中文名: 計算機病毒防范藝術
原名: The Art of Computer Virus Research and Defense
作者: Peter Szor
譯者: 段海新
楊波
王德強
圖書分類: 網絡
資源格式: PDF
版本: 掃描版
出版社: 機械工業出版社
書號: 7111205561
發行時間: 2006年12月21日
地區: 大陸
語言: 簡體中文
簡介:



內容介紹：
　　本書作者是賽門鐵克(symantec)公司安全響應中心的首席安全架構師，他根據自己設計和改進norton antivirus系列產品及培訓病毒分析人員的過程中遇到的問題精心總結編寫了本書。本書最大的特色是大膽深入地探討了病毒知識的技術細節，從病毒的感染策略上深入分析病毒的復雜性，從文件、內存和網絡等多個角度討論病毒的感染技術，對過去20年來黑客們開發的各種病毒技巧進行了分類和講解，並介紹了代碼變形和其他新興病毒感染技術，展示了當前計算機病毒和防毒軟件的最新技術，向讀者傳授計算機病毒分析和防護的方法學。.
　　 本書可作為it和安全專業人士的權威指南，同時也適合作為大學計算機安全專業本科、研究生的參考教材。
　　 本書由symantec首席反病毒研究員執筆，是講述現代病毒威脅、防御技術和分析工具的權威指南。與多數講述計算機病毒的書籍不同，本書完全是一本為白帽子黑客 (即負責保護自己所在組織免受惡意代碼攻擊的it及安全專業人士) 編寫的參考書。作者系統地講述了反病毒技術的方方面面，包括病毒行為、病毒分類、保護策略、反病毒技術及蠕蟲攔截技術等。..
　　 書中介紹了目前最先進的惡意代碼技術和保護技術，提供充分的技術細節幫助讀者對付日益復雜的攻擊。書中包含大量關於代碼變形和其他新興技術方面的信息，學習這些知識可以讓讀者未雨綢缪，為應對未來的威脅提前做好准備。
　　 本書是目前已出版的同類書中對基本病毒分析技術講解最透徹和最實用的，從個人實驗室的創建到分析過程的自動化，對其中涉及的方方面面都作了描述。
內容截圖：

網盤下載
我的圖書館1
我的圖書館2
（長期更新各類圖書）



目錄:


譯者序.
作者介紹
前言
致謝
第一部分 攻擊者的策略
第1章 引言：自然的游戲 1
1.1 自我復制結構的早期模型 1
1.1.1 約翰·馮·諾伊曼：自我復制自動機理論 2
1.1.2 fredkin：重建結構 3
1.1.3 conway：生命游戲 4
1.1.4 磁芯大戰：程序對戰 6
1.2 計算機病毒的起源 10
1.3 自動復制代碼：計算機病毒的原理和定義 11
參考文獻 13
第2章 惡意代碼分析的魅力 14
2.1 計算機病毒研究的通用模式 16
2.2 反病毒防護技術的發展 16
2.3 惡意程序的相關術語 17
2.3.1 病毒 17
2.3.2 蠕蟲 17
.2.3.3 邏輯炸彈 18
2.3.4 特洛伊木馬 19
2.3.5 細菌 20
2.3.6 漏洞利用 20
2.3.7 下載器 20
2.3.8 撥號器 20
2.3.9 投放器 20
2.3.10 注入程序 21
2.3.11 auto-rooter 21
2.3.12 工具包(病毒生成器) 21
2.3.13 垃圾郵件發送程序 21
2.3.14 洪泛攻擊 22
2.3.15 擊鍵記錄器 22
2.3.16 rootkit 22
2.4 其他類別 23
2.4.1 玩笑程序 23
2.4.2 惡作劇：連鎖電子郵件 23
2.4.3 其他有害程序：廣告軟件和間諜軟件 24
2.5 計算機惡意軟件的命名規則 24
2.5.1 [family_name] 25
2.5.2 [malware_type]:// 25
2.5.3 [platform]/ 25
2.5.4 .[group_name] 26
2.5.5 [infective_length] 26
2.5.6 [variant] 26
2.5.7 [[devolution]] 26
2.5.8 [modifiers] 26
2.5.9 :[locale_specifier] 26
2.5.10 #[packer] 26
2.5.11 @m或@mm 26
2.5.12 ![vendor-specific_comment] 26
2.6 公認的平台名稱清單 27
參考文獻 29
第3章 惡意代碼環境 31
3.1 計算機體系結構依賴性 32
3.2 cpu依賴性 33
3.3 操作系統依賴性 34
3.4 操作系統版本依賴性 34
3.5 文件系統依賴性 35
3.5.1 簇病毒 35
3.5.2 ntfs流病毒 36
3.5.3 ntfs壓縮病毒 37
3.5.4 iso鏡像文件感染 37
3.6 文件格式依賴性 37
3.6.1 dos上的com病毒 37
3.6.2 dos上的exe病毒 37
3.6.3 16位windows和os/2上的ne病毒 38
3.6.4 os/2上的lx病毒 38
3.6.5 32位windows上的pe病毒 38
3.6.6 unix上的elf病毒 41
3.6.7 設備驅動程序病毒 41
3.6.8 目標代碼和庫文件病毒 42
3.7 解釋環境依賴性 42
3.7.1 微軟產品中的宏病毒 42
3.7.2 ibm系統中的rexx病毒 50
3.7.3 dec/vms上的dcl病毒 51
3.7.4 unix上的shell腳本(csh、ksh和bash) 51
3.7.5 windows系統中的vbscript病毒 52
3.7.6 批處理病毒 52
3.7.7 mirc、pirch腳本中的即時消息病毒 53
3.7.8 superlogo病毒 53
3.7.9 jscript病毒 55
3.7.10 perl病毒 55
3.7.11 用嵌入html郵件的jellyscript編寫的webtv蠕蟲 55
3.7.12 python病毒 56
3.7.13 vim病毒 56
3.7.14 emacs病毒 56
3.7.15 tcl病毒 56
3.7.16 php病毒 56
3.7.17 mapinfo病毒 57
3.7.18 sap上的abap病毒 57
3.7.19 windows幫助文件病毒——當你按下f1…… 57
3.7.20 adobe pdf 中的jscript威脅 58
3.7.21 applescript 的依賴性 58
3.7.22 ansi的依存關系 58
3.7.23 macromedia flash動作腳本(action-script)威脅 59
3.7.24 hypertalk腳本威脅 59
3.7.25 autolisp腳本病毒 60
3.7.26 注冊表依賴性 60
3.7.27 pif和lnk的依賴性 61
3.7.28 lotus word專業版中的宏病毒 61
3.7.29 amipro的文檔病毒 61
3.7.30 corel腳本病毒 61
3.7.31 lotus 1-2-3 宏的依賴性 62
3.7.32 windows安裝腳本的依賴性 62
3.7.33 autorun.inf和windows inifile依存性 62
3.7.34 html 依賴性 63
3.8 系統漏洞依賴性 63
3.9 日期和時間依賴性 63
3.10 jit依賴性：microsoft .net病毒 64
3.11 檔案文件格式依賴性 65
3.12 基於擴展名的文件格式依賴性 65
3.13 網絡協議依賴性 66
3.14 源代碼依賴關系 66
3.15 在mac和palm平台上的資源依賴性 68
3.16 宿主大小依賴性 68
3.17 調試器依賴性 69
3.18 編譯器和連接器依賴性 70
3.19 設備翻譯層依賴性 71
3.20 嵌入式對象插入依賴性 73
3.21 自包含環境的依賴性 73
3.22 復合病毒 74
3.23 結論 75
參考文獻 76
第4章 感染策略的分類 79
4.1 引導區病毒 79
4.1.1 主引導記錄感染技術 80
4.1.2 dos引導記錄感染技術 82
4.1.3 隨windows 95發作的引導區病毒 83
4.1.4 在網絡環境下對引導映像的可能攻擊 84
4.2 文件感染技術 84
4.2.1 重寫病毒 84
4.2.2 隨機重寫病毒 85
4.2.3 追加病毒 85
4.2.4 前置病毒 86
4.2.5 典型的寄生病毒 87
4.2.6 蛀穴病毒 88
4.2.7 分割型蛀穴病毒 88
4.2.8 壓縮型病毒 89
4.2.9 變形蟲感染技術 90
4.2.10 嵌入式解密程序技術 90
4.2.11 嵌入式解密程序和病毒體技術 91
4.2.12 迷惑性欺騙跳轉技術 92
4.2.13 入口點隱蔽病毒 92
4.2.14 未來可能的感染技術：代碼建造器 99
4.3 深入分析win32 病毒 99
4.3.1 win32 api及其支持平台 100
4.3.2 32位windows感染技術 102
4.3.3 win32和win64病毒：是針對microsoft windows設計的嗎 116
4.4 結論 118
參考文獻 118
第5章 內存駐留技術 120
5.1 直接感染型病毒 120
5.2 內存駐留病毒 120
5.2.1 中斷處理和鉤掛 121
5.2.2 鉤掛int 13h中斷例程(引導區病毒) 123
5.2.3 鉤掛int 21h中斷例程(文件型病毒) 124
5.2.4 dos環境常用的內存加載技術 127
5.2.5 隱藏型病毒 129
5.2.6 磁盤高速緩存和系統緩存感染 135
5.3 臨時內存駐留病毒 136
5.4 交換型病毒 137
5.5 進程病毒(用戶模式) 137
5.6 內核模式中的病毒(windows 9x /me) 137
5.7 內核模式中的病毒 (windows nt/2000/xp) 138
5.8 通過網絡傳播的內存注入病毒 139
參考文獻 140
第6章 基本的自保護策略 141
6.1 隧道病毒 141
6.1.1 通過掃描內存查找原中斷處理例程 141
6.1.2 跟蹤調試接口 141
6.1.3 基於代碼仿真的隧道技術 142
6.1.4 使用i/o端口直接訪問磁盤 142
6.1.5 使用未公開的函數 142
6.2 裝甲病毒 142
6.2.1 反反匯編 143
6.2.2 數據加密 143
6.2.3 使用代碼迷惑對抗分析 144
6.2.4 基於操作碼混合的代碼迷惑 145
6.2.5 使用校驗和 146
6.2.6 基於壓縮的隱蔽代碼 146
6.2.7 反跟蹤 147
6.2.8 抗啟發式檢測技術 152
6.2.9 抗仿真技術 158
6.2.10 抗替罪羊病毒 161
6.3 攻擊性的反制病毒 162
參考文獻 163
第7章 高級代碼演化技術和病毒生成工具 165
7.1 引言 165
7.2 代碼演化 165
7.3 加密病毒 166
7.4 寡形病毒 169
7.5 多態病毒 171
7.5.1 1260病毒 171
7.5.2 dark avenger病毒中的突變引擎(mte) 172
7.5.3 32位多態病毒 174
7.6 變形病毒 177
7.6.1 什麼是變形病毒 177
7.6.2 簡單的變形病毒 178
7.6.3 更加復雜的變形病毒和置換技術 179
7.6.4 置換其他程序：病毒機的終極版 181
7.6.5 高級變形病毒：zmist 182
7.6.6 { w32, linux} /simile：跨平台的變形引擎 185
7.7 病毒機 190
7.7.1 vcs 190
7.7.2 genvir 190
7.7.3 vcl 190
7.7.4 ps-mpc 191
7.7.5 ngvck 191
7.7.6 其他病毒機和變異工具 192
7.7.7 如何測試病毒機 193
參考文獻 193
第8章 基於病毒載荷的分類方法 195
8.1 沒有載荷 195
8.2 偶然破壞型載荷 196
8.3 非破壞型載荷 196
8.4 低破壞型載荷 197
8.5 強破壞型載荷 198
8.5.1 數據重寫型病毒 198
8.5.2 數據欺騙 199
8.5.3 加密數據的病毒：好壞難辨 200
8.5.4 破壞硬件 201
8.6 dos攻擊 201
8.7 竊取數據：用病毒牟利 203
8.7.1 網絡釣魚攻擊 203
8.7.2 後門 204
8.8 結論 205
參考文獻 205
第9章 計算機蠕蟲的策略 207
9.1 引言 .. 207
9.2 計算機蠕蟲的通用結構 208
9.2.1 目標定位 208
9.2.2 感染傳播 208
9.2.3 遠程控制和更新接口 208
9.2.4 生命周期管理 209
9.2.5 蠕蟲載荷 209
9.2.6 自跟蹤 210
9.3 目標定位 210
9.3.1 收集電子郵件地址 210
9.3.2 網絡共享枚舉攻擊 214
9.3.3 網絡掃描和目標指紋分析 215
9.4 感染傳播 218
9.4.1 攻擊安裝了後門的系統 218
9.4.2 點對點網絡攻擊 219
9.4.3 即時消息攻擊 220
9.4.4 電子郵件蠕蟲攻擊和欺騙技術 220
9.4.5 插入電子郵件附件 220
9.4.6 smtp代理攻擊 221
9.4.7 smtp攻擊 221
9.4.8 使用mx查詢進行smtp傳播 223
9.4.9 nntp攻擊 223
9.5 常見的蠕蟲代碼傳送和執行技術 224
9.5.1 基於可執行代碼的攻擊 224
9.5.2 連接到web站點或者web代理 224
9.5.3 基於html的郵件 225
9.5.4 基於遠程登錄的攻擊 225
9.5.5 代碼注入攻擊 225
9.5.6 基於shellcode的攻擊 226
9.6 計算機蠕蟲的更新策略 228
9.6.1 在web和新聞組上的認證更新 229
9.6.2 基於後門的更新 232
9.7 用信令進行遠程控制 232
9.8 有意無意的交互 234
9.8.1 合作 234
9.8.2 競爭 236
9.8.3 未來：簡單蠕蟲通信協議 237
9.9 無線移動蠕蟲 237
參考文獻 239
第10章 漏洞利用、漏洞和緩沖區溢出攻擊 241
10.1 引言 241
10.1.1 混合攻擊的定義 241
10.1.2 威脅 241
10.2 背景 242
10.3 漏洞的類型 243
10.3.1 緩沖區溢出 243
10.3.2 第一代緩沖區溢出攻擊 243
10.3.3 第二代攻擊 245
10.3.4 第三代攻擊 250
10.4 攻擊實例 261
10.4.1 1988年的morris蠕蟲(利用堆棧溢出執行shellcode) 261
10.4.2 1998年的linux/adm(“抄襲”morris蠕蟲) 263
10.4.3 2001年爆發的codered(代碼注入攻擊) 263
10.4.4 2002年的linux/slapper蠕蟲(堆溢出實例) 266
10.4.5 2003年1月的w32/slammer蠕蟲(mini蠕蟲) 270
10.4.6 2003年8月blaster蠕蟲(win32上基於shellcode的攻擊) 272
10.4.7 計算機病毒中緩沖區溢出的一般用法 274
10.4.8 w32/badtrans.b@mm描述 274
10.4.9 w32/nimda.a@mm所用的漏洞攻擊方法 274
10.4.10 w32/bolzano描述 275
10.4.11 vbs/bubbleboy描述 276
10.4.12 w32/blebla描述 277
10.5 小結 277
參考文獻 278
第二部分 防御者的策略
第11章 病毒防御技術 281
11.1 第一代掃描器 282
11.1.1 字符串掃描 282
11.1.2 通配符 284
11.1.3 不匹配字節數 285
11.1.4 通用檢測法 285
11.1.5 散列 285
11.1.6 書簽 286
11.1.7 首尾掃描 287
11.1.8 入口點和固定點掃描 287
11.1.9 超快磁盤訪問 288
11.2 第二代掃描器 288
11.2.1 智能掃描 288
11.2.2 骨架掃描法 289
11.2.3 近似精確識別法 289
11.2.4 精確識別法 290
11.3 算法掃描方法 291
11.3.1 過濾法 292
11.3.2 靜態解密程序檢測法 293
11.3.3 x光檢測法 294
11.4 代碼仿真 298
11.4.1 用代碼仿真來檢測加密和多態病毒 301
11.4.2 動態解密程序檢測法 303
11.5 變形病毒檢測實例 304
11.5.1 幾何檢測法 305
11.5.2 反匯編技術 305
11.5.3 采用仿真器進行跟蹤 306
11.6 32位windows病毒的啟發式分析 308
11.6.1 代碼從最後一節開始執行 309
11.6.2 節頭部可疑的屬性 309
11.6.3 pe可選頭部有效尺寸的值不正確 309
11.6.4 節之間的“間隙” 309
11.6.5 可疑的代碼重定向 309
11.6.6 可疑的代碼節名稱 310
11.6.7 可能的頭部感染 310
11.6.8 來自kernel32.dll的基於序號的可疑導入表項 310
11.6.9 導入地址表被修改 310
11.6.10 多個pe頭部 310
11.6.11 多個windows程序頭部和可疑的kernel32.dll導入表項 310
11.6.12 可疑的重定位信息 310
11.6.13 內核查詢 311
11.6.14 內核的完整性 311
11.6.15 把節裝入到vmm的地址空間 311
11.6.16 可選頭部的sizeofcode域取值不正確 311
11.6.17 含有多個可疑標志的例子 311
11.7 基於神經網絡的啟發式分析 312
11.8 常規及通用清除法 314
11.8.1 標准清除法 314
11.8.2 通用解密程序 315
11.8.3 通用清除程序如何工作 316
11.8.4 清除程序如何確定一個文件是否染毒 316
11.8.5 宿主文件原來的結尾在哪裡 316
11.8.6 能用這種方法清除的病毒有多少類 316
11.8.7 通用修復法中的啟發性標記實例 317
11.8.8 通用清除過程實例 318
11.9 接種 319
11.10 訪問控制系統 319
11.11 完整性檢查 320
11.11.1 虛警 321
11.11.2 干淨的初始狀態 321
11.11.3 速度 322
11.11.4 特殊對象 322
11.11.5 必須有對象發生改變 322
11.11.6 可能的解決方案 322
11.12 行為阻斷 323
11.13 沙箱法 324
11.14 結論 325
參考文獻 325
第12章 內存掃描與殺毒 328
12.1 引言 329
12.2 windows nt虛擬內存系統 330
12.3 虛擬地址空間 331
12.4 用戶模式的內存掃描 334
12.4.1 ntquerysysteminformation()的秘密 334
12.4.2 公共進程及特殊的系統權限 335
12.4.3 win32子系統中的病毒 336
12.4.4 分配私有頁面的win32病毒 337
12.4.5 原生windows nt服務病毒 338
12.4.6 使用隱藏窗口過程的win32病毒 339
12.4.7 被執行映像自身包含的win32病毒 339
12.5 內存掃描和頁面調度 341
12.6 內存殺毒 342
12.6.1 終止包含病毒代碼的特定進程 342
12.6.2 檢測和終止病毒線程 343
12.6.3 修復活躍頁面中的病毒代碼 345
12.6.4 如何為已裝入內存的dll及運行中的應用程序殺毒 346
12.7 內核模式的內存掃描 346
12.7.1 掃描進程的用戶地址空間 346
12.7.2 確定nt服務api的入口點 347
12.7.3 用於內核模式內存掃描的重要nt函數 348
12.7.4 進程上下文 348
12.7.5 掃描地址空間上部的2gb 349
12.7.6 如何使一個過濾驅動程序病毒失去活性 349
12.7.7 對付只讀型的內核內存 350
12.7.8 64位平台上內核模式的內存掃描 351
12.8 可能的內存掃描攻擊 353
12.9 結論和下一步工作 354
參考文獻 354
第13章 蠕蟲攔截技術和基於主機的入侵防御 356
13.1 引言 356
13.1.1 腳本攔截和smtp蠕蟲攔截 357
13.1.2 需要攔截的新型攻擊：codered，slammer 359
13.2 緩沖區溢出攻擊的對策 359
13.2.1 代碼復查 360
13.2.2 編譯器級的解決方案 361
13.2.3 操作系統級的解決方案和運行時擴展 366
13.2.4 子系統擴展—libsafe 367
13.2.5 內核模式擴展 368
13.2.6 程序監管 369
13.3 蠕蟲攔截技術 369
13.3.1 注入代碼檢測 369
13.3.2 發送攔截：自發送型代碼的攔截實例 374
13.3.3 異常處理程序驗證 375
13.3.4 減輕return-to-libc攻擊的其他技術 378
13.3.5 “got”和“iat”頁面屬性 381
13.3.6 高連接數和大量的連接錯誤 382
13.4 未來可能出現的蠕蟲攻擊 382
13.4.1 反制蠕蟲數量的可能增長 382
13.4.2 雷達探測不到的“慢”蠕蟲 382
13.4.3 多態和變形蠕蟲 383
13.4.4 大規模的破壞 384
13.4.5 自動化的漏洞利用代碼發現—從環境中學習 384
13.5 結論 384
參考文獻 385
第14章 網絡級防御策略 387
14.1 引言 387
14.2 使用路由器訪問列表 388
14.3 防火牆保護 389
14.4 網絡入侵檢測系統 391
14.5 蜜罐系統 392
14.6 反擊 395
14.7 早期預警系統 395
14.8 蠕蟲的網絡行為模式 396
14.8.1 捕捉blaster蠕蟲 396
14.8.2 捕捉linux/slapper蠕蟲 397
14.8.3 捕捉w32/sasser.d蠕蟲 399
14.8.4 捕獲w32/welchia蠕蟲的ping請求 401
14.8.5 檢測w32/slammer及相關的漏洞利用代碼 401
14.9 結論 403
參考文獻 403
第15章 惡意代碼分析技術 404
15.1 個人的病毒分析實驗室 404
15.2 信息、信息、信息 406
15.2.1 系統結構指南 406
15.2.2 知識庫 406
15.3 vmware上的專用病毒分析系統 407
15.4 計算機病毒分析過程 408
15.4.1 准備 408
15.4.2 脫殼 413
15.4.3 反匯編和解密 413
15.4.4 動態分析技術 419
15.5 維護惡意代碼庫 437
15.6 自動分析：數字免疫系統 437
參考文獻 439
第16章 結論 441
進一步閱讀資料 441
安全和早期預警方面的信息 441
安全更新 442
計算機蠕蟲爆發統計數據 442
計算機病毒研究論文 442
反病毒廠商聯系方式 443
反病毒產品測試機構及相關網站 ... 444