計(jì)算機(jī)病毒揭秘

第一部分 問 題
第1章 基本定義　2
1.1 計(jì)算機(jī)病毒的真相和傳奇　2
1.2 定義　3
1.2.1 病毒與病毒機(jī)制　3
1.2.2 病毒結(jié)構(gòu)　4
1.2.3 破壞　4
1.2.4 破壞與感染　5
1.2.5 隱蔽機(jī)制　5
1.2.6 多態(tài)性　5
1.2.7 這是什么，一本UNIX教科書嗎　6
1.2.8 蠕蟲的美餐　7
1.2.9 特洛伊木馬　7
1.2.10 In the Wild　7
1.3 反病毒軟件快速指南　8
1.4 小結(jié)　9
第2章 歷史回顧　10
2.1 病毒前史：從侏羅紀(jì)公園到施樂公司的帕洛阿爾托研究中心　10
2.1.1 蛀洞　10
2.1.2 核心之戰(zhàn)　11
2.1.3 Xerox 蠕蟲（Shoch/Hupp片段蠕蟲）　11
2.2 真實(shí)病毒：早期　12
2.2.1 1981：初期蘋果二代病毒　13
2.2.2 1983：Elk Cloner　13
2.2.3 1986：(c) BRAIN　14
2.2.4 1987：Goodnight Vienna，Hello Lehigh　15
2.2.5 1988：蠕蟲　16
2.3 因特網(wǎng)時(shí)代　17
2.3.1 1989：蠕蟲、黑色復(fù)仇者以及AIDS　18
2.3.2 1990：Polymorph和Multipartite　19
2.3.3 1991：文藝復(fù)興病毒，Tequila Sunrise　19
2.3.4 1992：海龜?shù)膹?fù)仇　20
2.3.5 1993：多形性規(guī)則　21
2.3.6 1994：Smoke Me a Kipper　22
2.3.7 1995：Microsoft Office宏病毒　22
2.3.8 1996：Mac、宏指令、宇宙以及一切　23
2.3.9 1997：惡作劇和連鎖信　24
2.3.10 1998：這不是開玩笑　24
2.3.11 1999：這是你的第19次服務(wù)器熔化　24
2.3.12 2000：VBScript病毒/蠕蟲之年　26
2.4 走向未來　29
2.5 小結(jié)　29
第3章 惡意軟件的定義　31
3.1 計(jì)算機(jī)做什么　31
3.2 病毒的功能　32
3.3 變種還是巨大的絕對(duì)數(shù)字　32
3.4 反毒軟件到底檢測(cè)什么　34
3.4.1 病毒　35
3.4.2 蠕蟲　36
3.4.3 預(yù)期的效果　37
3.4.4 腐化　38
3.4.5 Germ　38
3.4.6 Dropper　38
3.4.7 測(cè)試病毒　39
3.4.8 繁殖器　39
3.4.9 特洛伊　40
3.4.10 密碼竊取者和后門　42
3.4.11 玩笑　43
3.4.12 遠(yuǎn)程訪問工具（RAT）　44
3.4.13 DDoS代理　45
3.4.14 Rootkit　46
3.4.15 錯(cuò)誤警報(bào)　46
3.5 小結(jié)　47
第4章 病毒活動(dòng)和運(yùn)作　49
4.1 怎樣編寫一個(gè)病毒程序　50
4.2 三部分的結(jié)構(gòu)　52
4.2.1 感染機(jī)制　52
4.2.2 觸發(fā)機(jī)制　53
4.2.3 有效載荷　53
4.3 復(fù)制　54
4.3.1 非常駐病毒　54
4.3.2 常駐內(nèi)存病毒　55
4.3.3 Hybrid病毒　55
4.4 一般性、范圍、持續(xù)性　56
4.5 有效載荷的復(fù)制　57
4.6 破壞　57
4.6.1 病毒感染對(duì)計(jì)算機(jī)環(huán)境的影響　58
4.6.2 病毒和特洛伊的有效載荷造成的直接破壞　58
4.6.3 心理的及社會(huì)的危害　59
4.6.4 次要破壞　59
4.6.5 硬件損害　59
4.7 禁止轟炸　60
4.7.1 邏輯炸彈　60
4.7.2 時(shí)間炸彈　60
4.7.3 ANSI炸彈　60
4.7.4 郵件炸彈和簽名炸彈　61
4.8 小結(jié)　61
第5章 病毒機(jī)制　62
5.1 硬件病毒　62
5.2 引導(dǎo)區(qū)　66
5.3 文件感染型病毒　67
5.3.1 并接和附加　68
5.3.2 覆蓋型病毒　69
5.3.3 誤導(dǎo)　70
5.3.4 Companion（Spawning）病毒　71
5.4 多重病毒　72
5.5 譯碼病毒　73
5.5.1 宏病毒　73
5.5.2 腳本病毒　74
5.6 隱藏機(jī)制　74
5.6.1 秘密行動(dòng)　76
5.6.2 多形性　78
5.6.3 社會(huì)工程和惡意軟件　79
5.7 小結(jié)　81
第二部分 系統(tǒng)解決方案
第6章 Anti-Malware技術(shù)綜述　84
6.1 主要期望　84
6.2 如何處理病毒及其相關(guān)的威脅　86
6.2.1 預(yù)先清空措施　86
6.2.2 反病毒軟件能做什么　91
6.2.3 超越桌面（Beyond the Desktop）　97
6.2.4 外部采辦（Outsourcing）　102
6.3 小結(jié)　102
第7章 Malware管理　103
7.1 定義Malware管理　103
7.1.1 主動(dòng)管理　104
7.1.2 被動(dòng)管理　110
7.2 相對(duì)于管理成本的所有權(quán)成本　112
7.3 小結(jié)　114
第8章 信息搜集　115
8.1 怎樣檢查建議是否真實(shí)或有用　115
8.2 書籍　116
8.2.1 好的書籍　117
8.2.2 差的書籍（或者至少是普通的）　117
8.2.3 真正丑陋的書籍　118
8.2.4 相關(guān)的主題　119
8.2.5 普通的安全書籍　119
8.2.6 法律書籍　121
8.2.7 道德規(guī)范書籍　122
8.2.8 小說書籍　123
8.3 文章和論文　124
8.4 在線資源　128
8.4.1 郵件列表和新聞組　129
8.4.2 免費(fèi)掃描器　130
8.4.3 在線掃描器　130
8.4.4 百科全書　131
8.4.5 病毒欺騙和錯(cuò)誤提示　131
8.4.6 評(píng)估與評(píng)論　132
8.4.7 反病毒廠商　132
8.4.8 普通資源　133
8.4.9 各種各樣的文章　133
8.4.10 一般建議　134
8.4.11 特定的病毒和脆弱性　134
8.4.12 普通安全參考資料　136
第9章 產(chǎn)品評(píng)估與測(cè)試　140
9.1 核心問題　140
9.1.1 成本　141
9.1.2 性能　144
9.1.3 它不是我的默認(rèn)值（It's Not My Default）　148
9.1.4 殺毒和修復(fù)　149
9.1.5 兼容性問題　150
9.1.6 功能范圍　151
9.1.7 易用性　154
9.1.8 可配置性　155
9.1.9 易測(cè)性　155
9.1.10 支持功能　156
9.1.11 文檔　158
9.1.12 外部采購服務(wù)（Outsourced Service）　158
9.2 測(cè)試匹配　159
9.2.1 相對(duì)于可用性的檢測(cè)　159
9.2.2 其他分類　159
9.2.3 向上反演（Upconversion）　160
9.2.4 都發(fā)生在測(cè)試包中　161
9.2.5 我們喜歡EICAR　164
9.3 更多的信息　166
9.4 小結(jié)　166
第10章 風(fēng)險(xiǎn)及突發(fā)事件處理　167
10.1 危險(xiǎn)管理　168
10.2 最佳的防衛(wèi)方式：'未雨綢繆'　169
10.2.1 計(jì)算機(jī)　169
10.2.2 辦公室　169
10.2.3 堅(jiān)持預(yù)防　171
10.2.4 首先，不造成危害　172
10.3 病毒事件的報(bào)告　173
10.3.1 Help Desk的調(diào)查　174
10.3.2 處理病毒事件　174
10.3.3 病毒識(shí)別　175
10.3.4 常規(guī)病毒保護(hù)策略　176
10.4 小結(jié)　176
第11章 用戶管理　177
11.1 對(duì)主管者的管理　178
11.1.1 政策的意義　178
11.1.2 安全和保險(xiǎn)　178
11.1.3 病毒和保險(xiǎn)　178
11.2 風(fēng)險(xiǎn)/影響分析　179
11.3 管理的開銷　180
11.4 政策問題　181
11.5 Help Desk支持　182
11.6 其他IT支持職員　184
11.7 IT安全和其他　184
11.8 培訓(xùn)和教育　185
11.9 正面援助　187
11.10 惡意軟件管理　187
11.11 安全指導(dǎo)方針　187
11.11.1 和你的IT部門檢查所有的警告和警報(bào)　188
11.11.2 不要相信附件　188
11.11.3 在網(wǎng)站和新聞組上要小心　188
11.11.4 不要安裝未授權(quán)的軟件　189
11.11.5 要對(duì)微軟的Office文檔小心　189
11.11.6 使用并要求安全的文件格式　189
11.11.7 繼續(xù)使用反病毒軟件　189
11.11.8 經(jīng)常更新防病毒軟件　190
11.11.9 升級(jí)并不意味著沒有脆弱性　190
11.11.10 超級(jí)用戶并非超人　190
11.11.11 禁止軟盤啟動(dòng)　190
11.11.12 軟盤寫保護(hù)　190
11.11.13 避免使用Office　190
11.11.14 重新考慮你的電子郵件和新聞軟件　191
11.11.15 在Windows瀏覽器中顯示所有文件的擴(kuò)展名　191
11.11.16 禁用Windows主機(jī)腳本　191
11.11.17 介紹一般的郵件界面　191
11.11.18 利用微軟安全資源　192
11.11.19 訂閱反病毒銷售商的清單　192
11.11.20 掃描所有文件　192
11.11.21 不要依靠反病毒軟件　192
11.11.22 備份、備份、再備份　192
11.12 惡作劇處理　193
11.12.1 表單反應(yīng)　193
11.12.2 對(duì)惡作劇的快速了解　194
11.13 小結(jié)　194
第三部分 案 例 研 究
第12章 案例研究： 首次浪潮　196
12.1 Brainwashing　196
12.1.1 誰寫下了Brain病毒　197
12.1.2 Ohio的銀行　198
12.2 MacMag病毒　198
12.2.1 給和平一次機(jī)會(huì)　199
12.2.2 不道德的傳播　200
12.2.3 宏病毒攪亂了你的思維　201
12.3 Scores　201
12.4 Lehigh　202
12.5 CHRISTMA EXEC　203
12.6 Morris蠕蟲（Internet蠕蟲）　203
12.7 WANK蠕蟲　206
12.8 Jerusalem　206
12.9 'AIDS”特洛伊　208
12.10 Everybody Must Get Stoned　208
12.10.1 Michelangelo、Monkey及其他Stoned變體　209
12.10.2 別與MBR胡鬧　212
12.11 Form　213
12.12 調(diào)制解調(diào)器病毒惡作劇　214
12.13 伊拉克打印機(jī)病毒　215
12.14 小結(jié)　217
第13章 案例研究： 第二浪潮　218
13.1 Black Baron　219
13.2 Good Times就在不遠(yuǎn)處　220
13.2.1 文本吸引　220
13.2.2 打擊正在進(jìn)行　220
13.2.3 無限循環(huán)　220
13.2.4 巨大的影響　221
13.3 Proof of Concept　221
13.3.1 程序和數(shù)據(jù)　222
13.3.2 游戲的名稱　222
13.3.3 什么時(shí)候一個(gè)有效載荷不是有效載荷　223
13.3.4 自動(dòng)宏　224
13.4 Empire病毒正慢慢地侵襲回來　225
13.5 WM / Nuclear　226
13.6 Colors　227
13.7 DMV　228
13.8 Wiederoffnen和FormatC　228
13.9 欺騙：Green Stripe和Wazzu　229
13.10 WM/Atom　229
13.11 WM/Cap　230
13.12 Excel病毒　230
13.13 主題的變化　231
13.14 Word 97　232
13.15 感謝你共享　232
13.16 宏病毒術(shù)語　233
13.17 反宏病毒技術(shù)　234
13.18 Hare　235
13.19 Chernobyl（CIH.Spacefiller）　235
13.20 Esperanto　236
13.21 小結(jié)　237
第14章 案例研究： 蠕蟲（第三浪潮）　238
14.1 自動(dòng)啟動(dòng)蠕蟲　239
14.2 W97M/Melissa（Mailissa）　240
14.2.1 運(yùn)行方法　240
14.2.2 感染和發(fā)送　241
14.2.3 Sans Souci　241
14.2.4 商業(yè)病毒　241
14.2.5 嚴(yán)重的后果　242
14.3 W32/Happy99（Ska），增殖病毒　242
14.4 PrettyPark　243
14.5 Keeping to the Script　243
14.6 VBS/Freelink　244
14.7 給情人的一封信——VBS/LoveLetter　244
14.8 VBS/NewLover-A　246
14.9 Call 911！　247
14.10 VBS/Stages　248
14.11 BubbleBoy和KAKworm　248
14.12 MTX（Matrix，Apology）　249
14.13 Naked Wife　251
14.14 W32/Navidad　251
14.15 W32/Hybris　252
14.16 VBS/VBSWG.J@mm（Anna Kournikova）　253
14.17 VBS/Staple.a@mm　254
14.18 Linux蠕蟲　254
14.18.1 Ramen　254
14.18.2 Linux/Lion　255
14.18.3 Linux/Adore（Linux/Red）　255
14.19 Lindose（Winux）　255
14.20 W32/Magistr@mm　256
14.21 BadTrans　256
14.22 小結(jié)　257
第四部分 社 會(huì) 方 面
第15章 病毒的來源與傳播　260
15.1 誰編寫了病毒　261
15.2 社會(huì)工程　261
15.3 社會(huì)工程定義　263
15.3.1 密碼竊取者　265
15.3.2 這次是私人性質(zhì)的　266
15.4 他們?yōu)槭裁淳帉懖《尽?67
15.5 次級(jí)傳播　269
15.6 教育有用嗎　270
15.7 全球性的教育　271
15.8 小結(jié)　272
第16章 病毒變體、惡作劇及相關(guān)垃圾　273
16.1 連鎖信　274
16.2 惡作劇　275
16.3 都市傳奇　275
16.4 連鎖信和惡作劇　276
16.5 惡作劇及病毒警告　276
16.6 顯微鏡下的錯(cuò)誤信息　277
16.6.1 BIOS、CMOS及Battery　277
16.6.2 JPEG惡作劇　278
16.6.3 Budget病毒　278
16.6.4 強(qiáng)烈的覺悟　279
16.6.5 Wheat和Chaff　279
16.6.6 惡作劇啟發(fā)式識(shí)別　279
16.7 Spam，Spam，Spam（第二部分）　285
16.7.1 動(dòng)機(jī)　285
16.7.2 常見主題　287
16.8 垃圾郵件學(xué)和病毒學(xué)　287
16.9 變異病毒和用戶管理　288
16.9.1 我應(yīng)該告訴我的客戶些什么　289
16.9.2 處理垃圾郵件、連鎖信和惡作劇警告　289
16.10 小結(jié)　290
第17章 法律及準(zhǔn)法律　292
17.1 惡意軟件和法規(guī)　292
17.2 犯罪行動(dòng)場(chǎng)所　293
17.3 計(jì)算機(jī)濫用行為　294
17.4 一些概括性概念　295
17.5 數(shù)據(jù)保護(hù)法　295
17.6 數(shù)據(jù)保護(hù)原則　296
17.7 BS7799和病毒控制　297
17.8 ISO 9000　299
17.9 安全構(gòu)架　300
17.9.1 誰對(duì)特定領(lǐng)域中的安全負(fù)責(zé)　302
17.9.2 什么系統(tǒng)是被保護(hù)的　302
17.9.3 執(zhí)行和配置的細(xì)節(jié)是什么　302
17.10 政策摘要　303
17.10.1 設(shè)備和資源的合理利用　304
17.10.2 電子郵件的合理利用　304
17.10.3 反信件鏈政策　305
17.10.4 反垃圾郵件政策　306
17.10.5 合理地使用WWW和USENET　306
17.10.6 防病毒政策　306
17.11 小結(jié)　307
第18章 責(zé)任、道德以及道德規(guī)范　308
18.1 道德標(biāo)準(zhǔn)指南　308
18.2 統(tǒng)計(jì)資料　310
18.2.1 年齡　310
18.2.2 性別　312
18.3 文化和國(guó)家標(biāo)準(zhǔn)　312
18.3.1 國(guó)家的問題　313
18.3.2 動(dòng)機(jī)　315
18.3.3 國(guó)家之間的差異　315
18.4 習(xí)以為常和道德規(guī)范　316
18.5 終端用戶和責(zé)任　316
18.6 防病毒是一種職業(yè)嗎　317
18.7 銷售商和道德標(biāo)準(zhǔn)　318
18.8 商業(yè)道德標(biāo)準(zhǔn)　319
18.9 無害　320
18.10 發(fā)展行為法規(guī)　321
18.11 EICAR　321
18.11.1 公眾利益　322
18.11.2 法律的允許　322
18.11.3 老板、顧客和同事的責(zé)任　322
18.11.4 對(duì)職業(yè)的責(zé)任　322
18.11.5 專業(yè)能力　323
18.12 行為準(zhǔn)則確實(shí)有效嗎　323
18.13 小結(jié)　325
第19章 保護(hù)　327
19.1 預(yù)測(cè)　327
19.2 關(guān)閉評(píng)論　328
19.2.1 壞消息：安全專家們對(duì)病毒了解得并不多　328
19.2.2 好消息：一些教育和基本措施確實(shí)很有用　328
19.2.3 壞消息：“聯(lián)手”變得越來越糟　329
19.2.4 好消息：其實(shí)是一樣的，只是多一些　329
19.2.5 壞消息：多方面的攻擊會(huì)增加問題的嚴(yán)重性　330
19.2.6 好消息：現(xiàn)存的工具和技術(shù)會(huì)起作用　330
19.3 最新消息　331
19.3.1 RTF不是“萬能藥”　331
19.3.2 Poly/Noped　332
19.3.3 Mandragore　332
19.3.4 SULFNBK惡作劇　332
19.3.5 Sadmind　333
19.3.6 Cheese　333
19.3.7 Lindose/Winux　333
19.3.8 MacSimpsons　334
19.3.9 Outlook View Control　334
19.3.10 Code Red/Bady　334
19.3.11 Sircam　335
19.4 小結(jié)　335
第五部分 附 錄
附錄A 有關(guān) VIRUS-L/comp.virus 的常見問答　338
附錄B 病毒與Macintosh　364
附錄C 社會(huì)工程　377
術(shù)語表　385
國(guó)計(jì)算機(jī)病毒揭秘