以帮助大家更好地理解计算机病毒的原理。

魔高一尺，道高一丈。我们相信，只要知己知彼，我们一定会在与计算机病毒进行的这场持久战中取得最终的胜利！

读者交流信箱：AntiVR@hotmail.com

作者

2005年12月8日

目录第一篇认识计算机病毒

第1章什么是计算机病毒 2

1.1 计算机病毒的定义 2

1.2 计算机病毒的特征 3

1.3 计算机病毒的结构 8

1.3.1 计算机病毒的程序结构 8

1.3.2 计算机病毒的存储结构 8

1.4 计算机病毒的分类 10

1.4.1 根据寄生的数据存储方式划分 11

1.4.2 根据感染文件类型划分 12

1.4.3 根据病毒攻击的操作系统划分 12

1.4.4 根据病毒攻击的计算机类型划分 13

1.4.5 根据病毒的链接方式划分 13

1.4.6 根据病毒的破坏情况划分 14

1.4.7 根据传播途径划分 14

1.4.8 根据运行的连续性划分 15

1.4.9 根据激发机制划分 15

1.4.10 根据病毒自身变化性划分 15

1.4.11 根据与被感染对象的关系划分 15

1.4.12 其他几种具有代表性的病毒类型 16

1.5 计算机病毒的入侵方式 17

1.6 计算机病毒的命名 17

1.7 计算机病毒的生命周期 18

1.8 计算机病毒的传播 19

第2章计算机病毒发展史 20

2.1 计算机病毒的起源 20

2.2 计算机病毒的发展阶段 26

2.2.1 根据病毒的特点划分 26

2.2.2 根据病毒的技术性划分 28

2.3 计算机病毒大事记 30

2.4 计算机病毒的发展趋势 39

2.4.1 智能化 39

2.4.2 人性化 39

2.4.3 隐蔽化 39

2.4.4 多样化 39

2.4.5 专用病毒生成工具的出现 40

2.4.6 攻击反病毒软件 40

第3章计算机病毒的危害 41

3.1 计算机病毒编制者的目的 41

3.1.1 恶作剧（开玩笑） 41

3.1.2 报复心理 42

3.1.3 保护版权 43

3.1.4 娱乐需要 43

3.1.5 政治或军事目的 43

3.2 计算机病毒对计算机应用的影响 44

3.2.1 破坏数据 44

3.2.2 占用磁盘存储空间 44

3.2.3 抢占系统资源 45

3.2.4 影响计算机运行速度 45

3.2.5 计算机病毒错误与不可预见的危害 45

3.2.6 计算机病毒的兼容性对系统运行的影响 45

3.2.7 计算机病毒给用户造成严重的心理压力 46

3.3 计算机病毒发作症状 46

3.4 计算机故障与病毒现象的区分 47

3.4.1 计算机病毒的现象 48

3.4.2 与病毒现象类似的硬件故障 48

3.4.3 与病毒现象类似的软件故障 49

3.5 计算机病毒造成的经济损失 50

3.6 计算机病毒在军事上的影响 53

3.6.1 直面军事信息安全的挑战 53

3.6.2 高度依赖信息系统的美军青睐计算机病毒武器 55

3.6.3 防患未然要从细节做起 56

3.7 计算机病毒的预防 56

第二篇计算机病毒分析

第4章追根溯源——传统计算机病毒概述 60

4.1 早期的DOS病毒介绍 60

4.1.1 DOS简介 60

4.1.2 DOS病毒 60

4.2 Office杀手——宏病毒 61

4.2.1 什么是“宏” 61

4.2.2 宏病毒的定义 62

4.2.3 宏病毒的特点 63

4.2.4 宏病毒的发作现象及处理 63

4.2.5 典型的宏病毒——“七月杀手”病毒 65

4.2.6 防范宏病毒的安全建议 66

4.3 变化多端的文件型病毒 67

4.3.1 文件型病毒的复制机制 67

4.3.2 文件型病毒的分类 68

4.3.3 文件型病毒的发展史 68

4.3.4 文件型病毒简介 70

4.3.5 典型的文件型病毒——

4.3.5 WIN95.CIH病毒解剖 73

4.3.6 新CIH病毒（WIN32.Yami）剖析 77

4.4 攻击磁盘扇区的引导型病毒 77

4.4.1 引导型病毒背景介绍 77

4.4.2 引导型病毒的主要特点和分类 80

4.4.3 引导型病毒的发作现象及处理 80

4.4.4 典型的引导型病毒——WYX病毒解析 83

4.4.5 防范引导区病毒的安全建议 86

第5章互联网时代的瘟疫——蠕虫病毒 87

5.1 背景介绍 87

5.1.1 蠕虫病毒的起源 88

5.1.2 蠕虫病毒与普通病毒的比较 89

5.1.3 蠕虫病毒造成的破坏 89

5.1.4 蠕虫病毒的特点和发展趋势 89

5.1.5 蠕虫病毒的传播 90

5.2 病毒的特点及危害 90

5.2.1 蠕虫病毒的特点 90

5.2.2 蠕虫病毒造成的社会危害 93

5.3 蠕虫病毒的发作现象及处理方法 94

5.3.1 尼姆达（Nimda）病毒 95

5.3.2 “魔波（Worm.Mocbot.a）”蠕虫病毒 98

5.3.3 SCO炸弹（Worm.Novarg） 101

5.3.4 恶性蠕虫病毒“斯文（Worm.Swen）” 101

5.4 典型蠕虫病毒解析 103

5.4.1 “熊猫烧香”病毒解析 103

5.4.2 Worm.Win32.WebDown.a 112

5.5 防范蠕虫病毒的安全建议 115

5.6 蠕虫病毒防范实验 116

5.6.1 实验目的 117

5.6.2 实验大纲 117

5.6.3 实验工具软件 117

5.6.4 实验内容 117

5.6.5 实验步骤 120

第6章隐藏的危机——木马病毒分析 121

6.1 木马病毒的背景介绍 121

6.2 木马病毒的隐藏性 122

6.3 典型的木马病毒 127

6.3.1 灰鸽子（Backdoor.Huigezi） 127

6.3.2 马吉斯蠕虫（Worm.Magistr.g） 131

6.4 防范木马病毒的安全建议 133

第7章网页冲浪的暗流——网页脚本病毒分析 135

7.1 脚本病毒的背景知识介绍 135

7.1.1 VBScript概述 135

7.1.2 “WSH”概述 136

7.1.3 有关注册表的基本知识 136

7.2 脚本病毒的特点 137

7.3 脚本病毒的发作现象及处理 138

7.4 典型脚本病毒——欢乐时光病毒解析 143

7.4.1 HAPPYTIME病毒分析 143

7.4.2 情人谷恶意网页分析 146

7.5 防范脚本病毒的安全建议 149

7.6 脚本及恶意网页实验 151

7.6.1 实验目的 151

7.6.2 实验内容 151

7.6.3 实验用工具软件及操作系统 151

7.6.4 实验背景知识及说明 151

7.6.5 实验流程 157

7.7 注册表维护实验 159

7.7.1 实验目的 159

7.7.2 实验内容 159

7.7.3 实验工具软件 159

7.7.4 实验步骤 159

7.7.5 实验流程 168

第8章不要和陌生人说话——即时通信病毒分析 170

8.1 即时通信病毒背景介绍 170

8.1.1 什么是IM 170

8.1.2 主流即时通信软件简介 170

8.1.3 IM软件的基本工作原理 172

8.2 即时通信病毒的特点及危害 173

8.3 即时通信病毒发作现象及处理方法 175

8.4 典型的即时通信病毒——“MSN性感鸡”解析 178

8.5 防范即时通信病毒的安全建议 180

第9章无孔不入——操作系统漏洞攻击病毒分析 181

9.1 漏洞攻击病毒背景介绍 181

9.2 漏洞攻击病毒造成的危害 182

9.2.1 冲击波病毒造成的危害 182

9.2.2 振荡波病毒造成的危害 183

9.2.3 严防微软MS05-040漏洞 183

9.3 漏洞攻击病毒发作现象及处理 184

9.3.1 红色代码发作现象 184

9.3.2 冲击波病毒的发作现象 185

9.3.3 振荡波病毒发作现象 189

9.3.4 针对ARP协议安全漏洞的网络攻击 191

9.4 防范漏洞攻击病毒的安全建议 196

第10章病毒发展的新阶段——移动通信病毒分析 198

10.1 移动通信病毒背景介绍 198

10.2 移动通信病毒的特点 200

10.2.1 手机病毒的传播途径 200

10.2.2 手机病毒的传播特点 202

10.2.3 手机病毒的危害 202

10.3 移动通信病毒的发作现象 202

10.4 典型手机病毒分析 204

10.4.1 手机病毒发展过程 204

10.4.2 典型手机病毒Cabir 205

10.5 防范移动通信病毒的安全建议 205

第11章防人之心不可无——网络钓鱼概述 207

11.1 网络钓鱼背景介绍 207

11.2 网络钓鱼的手段及危害 208

11.2.1 利用电子邮件“钓鱼” 208

11.2.2 利用木马程序“钓鱼” 208

11.2.3 利用虚假网址“钓鱼” 209

11.2.4 假冒知名网站钓鱼 209

11.2.5 其他钓鱼方式 210

11.3 防范网络钓鱼的安全建议 211

11.3.1 金融机构采取的网上安全防范措施 211

11.3.2 对于个人用户的安全建议 212

第12章强买强卖——恶意软件概述 213

12.1 恶意软件背景介绍 213

12.2 恶意软件的分类及其恶意行径 214

12.3 恶意软件的危害 215

12.4 防范恶意软件的安全建议 216

12.4.1 IE插件管理专家Upiea 216

12.4.2 超级兔子魔法设置 217

12.4.3 瑞星卡卡安全助手 217

12.4.4 微软反间谍软件（Giant Antispyware） 218

12.5 典型恶意软件分析 219

12.5.1 病毒感染过程 219

12.5.2 清除方法 221

第13章其他操作系统病毒 223

13.1 操作系统概述 223

13.1.1 Linux操作系统 223

13.1.2 苹果公司的MAC OS 224

13.2 Linux与Unix病毒 225

13.3 MAC OS系统病毒 226

13.4 其他新型病毒简介 226

第三篇反病毒技术

第14章反病毒技术发展趋势 228

14.1 反病毒保护措施日益全面和实时 228

14.2 反病毒产品体系结构面临突破 229

14.3 对未知病毒的防范能力日益增强 229

14.4 企业级别、网关级别的产品越来越重要 230

14.5 关注移动设备和无线产品的安全 230

第15章基础知识——常见文件格式 231

15.1 病毒与文件格式 231

15.1.1 常见的文件格式 231

15.1.2 文档能够打开但无法正常显示时采取的措施 239

15.1.3 文档打不开时采取的措施 240

15.1.4 常见的文件后缀 241

15.1.5 双扩展名——病毒邮件所带附件的特点之一 247

15.2 PE文件格式 248

15.2.1 PE文件格式一览 248

15.2.2 检验PE文件的有效性 249

15.2.3 File Header 250

15.2.4 OptionalHeader 251

15.2.5 Section Table 252

15.2.6 Import Table（引入表） 253

15.2.7 Export Table（引出表） 255

第16章搭建病毒分析实验室 257

16.1 神奇的虚拟机 257

16.1.1 硬件要求与运行环境 257

16.1.2 VMware 258

16.1.3 Virtual PC 262

16.1.4 VMWare与Virtual PC的主要区别 267

16.1.5 病毒“蜜罐” 268

16.2 常用病毒分析软件 269

16.2.1 系统监测工具 269

16.2.2 文本编辑器 290

16.2.3 综合软件 297

16.3 静态分析技术 306

16.3.1 基础知识 306

16.3.2 W32Dasm简介 307

16.3.3 IDA Pro 315

16.3.4 破解教程 318

16.4 动态分析技术 320

16.4.1 SoftICE和TRW2000的安装与配置 320

16.4.2 SoftICE与TRW2000操作入门 330

16.4.3 常用的Win32 API函数 336

16.4.4 破解实例 338

第17章计算机病毒惯用技术解密 341

17.1 压缩与脱壳 341

17.1.1 自动脱壳 341

17.1.2 手动脱壳 350

17.1.3 脱壳技巧 353

17.2 邮件蠕虫 361

17.2.1 邮件蠕虫的局限与解决方法 361

17.2.2 垃圾邮件的关键技术 364

17.3 追踪邮件来源 366

17.3.1 邮件头分析 366

17.3.2 邮件传输过程 367

17.3.3 邮件头分析实例 368

17.3.4 邮件伪造 370

17.3.5 垃圾邮件分析 370

17.3.6 总结 372

17.4 病毒分析常用工具实验 373

17.4.1 实验目的 373

17.4.2 实验内容 373

17.4.3 实验工具 373

17.4.4 实验步骤 374

17.4.5 实验流程 379

第18章捕捉计算机病毒 381

18.1 计算机病毒的症状 381

18.1.1 计算机病毒发作前的表现现象 381

18.1.2 计算机病毒发作时的表现现象 383

18.1.3 计算机病毒发作后的表现现象 385

18.2 Windows的自启动方式 386

18.2.1 自启动目录 386

18.2.2 系统配置文件启动 387

18.2.3 注册表启动 390

18.2.4 其他启动方式 392

18.2.5 自启动方式 394

18.3 名词解释 396

18.3.1 恶意软件 396

18.3.2 恶意软件类别详述 397

18.3.3 恶意软件的特征 398

18.3.4 携带者对象 398

18.3.5 传输机制 399

18.3.6 负载 400

18.3.7 触发机制 402

18.3.8 防护机制 402

第19章病毒代码分析 404

19.1 2003蠕虫王（SQL Server蠕虫） 404

19.2 “振荡波”（Worm.Sasser）病毒代码 406

19.3 “莫国防”病毒（win32.mgf）的源程序 412

19.3.1 相关技术 412

19.3.2 危害估计 412

19.3.3 源代码分析 412

19.4 木马下载器 438

19.5 熊猫烧香的代码 460

第20章反病毒技术剖析 467

20.1 病毒诊治技术剖析 467

20.1.1 反病毒技术概述 467

20.1.2 病毒诊断技术 468

20.1.3 虚拟机在反病毒技术中的应用 473

20.2 反病毒引擎技术剖析 476

20.2.1 反病毒引擎在整个杀毒软件中的地位 476

20.2.2 反病毒引擎的发展历程 477

20.2.3 反病毒引擎的体系架构 478

20.2.4 反病毒引擎的技术特征 478

20.2.5 反病毒引擎的发展方向 481

第四篇反病毒产品及解决方案

第21章中国反病毒产业发展概述 484

第22章主流反病毒产品特点介绍 489

22.1 瑞星杀毒软件 489

22.2 江民杀毒软件 491

22.3 金山毒霸 492

22.4 诺顿杀毒软件 493

22.5 卡巴斯基杀毒软件 493

第23章反病毒安全体系的建立 495

23.1 建设安全体系遵循的原则 495

23.1.1 法律 495

23.1.2 思想意识 497

23.1.3 技术手段 497

23.1.4 管理手段 498

23.1.5 技能手段 499

23.2 如何选择反病毒产品 500

23.2.1 使用方面 500

23.2.2 服务方面 500

附录A 计算机安全法规 501

附录B 新病毒处理流程 512