计算机病毒揭秘

第一部分 问 题
第1章 基本定义　2
1.1 计算机病毒的真相和传奇　2
1.2 定义　3
1.2.1 病毒与病毒机制　3
1.2.2 病毒结构　4
1.2.3 破坏　4
1.2.4 破坏与感染　5
1.2.5 隐蔽机制　5
1.2.6 多态性　5
1.2.7 这是什么，一本UNIX教科书吗　6
1.2.8 蠕虫的美餐　7
1.2.9 特洛伊木马　7
1.2.10 In the Wild　7
1.3 反病毒软件快速指南　8
1.4 小结　9
第2章 历史回顾　10
2.1 病毒前史：从侏罗纪公园到施乐公司的帕洛阿尔托研究中心　10
2.1.1 蛀洞　10
2.1.2 核心之战　11
2.1.3 Xerox 蠕虫（Shoch/Hupp片段蠕虫）　11
2.2 真实病毒：早期　12
2.2.1 1981：初期苹果二代病毒　13
2.2.2 1983：Elk Cloner　13
2.2.3 1986：(c) BRAIN　14
2.2.4 1987：Goodnight Vienna，Hello Lehigh　15
2.2.5 1988：蠕虫　16
2.3 因特网时代　17
2.3.1 1989：蠕虫、黑色复仇者以及AIDS　18
2.3.2 1990：Polymorph和Multipartite　19
2.3.3 1991：文艺复兴病毒，Tequila Sunrise　19
2.3.4 1992：海龟的复仇　20
2.3.5 1993：多形性规则　21
2.3.6 1994：Smoke Me a Kipper　22
2.3.7 1995：Microsoft Office宏病毒　22
2.3.8 1996：Mac、宏指令、宇宙以及一切　23
2.3.9 1997：恶作剧和连锁信　24
2.3.10 1998：这不是开玩笑　24
2.3.11 1999：这是你的第19次服务器熔化　24
2.3.12 2000：VBScript病毒/蠕虫之年　26
2.4 走向未来　29
2.5 小结　29
第3章 恶意软件的定义　31
3.1 计算机做什么　31
3.2 病毒的功能　32
3.3 变种还是巨大的绝对数字　32
3.4 反毒软件到底检测什么　34
3.4.1 病毒　35
3.4.2 蠕虫　36
3.4.3 预期的效果　37
3.4.4 腐化　38
3.4.5 Germ　38
3.4.6 Dropper　38
3.4.7 测试病毒　39
3.4.8 繁殖器　39
3.4.9 特洛伊　40
3.4.10 密码窃取者和后门　42
3.4.11 玩笑　43
3.4.12 远程访问工具（RAT）　44
3.4.13 DDoS代理　45
3.4.14 Rootkit　46
3.4.15 错误警报　46
3.5 小结　47
第4章 病毒活动和运作　49
4.1 怎样编写一个病毒程序　50
4.2 三部分的结构　52
4.2.1 感染机制　52
4.2.2 触发机制　53
4.2.3 有效载荷　53
4.3 复制　54
4.3.1 非常驻病毒　54
4.3.2 常驻内存病毒　55
4.3.3 Hybrid病毒　55
4.4 一般性、范围、持续性　56
4.5 有效载荷的复制　57
4.6 破坏　57
4.6.1 病毒感染对计算机环境的影响　58
4.6.2 病毒和特洛伊的有效载荷造成的直接破坏　58
4.6.3 心理的及社会的危害　59
4.6.4 次要破坏　59
4.6.5 硬件损害　59
4.7 禁止轰炸　60
4.7.1 逻辑炸弹　60
4.7.2 时间炸弹　60
4.7.3 ANSI炸弹　60
4.7.4 邮件炸弹和签名炸弹　61
4.8 小结　61
第5章 病毒机制　62
5.1 硬件病毒　62
5.2 引导区　66
5.3 文件感染型病毒　67
5.3.1 并接和附加　68
5.3.2 覆盖型病毒　69
5.3.3 误导　70
5.3.4 Companion（Spawning）病毒　71
5.4 多重病毒　72
5.5 译码病毒　73
5.5.1 宏病毒　73
5.5.2 脚本病毒　74
5.6 隐藏机制　74
5.6.1 秘密行动　76
5.6.2 多形性　78
5.6.3 社会工程和恶意软件　79
5.7 小结　81
第二部分 系统解决方案
第6章 Anti-Malware技术综述　84
6.1 主要期望　84
6.2 如何处理病毒及其相关的威胁　86
6.2.1 预先清空措施　86
6.2.2 反病毒软件能做什么　91
6.2.3 超越桌面（Beyond the Desktop）　97
6.2.4 外部采办（Outsourcing）　102
6.3 小结　102
第7章 Malware管理　103
7.1 定义Malware管理　103
7.1.1 主动管理　104
7.1.2 被动管理　110
7.2 相对于管理成本的所有权成本　112
7.3 小结　114
第8章 信息搜集　115
8.1 怎样检查建议是否真实或有用　115
8.2 书籍　116
8.2.1 好的书籍　117
8.2.2 差的书籍（或者至少是普通的）　117
8.2.3 真正丑陋的书籍　118
8.2.4 相关的主题　119
8.2.5 普通的安全书籍　119
8.2.6 法律书籍　121
8.2.7 道德规范书籍　122
8.2.8 小说书籍　123
8.3 文章和论文　124
8.4 在线资源　128
8.4.1 邮件列表和新闻组　129
8.4.2 免费扫描器　130
8.4.3 在线扫描器　130
8.4.4 百科全书　131
8.4.5 病毒欺骗和错误提示　131
8.4.6 评估与评论　132
8.4.7 反病毒厂商　132
8.4.8 普通资源　133
8.4.9 各种各样的文章　133
8.4.10 一般建议　134
8.4.11 特定的病毒和脆弱性　134
8.4.12 普通安全参考资料　136
第9章 产品评估与测试　140
9.1 核心问题　140
9.1.1 成本　141
9.1.2 性能　144
9.1.3 它不是我的默认值（It's Not My Default）　148
9.1.4 杀毒和修复　149
9.1.5 兼容性问题　150
9.1.6 功能范围　151
9.1.7 易用性　154
9.1.8 可配置性　155
9.1.9 易测性　155
9.1.10 支持功能　156
9.1.11 文档　158
9.1.12 外部采购服务（Outsourced Service）　158
9.2 测试匹配　159
9.2.1 相对于可用性的检测　159
9.2.2 其他分类　159
9.2.3 向上反演（Upconversion）　160
9.2.4 都发生在测试包中　161
9.2.5 我们喜欢EICAR　164
9.3 更多的信息　166
9.4 小结　166
第10章 风险及突发事件处理　167
10.1 危险管理　168
10.2 最佳的防卫方式：'未雨绸缪'　169
10.2.1 计算机　169
10.2.2 办公室　169
10.2.3 坚持预防　171
10.2.4 首先，不造成危害　172
10.3 病毒事件的报告　173
10.3.1 Help Desk的调查　174
10.3.2 处理病毒事件　174
10.3.3 病毒识别　175
10.3.4 常规病毒保护策略　176
10.4 小结　176
第11章 用户管理　177
11.1 对主管者的管理　178
11.1.1 政策的意义　178
11.1.2 安全和保险　178
11.1.3 病毒和保险　178
11.2 风险/影响分析　179
11.3 管理的开销　180
11.4 政策问题　181
11.5 Help Desk支持　182
11.6 其他IT支持职员　184
11.7 IT安全和其他　184
11.8 培训和教育　185
11.9 正面援助　187
11.10 恶意软件管理　187
11.11 安全指导方针　187
11.11.1 和你的IT部门检查所有的警告和警报　188
11.11.2 不要相信附件　188
11.11.3 在网站和新闻组上要小心　188
11.11.4 不要安装未授权的软件　189
11.11.5 要对微软的Office文档小心　189
11.11.6 使用并要求安全的文件格式　189
11.11.7 继续使用反病毒软件　189
11.11.8 经常更新防病毒软件　190
11.11.9 升级并不意味着没有脆弱性　190
11.11.10 超级用户并非超人　190
11.11.11 禁止软盘启动　190
11.11.12 软盘写保护　190
11.11.13 避免使用Office　190
11.11.14 重新考虑你的电子邮件和新闻软件　191
11.11.15 在Windows浏览器中显示所有文件的扩展名　191
11.11.16 禁用Windows主机脚本　191
11.11.17 介绍一般的邮件界面　191
11.11.18 利用微软安全资源　192
11.11.19 订阅反病毒销售商的清单　192
11.11.20 扫描所有文件　192
11.11.21 不要依靠反病毒软件　192
11.11.22 备份、备份、再备份　192
11.12 恶作剧处理　193
11.12.1 表单反应　193
11.12.2 对恶作剧的快速了解　194
11.13 小结　194
第三部分 案 例 研 究
第12章 案例研究： 首次浪潮　196
12.1 Brainwashing　196
12.1.1 谁写下了Brain病毒　197
12.1.2 Ohio的银行　198
12.2 MacMag病毒　198
12.2.1 给和平一次机会　199
12.2.2 不道德的传播　200
12.2.3 宏病毒搅乱了你的思维　201
12.3 Scores　201
12.4 Lehigh　202
12.5 CHRISTMA EXEC　203
12.6 Morris蠕虫（Internet蠕虫）　203
12.7 WANK蠕虫　206
12.8 Jerusalem　206
12.9 'AIDS”特洛伊　208
12.10 Everybody Must Get Stoned　208
12.10.1 Michelangelo、Monkey及其他Stoned变体　209
12.10.2 别与MBR胡闹　212
12.11 Form　213
12.12 调制解调器病毒恶作剧　214
12.13 伊拉克打印机病毒　215
12.14 小结　217
第13章 案例研究： 第二浪潮　218
13.1 Black Baron　219
13.2 Good Times就在不远处　220
13.2.1 文本吸引　220
13.2.2 打击正在进行　220
13.2.3 无限循环　220
13.2.4 巨大的影响　221
13.3 Proof of Concept　221
13.3.1 程序和数据　222
13.3.2 游戏的名称　222
13.3.3 什么时候一个有效载荷不是有效载荷　223
13.3.4 自动宏　224
13.4 Empire病毒正慢慢地侵袭回来　225
13.5 WM / Nuclear　226
13.6 Colors　227
13.7 DMV　228
13.8 Wiederoffnen和FormatC　228
13.9 欺骗：Green Stripe和Wazzu　229
13.10 WM/Atom　229
13.11 WM/Cap　230
13.12 Excel病毒　230
13.13 主题的变化　231
13.14 Word 97　232
13.15 感谢你共享　232
13.16 宏病毒术语　233
13.17 反宏病毒技术　234
13.18 Hare　235
13.19 Chernobyl（CIH.Spacefiller）　235
13.20 Esperanto　236
13.21 小结　237
第14章 案例研究： 蠕虫（第三浪潮）　238
14.1 自动启动蠕虫　239
14.2 W97M/Melissa（Mailissa）　240
14.2.1 运行方法　240
14.2.2 感染和发送　241
14.2.3 Sans Souci　241
14.2.4 商业病毒　241
14.2.5 严重的后果　242
14.3 W32/Happy99（Ska），增殖病毒　242
14.4 PrettyPark　243
14.5 Keeping to the Script　243
14.6 VBS/Freelink　244
14.7 给情人的一封信——VBS/LoveLetter　244
14.8 VBS/NewLover-A　246
14.9 Call 911！　247
14.10 VBS/Stages　248
14.11 BubbleBoy和KAKworm　248
14.12 MTX（Matrix，Apology）　249
14.13 Naked Wife　251
14.14 W32/Navidad　251
14.15 W32/Hybris　252
14.16 VBS/VBSWG.J@mm（Anna Kournikova）　253
14.17 VBS/Staple.a@mm　254
14.18 Linux蠕虫　254
14.18.1 Ramen　254
14.18.2 Linux/Lion　255
14.18.3 Linux/Adore（Linux/Red）　255
14.19 Lindose（Winux）　255
14.20 W32/Magistr@mm　256
14.21 BadTrans　256
14.22 小结　257
第四部分 社 会 方 面
第15章 病毒的来源与传播　260
15.1 谁编写了病毒　261
15.2 社会工程　261
15.3 社会工程定义　263
15.3.1 密码窃取者　265
15.3.2 这次是私人性质的　266
15.4 他们为什么编写病毒　267
15.5 次级传播　269
15.6 教育有用吗　270
15.7 全球性的教育　271
15.8 小结　272
第16章 病毒变体、恶作剧及相关垃圾　273
16.1 连锁信　274
16.2 恶作剧　275
16.3 都市传奇　275
16.4 连锁信和恶作剧　276
16.5 恶作剧及病毒警告　276
16.6 显微镜下的错误信息　277
16.6.1 BIOS、CMOS及Battery　277
16.6.2 JPEG恶作剧　278
16.6.3 Budget病毒　278
16.6.4 强烈的觉悟　279
16.6.5 Wheat和Chaff　279
16.6.6 恶作剧启发式识别　279
16.7 Spam，Spam，Spam（第二部分）　285
16.7.1 动机　285
16.7.2 常见主题　287
16.8 垃圾邮件学和病毒学　287
16.9 变异病毒和用户管理　288
16.9.1 我应该告诉我的客户些什么　289
16.9.2 处理垃圾邮件、连锁信和恶作剧警告　289
16.10 小结　290
第17章 法律及准法律　292
17.1 恶意软件和法规　292
17.2 犯罪行动场所　293
17.3 计算机滥用行为　294
17.4 一些概括性概念　295
17.5 数据保护法　295
17.6 数据保护原则　296
17.7 BS7799和病毒控制　297
17.8 ISO 9000　299
17.9 安全构架　300
17.9.1 谁对特定领域中的安全负责　302
17.9.2 什么系统是被保护的　302
17.9.3 执行和配置的细节是什么　302
17.10 政策摘要　303
17.10.1 设备和资源的合理利用　304
17.10.2 电子邮件的合理利用　304
17.10.3 反信件链政策　305
17.10.4 反垃圾邮件政策　306
17.10.5 合理地使用WWW和USENET　306
17.10.6 防病毒政策　306
17.11 小结　307
第18章 责任、道德以及道德规范　308
18.1 道德标准指南　308
18.2 统计资料　310
18.2.1 年龄　310
18.2.2 性别　312
18.3 文化和国家标准　312
18.3.1 国家的问题　313
18.3.2 动机　315
18.3.3 国家之间的差异　315
18.4 习以为常和道德规范　316
18.5 终端用户和责任　316
18.6 防病毒是一种职业吗　317
18.7 销售商和道德标准　318
18.8 商业道德标准　319
18.9 无害　320
18.10 发展行为法规　321
18.11 EICAR　321
18.11.1 公众利益　322
18.11.2 法律的允许　322
18.11.3 老板、顾客和同事的责任　322
18.11.4 对职业的责任　322
18.11.5 专业能力　323
18.12 行为准则确实有效吗　323
18.13 小结　325
第19章 保护　327
19.1 预测　327
19.2 关闭评论　328
19.2.1 坏消息：安全专家们对病毒了解得并不多　328
19.2.2 好消息：一些教育和基本措施确实很有用　328
19.2.3 坏消息：“联手”变得越来越糟　329
19.2.4 好消息：其实是一样的，只是多一些　329
19.2.5 坏消息：多方面的攻击会增加问题的严重性　330
19.2.6 好消息：现存的工具和技术会起作用　330
19.3 最新消息　331
19.3.1 RTF不是“万能药”　331
19.3.2 Poly/Noped　332
19.3.3 Mandragore　332
19.3.4 SULFNBK恶作剧　332
19.3.5 Sadmind　333
19.3.6 Cheese　333
19.3.7 Lindose/Winux　333
19.3.8 MacSimpsons　334
19.3.9 Outlook View Control　334
19.3.10 Code Red/Bady　334
19.3.11 Sircam　335
19.4 小结　335
第五部分 附 录
附录A 有关 VIRUS-L/comp.virus 的常见问答　338
附录B 病毒与Macintosh　364
附录C 社会工程　377
术语表　385
国计算机病毒揭秘