计算机病毒与恶意代码 原理、技术及防范（第4版）pdf

计算机病毒与恶意代码 原理、技术及防范（第4版） 作者：刘功申，孟魁，王轶骏，姜开达，李生红

计算机病毒与恶意代码 原理、技术及防范（第4版） 出版社：清华大学出版社

计算机病毒与恶意代码 原理、技术及防范（第4版） 内容简介

本书详细介绍恶意代码（含传统计算机病毒）的基本原理和主要防治技术，深入分析和探讨恶意代码的产生机制、寄生特点、传播方式、危害表现以及防范和对抗等方面的技术，主要内容包括恶意代码的基本含义、恶意代码的理论模型、恶意代码的结构和技术特征分析、特洛伊木马、勒索软件、Linux系统下的恶意代码、蠕虫、移动终端恶意代码、恶意代码的查杀方法和防治技术，以及常用杀毒软件及其解决方案和恶意代码的防治策略等。

本书可作为高等院校信息安全专业和计算机相关专业的教材，也可供广大系统管理员、计算机安全技术人员参考。

计算机病毒与恶意代码 原理、技术及防范（第4版） 目录

第1章恶意代码概述

1.1为什么提出恶意代码的概念

1.2恶意代码的概念

1.3恶意代码的发展历史

1.3.1概念阶段

1.3.2朦胧阶段

1.3.3第一款真实恶意代码

1.3.4PC病毒

1.3.5蠕虫插曲

1.3.6走向战争

1.3.7对抗杀毒软件

1.3.8写病毒不再困难

1.3.9破坏硬件的病毒

1.3.10网络时代： 蠕虫

1.3.11网络时代： 木马

1.3.12网络时代： 工业互联网恶意代码

1.3.13网络时代： 物联网恶意代码

1.3.14网络时代： 勒索型恶意代码

1.4恶意代码的种类

1.5恶意代码的传播途径

1.6感染恶意代码的症状

1.6.1恶意代码的表现现象

1.6.2与恶意代码现象类似的硬件故障

1.6.3与恶意代码现象类似的软件故障

1.7恶意代码的命名规则

1.8恶意代码的最新趋势

1.9习题

第2章恶意代码模型及机制

2.1基本定义

2.2基于图灵机的传统计算机病毒模型

2.2.1随机访问计算机模型

2.2.2随机访问存储程序模型

2.2.3图灵机模型

2.2.4带后台存储的RASPM模型

2.2.5操作系统模型

2.2.6基于RASPM_ABS的病毒

2.3基于递归函数的计算机病毒的数学模型

2.3.1Adlemen病毒模型

2.3.2Adlemen病毒模型的分析

2.4Internet蠕虫传播模型

2.4.1SIS模型和SI模型

2.4.2SIR模型

2.4.3网络模型中蠕虫传播的方式

2.5恶意代码预防理论模型

2.6传统计算机病毒的结构和工作机制

2.6.1引导模块

2.6.2感染模块

2.6.3破坏模块

2.6.4触发模块

2.7习题

第3章传统计算机病毒

3.1引导型病毒编制技术

3.1.1引导型病毒编制原理

3.1.2引导型病毒实验

3.216位可执行文件病毒编制技术

3.2.116位可执行文件结构及运行原理

3.2.2COM文件病毒原理

3.2.3COM文件病毒实验

3.332位可执行文件病毒编制技术

3.3.1PE文件结构及其运行原理

3.3.2PE文件型病毒关键技术

3.3.3从Ring3到Ring0的简述

3.3.4PE文件格式实验

3.4宏病毒

3.4.1宏病毒的运行环境

3.4.2宏病毒的特点

3.4.3经典宏病毒

3.4.4Word宏病毒的工作机制

3.5综合实验

综合实验一： 32位文件型病毒实验

综合实验二： 类TaiWan No.1病毒实验

3.6习题

第4章Linux恶意代码技术

4.1Linux系统的公共误区

4.2Linux系统恶意代码的分类

4.3Shell恶意脚本

4.3.1Shell恶意脚本编制技术

4.3.2Shell恶意脚本实验

4.4ELF文件格式

4.5ELF格式文件感染原理

4.5.1无关ELF格式的感染方法

4.5.2利用ELF格式的感染方法

4.5.3高级感染技术

4.6Linux ELF病毒实例

4.6.1病毒技术汇总

4.6.2原型病毒实现

4.7综合实验

综合实验三： Linux ELF病毒实验

4.8习题

第5章特洛伊木马

5.1基本概念

5.1.1木马概述

5.1.2木马的分类

5.1.3远程控制、木马与病毒

5.1.4木马的工作流程

5.1.5木马的技术发展

5.2简单木马程序实验

5.2.1自动隐藏

5.2.2自动加载

5.2.3实现Server端功能

5.2.4实现Client端功能

5.2.5实施阶段

5.3木马程序的关键技术

5.3.1植入技术

5.3.2自启动技术

5.3.3隐藏技术

5.3.4远程线程插入实验

5.3.5其他技术

5.4木马防范技术

5.4.1防治特洛伊木马基本知识

5.4.2几种常见木马病毒的杀除方法

5.4.3已知木马病毒的端口列表

5.5综合实验

综合实验四： 网站挂马实验

综合实验五： BO2K木马实验

综合实验六： 木马病毒清除实验

5.6习题

第6章移动智能终端恶意代码

6.1移动终端恶意代码概述

6.2智能手机操作系统及其弱点

6.2.1智能手机操作系统

6.2.2手机操作系统的弱点

6.3移动终端恶意代码关键技术

6.3.1移动终端恶意代码传播途径

6.3.2移动终端恶意代码攻击方式

6.3.3移动终端恶意代码的生存环境

6.3.4移动终端设备的漏洞

6.4Android恶意功能开发实验

6.4.1Android短信拦截

6.4.2Android电话监听

6.5移动终端恶意代码实例

6.6移动终端恶意代码的防范

6.7移动终端安全防护工具

6.7.1国外移动终端安全防护工具

6.7.2国内移动终端安全防护工具

6.8综合实验

综合实验七： Android手机木马实验

6.9习题

第7章蠕虫

7.1蠕虫的基本概念

7.1.1蠕虫的分类

7.1.2蠕虫和其他恶意代码的关系

7.1.3蠕虫的危害

7.1.4“震网”蠕虫

7.2蠕虫的特征

7.3蠕虫病毒的机制

7.4基于RPC漏洞的蠕虫

7.4.1RPC漏洞

7.4.2冲击波病毒

7.4.3冲击波的shellcode分析

7.4.4冲击波实验

7.5综合实验

综合实验八： 基于U盘传播的蠕虫实验

7.6习题

第8章勒索型恶意代码

8.1勒索型恶意代码概述

8.1.1全球勒索型恶意代码

8.1.2勒索型恶意代码的攻击阶段

8.1.3勒索型恶意代码的特性

8.1.4勒索型恶意代码出现的原因

8.2勒索型恶意代码的历史与现状

8.2.1勒索型恶意代码的历史

8.2.2技术发展趋势

8.2.3最新勒索型恶意代码实例

8.2.4勒索型恶意代码加密算法

8.3WannaCry恶意代码分析

8.3.1基本模块

8.3.2详细过程

8.4HiddenTear源代码分析

8.4.1HiddenTear的代码特征

8.4.2HiddenTear关键代码分析

8.4.3HiddenTear加密的漏洞

8.5防范与应对策略

8.5.1增强安全意识

8.5.2备份重要文件

8.5.3网络流量的检测

8.5.4网络隔离措施

8.5.5更新软件和安装补丁

8.6综合实验

综合实验九： 勒索型恶意代码实验

8.7总结

8.8习题

第9章其他恶意代码

9.1流氓软件

9.1.1流氓软件的定义

9.1.2应对流氓软件的政策

9.1.3流氓软件的主要特征

9.1.4流氓软件的发展过程

9.1.5流氓软件的分类

9.2利用Outlook漏洞的恶意代码

9.2.1邮件型恶意代码的传播方式

9.2.2邮件型恶意代码的传播原理

9.2.3邮件型恶意代码的预防

9.3WebPage中的恶意代码

9.3.1脚本病毒的基本类型

9.3.2Web恶意代码的工作机制

9.3.3Web恶意代码实验

9.4僵尸网络

9.5Rootkit恶意代码

9.6高级持续性威胁

9.6.1APT的攻击过程

9.6.2APT的特征

9.6.3典型的APT案例

9.6.4APT的防范

9.7综合实验

综合实验十： 邮件型恶意代码实验

9.8习题

第10章恶意代码防范技术

10.1恶意代码防范技术的发展

10.2中国恶意代码防范技术的发展

10.3恶意代码防范思路

10.4恶意代码的检测

10.4.1恶意代码的检测技术

10.4.2恶意代码的检测方法

10.4.3自动检测程序核心部件

10.4.4恶意代码查找实验

10.5恶意代码的清除

10.5.1恶意代码清除的原理

10.5.2恶意代码的清除方法

10.6恶意代码的预防

10.6.1系统监控技术

10.6.2个人防火墙技术

10.6.3系统加固技术

10.7恶意代码的免疫

10.7.1传统恶意代码免疫方法

10.7.2人工免疫系统

10.8数据备份与数据恢复的意义

10.8.1数据备份

10.8.2数据恢复

10.8.3数据恢复工具

10.9综合实验

综合实验十一： 恶意代码检测实验(OAV)

10.10习题

第11章常用杀毒软件及其解决方案

11.1恶意代码防范产业发展

11.2国内外反病毒软件评测机构

11.2.1WildList

11.2.2AMTSO

11.2.3AVTest

11.2.4Virus Bulletin

11.2.5AVComparatives

11.2.6ICSA实验室

11.2.7中国反病毒软件评测机构

11.3国内外著名杀毒软件比较

11.3.1杀毒软件必备功能

11.3.2流行杀毒产品比较

11.3.3恶意代码防范产品的地缘性

11.4企业级恶意代码防治方案

11.4.1企业恶意代码防范需求

11.4.2企业网络的典型结构

11.4.3企业网络的典型应用

11.4.4恶意代码在网络上传播的过程

11.4.5企业网络恶意代码防范方案

11.5习题

第12章恶意代码防治策略

12.1恶意代码防治策略的基本准则

12.2国家层面上的防治策略

12.3单机用户防治策略

12.3.1一般技术措施

12.3.2个人用户上网基本策略

12.4如何建立安全的单机系统

12.4.1打牢基础

12.4.2选好工具

12.4.3注意方法

12.4.4应急措施

12.4.5自我提高

12.5企业用户防治策略

12.5.1如何建立防御计划

12.5.2执行计划

12.5.3恶意代码扫描引擎相关问题

12.5.4额外的防御工具

12.6未来的防范措施

12.7恶意代码犯罪相关法律法规基础

12.8习题

附录A计算机病毒相关网上资源

附录B相关法律法规

参考文献

计算机病毒与恶意代码 原理、技术及防范（第4版） 精彩文摘

第5章特洛伊木马

视频讲解

古希腊士兵藏在高大的木马中潜入特洛伊城，采用里应外合的战术一举占领了特洛伊城。现在所讲的特洛伊木马侵入远程主机的方式在战术上与古希腊士兵的攻城方式相同。通过这样的解释相信大多数读者对木马入侵主机的方式有所领悟： 它就是通过某些手段潜入对方的计算机系统，并以种种隐蔽方式藏匿在系统中； 系统启动时，木马自动在后台隐蔽运行； 最终，这种程序以“里应外合”的工作方式，达到控制对方计算机、窃取关键信息等目的。

特洛伊木马和传统病毒的最大区别是表现欲望不强，通常只采取窃取的手段获取信息，因此，受害者很难发现特洛伊木马的踪迹。即使在反病毒软件日益强大的今天，特洛伊木马仍是非常大的安全隐患。绝大多数人不知道木马为何物，会给他们带来多大的危害，所以他们迄今仍不停地从不可信的站点下载可能捆绑了木马的文件。

本章将介绍木马的一些特征、木马入侵的一些常用技术，以及防范和清除方法。在本章的最后，还对几款常见木马程序的防范经验作了较为详细的说明。

本章学习目标

（1） 掌握特洛伊木马的概念。

（2） 掌握木马开发实例。

（3） 掌握木马的工作流程和关键技术。

（4） 掌握木马防范方法。

5.1基 本 概 念

5.1.1木马概述

木马的全称是“特洛伊木马”(Trojan Horse)，得名于原荷马史诗《伊利亚特》中的战争手段。在网络安全领域中，“特洛伊木马”是一种与远程计算机之间建立起连接，使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。

一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。

(1) 硬件部分。建立木马连接所必需的硬件实体。

① 控制端： 对服务端进行远程控制的一方。

② 服务端： 被控制端远程控制的一方。

③ Internet： 控制端对服务端进行远程控制，数据传输的网络载体。

(2) 软件部分。实现远程控制所必需的软件程序。

① 控制端程序： 控制端用以远程控制服务端的程序。

② 木马程序： 潜入服务端内部，获取其操作权限的程序。

③ 木马配置程序： 设置木马程序的端口号、触发条件、木马名称等，并使其在服务端藏得更隐蔽的程序。

(3) 具体连接部分。通过Internet在服务端和控制端之间建立一条木马通道所必需的元素。

① 控制端IP和服务端IP： 即控制端和服务端的网络地址，也是木马进行数据传输的目的地。

② 控制端端口和木马端口： 即控制端和服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

木马是恶意代码的一种，Back Orifice(BO)、Netspy、Picture、Netbus、Asylum以及冰河、灰鸽子等这些都属于木马种类。综合现在流行的木马程序，它们都有以下基本特征。

1. 欺骗性

为了诱惑攻击目标运行木马程序，并且达到长期隐藏在被控制者机器中的目的，特洛伊木马采取了很多欺骗手段。木马经常使用类似于常见的文件名或扩展名(如dll、win、sys、explorer)的名称，或者仿制一些不易被人区别的文件名(如字母“l”与数字“1”、字母“o”与数字“0”)。它通常修改系统文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过保存在不同的路径之中。

还有的木马程序为了欺骗用户，常把自己设置成一个ZIP文件式图标，当用户一不小心打开它时，它就马上运行。以上这些手段是木马程序经常采用的，当然，木马程序编制者也在不断地研究、发掘新的方法。总之，木马程序是越来越隐蔽、越来越专业，所以有人称木马程序为“骗子程序”。

2. 隐蔽性

很多人分不清木马和远程控制软件，木马程序是驻留目标计算机后通过远程控制功能控制目标计算机。实际上它们两者的最大区别就在于是否隐蔽起来。例如，PC Anywhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类软件的服务器端在运行的时候应用各种手段隐藏自己，不可能出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们隐藏。木马的隐蔽性主要体现在以下两个方面。

（1） 木马程序不产生图标。它虽然在系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，防止被发现。

（2） 木马程序不出现在任务管理器中。它自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

3. 自动运行性

木马程序是一个系统启动时即自动运行的程序，所以它可能潜入在启动配置文件(如win.ini、system.ini、winstart.bat等)、启动组或注册表中。

4. 自动恢复功能

现在很多木马程序中的功能模块已不再由单一的文件组成，而是将文件分别存储在不同的位置。最重要的是，这些分散的文件可以相互恢复，以提高存活能力。

5. 功能的特殊性

一般来说，木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索缓存中的口令、设置口令、扫描目标计算机的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。

5.1.2木马的分类

根据木马程序对计算机的具体控制和操作方式，可以把现有的木马程序分为以下几类。

1. 远程控制型木马

远程控制型木马是现在最流行的木马。每个人都想有这样的木马，因为它们可以使控制者方便地想访问受害人的硬盘。远程控制木马可以使远程控制者在宿主计算机上做任意的事情。这种类型的木马有著名的BO和“冰河”等。

2. 发送密码型木马

发送密码型木马的目的是为了得到缓存的密码，然后将它们送到特定的Email地址。这种木马的绝大多数在Windows每次加载时自动加载，使用25号端口发送邮件。也有一些木马发送其他的信息，如ICQ相关信息等。如果用户有任何密码缓存在计算机的某些地方，这些木马将会对用户造成威胁。

3. 键盘记录型木马

键盘记录型木马的动作非常简单，它们唯一做的事情就是记录受害人在键盘上的敲击，然后在日志文件中检查密码。在大多数情况下，这些木马在Windows每次重启的时候加载，它们有“在线”和“下线”两种选项。当用“在线”选项的时候，它们知道受害人在线，会记录每一件事情。当用“下线”选项的时候，受害人做的每一件事情会被记录并保存在受害人的硬盘中等待传送。

4. 毁坏型木马

毁坏型木马的唯一功能是毁坏和删除文件，使得它们非常简单易用。它们能自动删除计算机上所有的DLL、EXE以及INI文件。这是一种非常危险的木马，一旦被感染，如果文件没有备份，毫无疑问，计算机上的某些信息将永远不复存在。

5. FTP型木马

FTP型木马在计算机系统中打开21号端口，让任何有FTP客户软件的人都可以在不用密码的情况下连上别人的计算机并自由上传和下载。

5.1.3远程控制、木马与病毒

远程控制软件可以为网络管理做很多工作，以保证网络和计算机操作系统的安全。这类程序的监听功能也是为了保证网络的安全而设计的。木马在技术上和远程控制软件基本相似。它们最大的区别就是木马具有隐蔽性而远程控制软件没有。例如，国内的血蜘蛛，国外的PC Anywhere等都是远程控制软件，这些软件的服务器端在目标计算机上运行时，目标计算机上会出现很醒目的标志。木马类软件的服务器端在运行的时候应用各种手段隐藏自己。

从计算机病毒的定义和特征可以看出，木马程序与病毒有十分明显的区别。最基本的区别就在于病毒有很强的传染性，而木马程序却没有。木马不能自行传播，而是依靠宿主以其他假象来冒充一个正常的程序。由于技术的综合利用，当前的病毒和木马已经融合在一起。例如，著名的木马程序YAI由于其中采用了病毒技术，差一点就成了第二个CIH病毒。反过来，计算机病毒也在向木马程序靠近，以便使自己具有远程控制功能。例如，“红色代码”病毒已经具有木马的远程控制功能。