计算机病毒防范艺术(The Art of Computer Virus Research and Defense)扫描版[PDF]

游客，本帖隐藏的内容需要积分高于 1 才可浏览，您当前积分为 0

资源信息： 中文名: 计算机病毒防范艺术 原名: The Art of Computer Virus Research and Defense 作者: Peter Szor 译者: 段海新 杨波 王德强 图书分类: 网络 资源格式: PDF 版本: 扫描版 出版社: 机械工业出版社 书号: 7111205561 发行时间: 2006年12月21日 地区: 大陆 语言: 简体中文 概述:

内容介绍： 　　本书作者是赛门铁克(symantec)公司安全响应中心的首席安全架构师，他根据自己设计和改进norton antivirus系列产品及培训病毒分析人员的过程中遇到的问题精心总结编写了本书。本书最大的特色是大胆深入地探讨了病毒知识的技术细节，从病毒的感染策略上深入分析病毒的复杂性，从文件、内存和网络等多个角度讨论病毒的感染技术，对过去20年来黑客们开发的各种病毒技巧进行了分类和讲解，并介绍了代码变形和其他新兴病毒感染技术，展示了当前计算机病毒和防毒软件的最新技术，向读者传授计算机病毒分析和防护的方法学。. 　　 本书可作为it和安全专业人士的权威指南，同时也适合作为大学计算机安全专业本科、研究生的参考教材。 　　 本书由symantec首席反病毒研究员执笔，是讲述现代病毒威胁、防御技术和分析工具的权威指南。与多数讲述计算机病毒的书籍不同，本书完全是一本为白帽子黑客 (即负责保护自己所在组织免受恶意代码攻击的it及安全专业人士) 编写的参考书。作者系统地讲述了反病毒技术的方方面面，包括病毒行为、病毒分类、保护策略、反病毒技术及蠕虫拦截技术等。.. 　　 书中介绍了目前最先进的恶意代码技术和保护技术，提供充分的技术细节帮助读者对付日益复杂的攻击。书中包含大量关于代码变形和其他新兴技术方面的信息，学习这些知识可以让读者未雨绸缪，为应对未来的威胁提前做好准备。 　　 本书是目前已出版的同类书中对基本病毒分析技术讲解最透彻和最实用的，从个人实验室的创建到分析过程的自动化，对其中涉及的方方面面都作了描述。 内容截图：

网盘下载 我的图书馆1 我的图书馆2 （长期更新各类图书） 目录: 译者序. 作者介绍 前言 致谢 第一部分 攻击者的策略 第1章 引言：自然的游戏 1 1.1 自我复制结构的早期模型 1 1.1.1 约翰·冯·诺伊曼：自我复制自动机理论 2 1.1.2 fredkin：重建结构 3 1.1.3 conway：生命游戏 4 1.1.4 磁芯大战：程序对战 6 1.2 计算机病毒的起源 10 1.3 自动复制代码：计算机病毒的原理和定义 11 参考文献 13 第2章 恶意代码分析的魅力 14 2.1 计算机病毒研究的通用模式 16 2.2 反病毒防护技术的发展 16 2.3 恶意程序的相关术语 17 2.3.1 病毒 17 2.3.2 蠕虫 17 .2.3.3 逻辑炸弹 18 2.3.4 特洛伊木马 19 2.3.5 细菌 20 2.3.6 漏洞利用 20 2.3.7 下载器 20 2.3.8 拨号器 20 2.3.9 投放器 20 2.3.10 注入程序 21 2.3.11 auto-rooter 21 2.3.12 工具包(病毒生成器) 21 2.3.13 垃圾邮件发送程序 21 2.3.14 洪泛攻击 22 2.3.15 击键记录器 22 2.3.16 rootkit 22 2.4 其他类别 23 2.4.1 玩笑程序 23 2.4.2 恶作剧：连锁电子邮件 23 2.4.3 其他有害程序：广告软件和间谍软件 24 2.5 计算机恶意软件的命名规则 24 2.5.1 [family_name] 25 2.5.2 [malware_type]:// 25 2.5.3 [platform]/ 25 2.5.4 .[group_name] 26 2.5.5 [infective_length] 26 2.5.6 [variant] 26 2.5.7 [[devolution]] 26 2.5.8 [modifiers] 26 2.5.9 :[locale_specifier] 26 2.5.10 #[packer] 26 2.5.11 @m或@mm 26 2.5.12 ![vendor-specific_comment] 26 2.6 公认的平台名称清单 27 参考文献 29 第3章 恶意代码环境 31 3.1 计算机体系结构依赖性 32 3.2 cpu依赖性 33 3.3 操作系统依赖性 34 3.4 操作系统版本依赖性 34 3.5 文件系统依赖性 35 3.5.1 簇病毒 35 3.5.2 ntfs流病毒 36 3.5.3 ntfs压缩病毒 37 3.5.4 iso镜像文件感染 37 3.6 文件格式依赖性 37 3.6.1 dos上的com病毒 37 3.6.2 dos上的exe病毒 37 3.6.3 16位windows和os/2上的ne病毒 38 3.6.4 os/2上的lx病毒 38 3.6.5 32位windows上的pe病毒 38 3.6.6 unix上的elf病毒 41 3.6.7 设备驱动程序病毒 41 3.6.8 目标代码和库文件病毒 42 3.7 解释环境依赖性 42 3.7.1 微软产品中的宏病毒 42 3.7.2 ibm系统中的rexx病毒 50 3.7.3 dec/vms上的dcl病毒 51 3.7.4 unix上的shell脚本(csh、ksh和bash) 51 3.7.5 windows系统中的vbscript病毒 52 3.7.6 批处理病毒 52 3.7.7 mirc、pirch脚本中的即时消息病毒 53 3.7.8 superlogo病毒 53 3.7.9 jscript病毒 55 3.7.10 perl病毒 55 3.7.11 用嵌入html邮件的jellyscript编写的webtv蠕虫 55 3.7.12 python病毒 56 3.7.13 vim病毒 56 3.7.14 emacs病毒 56 3.7.15 tcl病毒 56 3.7.16 php病毒 56 3.7.17 mapinfo病毒 57 3.7.18 sap上的abap病毒 57 3.7.19 windows帮助文件病毒——当你按下f1…… 57 3.7.20 adobe pdf 中的jscript威胁 58 3.7.21 applescript 的依赖性 58 3.7.22 ansi的依存关系 58 3.7.23 macromedia flash动作脚本(action-script)威胁 59 3.7.24 hypertalk脚本威胁 59 3.7.25 autolisp脚本病毒 60 3.7.26 注册表依赖性 60 3.7.27 pif和lnk的依赖性 61 3.7.28 lotus word专业版中的宏病毒 61 3.7.29 amipro的文档病毒 61 3.7.30 corel脚本病毒 61 3.7.31 lotus 1-2-3 宏的依赖性 62 3.7.32 windows安装脚本的依赖性 62 3.7.33 autorun.inf和windows inifile依存性 62 3.7.34 html 依赖性 63 3.8 系统漏洞依赖性 63 3.9 日期和时间依赖性 63 3.10 jit依赖性：microsoft .net病毒 64 3.11 档案文件格式依赖性 65 3.12 基于扩展名的文件格式依赖性 65 3.13 网络协议依赖性 66 3.14 源代码依赖关系 66 3.15 在mac和palm平台上的资源依赖性 68 3.16 宿主大小依赖性 68 3.17 调试器依赖性 69 3.18 编译器和连接器依赖性 70 3.19 设备翻译层依赖性 71 3.20 嵌入式对象插入依赖性 73 3.21 自包含环境的依赖性 73 3.22 复合病毒 74 3.23 结论 75 参考文献 76 第4章 感染策略的分类 79 4.1 引导区病毒 79 4.1.1 主引导记录感染技术 80 4.1.2 dos引导记录感染技术 82 4.1.3 随windows 95发作的引导区病毒 83 4.1.4 在网络环境下对引导映像的可能攻击 84 4.2 文件感染技术 84 4.2.1 重写病毒 84 4.2.2 随机重写病毒 85 4.2.3 追加病毒 85 4.2.4 前置病毒 86 4.2.5 典型的寄生病毒 87 4.2.6 蛀穴病毒 88 4.2.7 分割型蛀穴病毒 88 4.2.8 压缩型病毒 89 4.2.9 变形虫感染技术 90 4.2.10 嵌入式解密程序技术 90 4.2.11 嵌入式解密程序和病毒体技术 91 4.2.12 迷惑性欺骗跳转技术 92 4.2.13 入口点隐蔽病毒 92 4.2.14 未来可能的感染技术：代码建造器 99 4.3 深入分析win32 病毒 99 4.3.1 win32 api及其支持平台 100 4.3.2 32位windows感染技术 102 4.3.3 win32和win64病毒：是针对microsoft windows设计的吗 116 4.4 结论 118 参考文献 118 第5章 内存驻留技术 120 5.1 直接感染型病毒 120 5.2 内存驻留病毒 120 5.2.1 中断处理和钩挂 121 5.2.2 钩挂int 13h中断例程(引导区病毒) 123 5.2.3 钩挂int 21h中断例程(文件型病毒) 124 5.2.4 dos环境常用的内存加载技术 127 5.2.5 隐藏型病毒 129 5.2.6 磁盘高速缓存和系统缓存感染 135 5.3 临时内存驻留病毒 136 5.4 交换型病毒 137 5.5 进程病毒(用户模式) 137 5.6 内核模式中的病毒(windows 9x /me) 137 5.7 内核模式中的病毒 (windows nt/2000/xp) 138 5.8 通过网络传播的内存注入病毒 139 参考文献 140 第6章 基本的自保护策略 141 6.1 隧道病毒 141 6.1.1 通过扫描内存查找原中断处理例程 141 6.1.2 跟踪调试接口 141 6.1.3 基于代码仿真的隧道技术 142 6.1.4 使用i/o端口直接访问磁盘 142 6.1.5 使用未公开的函数 142 6.2 装甲病毒 142 6.2.1 反反汇编 143 6.2.2 数据加密 143 6.2.3 使用代码迷惑对抗分析 144 6.2.4 基于操作码混合的代码迷惑 145 6.2.5 使用校验和 146 6.2.6 基于压缩的隐蔽代码 146 6.2.7 反跟踪 147 6.2.8 抗启发式检测技术 152 6.2.9 抗仿真技术 158 6.2.10 抗替罪羊病毒 161 6.3 攻击性的反制病毒 162 参考文献 163 第7章 高级代码演化技术和病毒生成工具 165 7.1 引言 165 7.2 代码演化 165 7.3 加密病毒 166 7.4 寡形病毒 169 7.5 多态病毒 171 7.5.1 1260病毒 171 7.5.2 dark avenger病毒中的突变引擎(mte) 172 7.5.3 32位多态病毒 174 7.6 变形病毒 177 7.6.1 什么是变形病毒 177 7.6.2 简单的变形病毒 178 7.6.3 更加复杂的变形病毒和置换技术 179 7.6.4 置换其他程序：病毒机的终极版 181 7.6.5 高级变形病毒：zmist 182 7.6.6 { w32, linux} /simile：跨平台的变形引擎 185 7.7 病毒机 190 7.7.1 vcs 190 7.7.2 genvir 190 7.7.3 vcl 190 7.7.4 ps-mpc 191 7.7.5 ngvck 191 7.7.6 其他病毒机和变异工具 192 7.7.7 如何测试病毒机 193 参考文献 193 第8章 基于病毒载荷的分类方法 195 8.1 没有载荷 195 8.2 偶然破坏型载荷 196 8.3 非破坏型载荷 196 8.4 低破坏型载荷 197 8.5 强破坏型载荷 198 8.5.1 数据重写型病毒 198 8.5.2 数据欺骗 199 8.5.3 加密数据的病毒：好坏难辨 200 8.5.4 破坏硬件 201 8.6 dos攻击 201 8.7 窃取数据：用病毒牟利 203 8.7.1 网络钓鱼攻击 203 8.7.2 后门 204 8.8 结论 205 参考文献 205 第9章 计算机蠕虫的策略 207 9.1 引言 .. 207 9.2 计算机蠕虫的通用结构 208 9.2.1 目标定位 208 9.2.2 感染传播 208 9.2.3 远程控制和更新接口 208 9.2.4 生命周期管理 209 9.2.5 蠕虫载荷 209 9.2.6 自跟踪 210 9.3 目标定位 210 9.3.1 收集电子邮件地址 210 9.3.2 网络共享枚举攻击 214 9.3.3 网络扫描和目标指纹分析 215 9.4 感染传播 218 9.4.1 攻击安装了后门的系统 218 9.4.2 点对点网络攻击 219 9.4.3 即时消息攻击 220 9.4.4 电子邮件蠕虫攻击和欺骗技术 220 9.4.5 插入电子邮件附件 220 9.4.6 smtp代理攻击 221 9.4.7 smtp攻击 221 9.4.8 使用mx查询进行smtp传播 223 9.4.9 nntp攻击 223 9.5 常见的蠕虫代码传送和执行技术 224 9.5.1 基于可执行代码的攻击 224 9.5.2 连接到web站点或者web代理 224 9.5.3 基于html的邮件 225 9.5.4 基于远程登录的攻击 225 9.5.5 代码注入攻击 225 9.5.6 基于shellcode的攻击 226 9.6 计算机蠕虫的更新策略 228 9.6.1 在web和新闻组上的认证更新 229 9.6.2 基于后门的更新 232 9.7 用信令进行远程控制 232 9.8 有意无意的交互 234 9.8.1 合作 234 9.8.2 竞争 236 9.8.3 未来：简单蠕虫通信协议 237 9.9 无线移动蠕虫 237 参考文献 239 第10章 漏洞利用、漏洞和缓冲区溢出攻击 241 10.1 引言 241 10.1.1 混合攻击的定义 241 10.1.2 威胁 241 10.2 背景 242 10.3 漏洞的类型 243 10.3.1 缓冲区溢出 243 10.3.2 第一代缓冲区溢出攻击 243 10.3.3 第二代攻击 245 10.3.4 第三代攻击 250 10.4 攻击实例 261 10.4.1 1988年的morris蠕虫(利用堆栈溢出执行shellcode) 261 10.4.2 1998年的linux/adm(“抄袭”morris蠕虫) 263 10.4.3 2001年爆发的codered(代码注入攻击) 263 10.4.4 2002年的linux/slapper蠕虫(堆溢出实例) 266 10.4.5 2003年1月的w32/slammer蠕虫(mini蠕虫) 270 10.4.6 2003年8月blaster蠕虫(win32上基于shellcode的攻击) 272 10.4.7 计算机病毒中缓冲区溢出的一般用法 274 10.4.8 w32/badtrans.b@mm描述 274 10.4.9 w32/nimda.a@mm所用的漏洞攻击方法 274 10.4.10 w32/bolzano描述 275 10.4.11 vbs/bubbleboy描述 276 10.4.12 w32/blebla描述 277 10.5 小结 277 参考文献 278 第二部分 防御者的策略 第11章 病毒防御技术 281 11.1 第一代扫描器 282 11.1.1 字符串扫描 282 11.1.2 通配符 284 11.1.3 不匹配字节数 285 11.1.4 通用检测法 285 11.1.5 散列 285 11.1.6 书签 286 11.1.7 首尾扫描 287 11.1.8 入口点和固定点扫描 287 11.1.9 超快磁盘访问 288 11.2 第二代扫描器 288 11.2.1 智能扫描 288 11.2.2 骨架扫描法 289 11.2.3 近似精确识别法 289 11.2.4 精确识别法 290 11.3 算法扫描方法 291 11.3.1 过滤法 292 11.3.2 静态解密程序检测法 293 11.3.3 x光检测法 294 11.4 代码仿真 298 11.4.1 用代码仿真来检测加密和多态病毒 301 11.4.2 动态解密程序检测法 303 11.5 变形病毒检测实例 304 11.5.1 几何检测法 305 11.5.2 反汇编技术 305 11.5.3 采用仿真器进行跟踪 306 11.6 32位windows病毒的启发式分析 308 11.6.1 代码从最后一节开始执行 309 11.6.2 节头部可疑的属性 309 11.6.3 pe可选头部有效尺寸的值不正确 309 11.6.4 节之间的“间隙” 309 11.6.5 可疑的代码重定向 309 11.6.6 可疑的代码节名称 310 11.6.7 可能的头部感染 310 11.6.8 来自kernel32.dll的基于序号的可疑导入表项 310 11.6.9 导入地址表被修改 310 11.6.10 多个pe头部 310 11.6.11 多个windows程序头部和可疑的kernel32.dll导入表项 310 11.6.12 可疑的重定位信息 310 11.6.13 内核查询 311 11.6.14 内核的完整性 311 11.6.15 把节装入到vmm的地址空间 311 11.6.16 可选头部的sizeofcode域取值不正确 311 11.6.17 含有多个可疑标志的例子 311 11.7 基于神经网络的启发式分析 312 11.8 常规及通用清除法 314 11.8.1 标准清除法 314 11.8.2 通用解密程序 315 11.8.3 通用清除程序如何工作 316 11.8.4 清除程序如何确定一个文件是否染毒 316 11.8.5 宿主文件原来的结尾在哪里 316 11.8.6 能用这种方法清除的病毒有多少类 316 11.8.7 通用修复法中的启发性标记实例 317 11.8.8 通用清除过程实例 318 11.9 接种 319 11.10 访问控制系统 319 11.11 完整性检查 320 11.11.1 虚警 321 11.11.2 干净的初始状态 321 11.11.3 速度 322 11.11.4 特殊对象 322 11.11.5 必须有对象发生改变 322 11.11.6 可能的解决方案 322 11.12 行为阻断 323 11.13 沙箱法 324 11.14 结论 325 参考文献 325 第12章 内存扫描与杀毒 328 12.1 引言 329 12.2 windows nt虚拟内存系统 330 12.3 虚拟地址空间 331 12.4 用户模式的内存扫描 334 12.4.1 ntquerysysteminformation()的秘密 334 12.4.2 公共进程及特殊的系统权限 335 12.4.3 win32子系统中的病毒 336 12.4.4 分配私有页面的win32病毒 337 12.4.5 原生windows nt服务病毒 338 12.4.6 使用隐藏窗口过程的win32病毒 339 12.4.7 被执行映像自身包含的win32病毒 339 12.5 内存扫描和页面调度 341 12.6 内存杀毒 342 12.6.1 终止包含病毒代码的特定进程 342 12.6.2 检测和终止病毒线程 343 12.6.3 修复活跃页面中的病毒代码 345 12.6.4 如何为已装入内存的dll及运行中的应用程序杀毒 346 12.7 内核模式的内存扫描 346 12.7.1 扫描进程的用户地址空间 346 12.7.2 确定nt服务api的入口点 347 12.7.3 用于内核模式内存扫描的重要nt函数 348 12.7.4 进程上下文 348 12.7.5 扫描地址空间上部的2gb 349 12.7.6 如何使一个过滤驱动程序病毒失去活性 349 12.7.7 对付只读型的内核内存 350 12.7.8 64位平台上内核模式的内存扫描 351 12.8 可能的内存扫描攻击 353 12.9 结论和下一步工作 354 参考文献 354 第13章 蠕虫拦截技术和基于主机的入侵防御 356 13.1 引言 356 13.1.1 脚本拦截和smtp蠕虫拦截 357 13.1.2 需要拦截的新型攻击：codered，slammer 359 13.2 缓冲区溢出攻击的对策 359 13.2.1 代码复查 360 13.2.2 编译器级的解决方案 361 13.2.3 操作系统级的解决方案和运行时扩展 366 13.2.4 子系统扩展—libsafe 367 13.2.5 内核模式扩展 368 13.2.6 程序监管 369 13.3 蠕虫拦截技术 369 13.3.1 注入代码检测 369 13.3.2 发送拦截：自发送型代码的拦截实例 374 13.3.3 异常处理程序验证 375 13.3.4 减轻return-to-libc攻击的其他技术 378 13.3.5 “got”和“iat”页面属性 381 13.3.6 高连接数和大量的连接错误 382 13.4 未来可能出现的蠕虫攻击 382 13.4.1 反制蠕虫数量的可能增长 382 13.4.2 雷达探测不到的“慢”蠕虫 382 13.4.3 多态和变形蠕虫 383 13.4.4 大规模的破坏 384 13.4.5 自动化的漏洞利用代码发现—从环境中学习 384 13.5 结论 384 参考文献 385 第14章 网络级防御策略 387 14.1 引言 387 14.2 使用路由器访问列表 388 14.3 防火墙保护 389 14.4 网络入侵检测系统 391 14.5 蜜罐系统 392 14.6 反击 395 14.7 早期预警系统 395 14.8 蠕虫的网络行为模式 396 14.8.1 捕捉blaster蠕虫 396 14.8.2 捕捉linux/slapper蠕虫 397 14.8.3 捕捉w32/sasser.d蠕虫 399 14.8.4 捕获w32/welchia蠕虫的ping请求 401 14.8.5 检测w32/slammer及相关的漏洞利用代码 401 14.9 结论 403 参考文献 403 第15章 恶意代码分析技术 404 15.1 个人的病毒分析实验室 404 15.2 信息、信息、信息 406 15.2.1 系统结构指南 406 15.2.2 知识库 406 15.3 vmware上的专用病毒分析系统 407 15.4 计算机病毒分析过程 408 15.4.1 准备 408 15.4.2 脱壳 413 15.4.3 反汇编和解密 413 15.4.4 动态分析技术 419 15.5 维护恶意代码库 437 15.6 自动分析：数字免疫系统 437 参考文献 439 第16章 结论 441 进一步阅读资料 441 安全和早期预警方面的信息 441 安全更新 442 计算机蠕虫爆发统计数据 442 计算机病毒研究论文 442 反病毒厂商联系方式 443 反病毒产品测试机构及相关网站 ... 444