《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著43.8万字第1章计算机病毒概述1.1.1计算机病毒的起源----第一种为科学幻想起源说，第二种为恶作剧，第三种为戏程序（70年代，贝尔实验室，Core War）, 第四种为软件商保护软件起源说。

1.计算机病毒的发展历史-----第一代病毒，传统的病毒，第二代病毒（1989-1991年），混合型病毒（或“超级病毒”），采取了自我保护措施（如加密技术，反跟踪技术）；第三代病毒(1992-1995年)多态性病毒（自我变形病毒）首创者Mark Washburn-----“1260病毒”；最早的多态性的实战病毒----“黑夜复仇者”（Dark Avenger）的变种MutationDark Avenger ；1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集（Virus Construction Sets）----“计算机病毒创建库”（Virus Create Library）, ”幽灵”病毒；第四代病毒（1996-至今），使用文件传输协议（FTP）进行传播的蠕虫病毒，破坏计算机硬件的CIH，远程控制工具“后门”（Bank Orifice）,”网络公共汽车”（NetBus）等。

2.计算机病毒的基本特征----1.程序性（利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序），2、传染性，3、隐蔽性（兼容性、程序不可见性）4、潜伏性（“黑色星期五”，“上海一号”，CIH）,5、破坏性，6、可触发性，7、不可预见性，8、针对性，9、非授权可执行性，10、衍生性。

1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介（QQ，MSN等即时通讯软件，可移动存储设备，网页，网络主动传播，网络，“钓鱼”），2.与黑客技术相融合（“Nimda”,CodeRed,”求职信”），3.采取了诸多的自我保护机制（逃避、甚至主动抑制杀毒软件），4.采用压缩技术（压缩变形----特征码改变，压缩算法，“程序捆绑器”），5.影响面广，后果严重，6.病毒编写越来越简单，7.摆脱平台依赖性的“恶意网页”。

1.2.3.计算机病毒的生命周期----1.孕育期（程序设计，传播），2.潜伏感染期，3.发病期，4.发现期，5.消化期，6.消亡期。

第2章计算机病毒的工作机制2.1.1计算机病毒的典型组成三大模块-----1.引导模块（将病毒引入计算机内存，为传染模块和表现模块设置相应的启动条件），2.感染模块（两大功能-----1.依据引导模块设置的传染条件，做判断；2启动传染功能），3.表现模块（两大功能----依据引导模块设置的触发条件，做判断；或者说表现条件判断子模块 2.1启动病毒，即表现功能实现子模块）2.2.1计算机病毒的寄生方式-----1.替代法（寄生在磁盘引导扇区）；2.链接法（链接在正常程序的首部、尾部、或中间）。

2.2.2．计算病毒的引导过程-----1。

驻留内存，2.获得系统控制权，3.恢复系统功能。

2.4.1.计算机病毒的触发机制----1.日期，2.时间，3.键盘4.感染触发，5.启动，6.访问磁盘次数，7.调用中断功能触发，8.CPU型号/主板型号触发。

第三章计算机病毒的表现3.1.计算机病毒发作前的表现----1.经常无故死机，操作系统无法正常启动，运行速度异常，4.内存不足的错误，5.打印、通信及主机接口发生异常，6.无意中要求对软盘进行写操作，7.以前能正常运行的应用程序经常死机或者出现非法错误，8.系统文件的时、日期和大小发生变化，9.宏病毒的表现现象，10、磁盘空间迅速减少，11.网络驱动器卷或者共享目录无法调用，陌生人发来的电子邮件，13.自动链接到一些陌生的网站。

3.2计算机病毒发作时的表现----1.显示器屏幕异常，2、声音异常，3.硬盘灯不断闪烁，4.进行游戏算法，5.Windows桌面图标发生变化，6.突然死机或者重启，7.自动发送电子邮件，8.键盘、鼠标失控，9.被感染系统的服务端口被打开，10.反计算机病毒软件无法正常工作。

3.3计算机病毒发作后的表现----1。

硬盘无法启动，数据丢失，2.文件、文件目录丢失或者被破坏，3、数据密级异常，4.使部分可软件升级的主板的BIOS程序混乱，网络瘫痪，6.其它异常现象。

第4章新型计算机病毒的发展趋势4.1计算机病毒的发展趋势----1.网络化，2.个性化、3.隐蔽化，4、多样化，5、平民化，6、智能化。

4.2新型计算机病毒的主要特点：1、系统漏洞(后门)，2、局域网，3、多种方式（文件感染，网络传播----蠕虫、木马），4、欺骗性增强，5、大量消耗系统与网络资源（拒绝服务攻击DoS）,6、更广泛的混合特征，7、病毒与黑客技术融合，8、病毒生成工具多、变种多，9、难于控制和彻底根治，易引起多次疫情。

4.3新型计算机病毒的主要技术----ActiveX和Java，驻留内存技术，3、修改中断向量表技术，4、隐藏技术，5、对抗计算机病毒防范系统技术，6、技术的遗传与组合。

第5章计算机病毒检测技术5.1计算机反病毒技术的发展历程----第一代：单纯的病毒特征代码法，第二代：静态广谱特征扫描方法（广谱特征码、防变种），第三代：静态扫描技术+动态仿真跟踪技术，第四代：基于病毒家族的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等先进的解毒技术，第五代：基于程序行为自主分析判断的实时防护技术（俗称“主动防御”）。

5.2 计算机病毒的主要检测技术----1、外观检测法，2、系统数据对比法，3、病毒签名法，4、特征代码法，5、检查常规内存数，6、校验和法，7、行为检测法（主动防御），8、软件模拟法，9、启发式代码扫描技术，10、病毒分析法，11、主动内核技术，12、感染实验法，13、算法扫描法，14.语义分析法，15、虚拟机分析法。

第六章典型病毒的防范技术6.1 1.引导型计算机病毒，2、文件型病毒，3、CIH病毒（首例直接破坏计算机系统硬件的病毒，破坏FlashBIOS芯片中的系统程序，致使主板损坏），5、脚本病毒，6.宏病毒，7、特洛伊木马病毒，，8、蠕虫病毒，9、黑客型病毒，10、后门病毒（IRC后门计算机病毒）。

第七章网络安全7.1网络安全应该具有以下五个方面的特征：1.保密性，2、完整性，3、可用性，（CIA）4、可控性，5、可审查性。

7.2计算机网络面临的威胁----1、自然灾害，2、黑客的攻击与威胁，3、计算机病毒，4、垃圾邮件和间谍软件，5、信息战的严重威胁，6、计算机犯罪。

7.3网络安全防范的内容----1、防火墙技术，2、数据加密与用户授权访问控制技术，3、入侵检测技术（入侵检测系统、Intrusion Detection System ,IDS）,4防病毒技术，5、安全管理队伍的建设（三分靠技术，七分靠管理）。

7．4恶意代码（Malicious Code），MC的种类：谍件、远程访问特洛伊、zombies 程序的攻击、非法获取资源访问权、键盘记录程序、P2P(Peer-to-Peer,点到点)、逻辑炸弹和时间炸弹。

7.5网络安全的防范技巧-----1、不要轻易运行不明真相的程序，2、屏蔽cookie 信息，3、不同的地方用不同的口令，4、屏蔽ActiveX控件，5、定期清除缓存、历史记录及临时文件夹中的内容，6、不要随意透露任何个人信息，7、突遇莫名其妙的故障时要及时检查系统信息，8、对机密信息实施加密保护，9、拒绝某些可能有威胁的站点对自己的访问，10、加密重要的邮件，11、在自己的计算机中安装防火墙，12、为客户\服务器通信双方提供身份认证，建立安全通道，13、尽量少在聊天室里或使用OICQ聊天，14、及时更新系统安全漏洞补丁，15、及时更新防病毒系统，网上银行、在线交易的安全规范，17、安全的系统设置和管理，18、禁止访问非法的网站，19、入侵检测技术检测网络攻击，20、身份识别和数字签名技术。

第8章即时通信病毒和移动通信病毒分析8.1一个即时通信软件系统又被称为“状态展示与即时通信系统”状态展示服务的内容和形式有以下几个方面：1、方法：用户采取何种客户端进行通信；2、状态信息；3、可用性；4、位置信息。

即时通信服务具有如下特点：1、实时性；2、文本交互；3、异步通信。

8.2移动通信病毒的发作现象：1、破坏操作系统；2、破坏用户数据；3、消耗系统资源；4、窃取用户隐私；5、恶意扣取费用；6、远程控制用户手机；7、其他表现方式。

第9章操作系统漏洞攻击和网络钓鱼概述9.1 Windows操作系统漏洞------1、UPnP服务漏洞，2、升级程序漏洞，3、帮助和支持中心漏洞，4、压缩文件漏洞，5、服务拒绝漏洞，6、Windows Media Player漏洞，7、远程桌面漏洞（RDP漏洞），8、VM漏洞，9、“自注销”漏洞（热键漏洞），10、微软MS08-067漏洞，11.快速用户切换漏洞，12、Stuxnet蠕虫。

9.2操作系统漏洞攻击病毒的安全建议----1、使用安全系数高的密码，2、做好边界防护，3、升级软件，4.关闭没有使用的服务，5、使用数据加密，6、通过备份保护你的数据，7、加密敏感通信，8、不要信任外部网络，9、使用不间断电源支持，10、监控系统的安全是否被威胁和入侵。

9.3“网络钓鱼”（Phishing）是“Phone”和“Fishing”的综合体，网络钓鱼的工作流程-----1、“钓鱼”者入侵初级服务器，窃取用户的名字和邮件地址，2、“钓鱼”者发送有针对性的邮件，3、受害用户访问假冒网址（1，IP地址欺骗；2，链接文字欺骗；3.Unicode编码欺骗），4受害用户提供秘密和用户信息被“钓鱼”者所得，5、“钓鱼”者使用受害用户的身份进入其他网络服务器。

9.4“网络钓鱼”的手段----1、利用电子邮件“钓鱼”，2.利用木马程序“钓鱼”3.利用虚假网址“钓鱼”，4.假冒知名网站“钓鱼”，5.其他“钓鱼”方式。

第十章常用的反病毒软件10.1反病毒软件的发展历程-----1.最早的反计算机病毒程序（对付“爬行者”病毒的“收割者”Reeper），2.DOS时代，3.Internet时代，4.综合“免疫系统”，5.“数字免疫”存在于将来。

10.2国际动态————1.各国执法动作更多，但仍然缺乏计算机病毒和垃圾邮件的制裁手段；2.Windows32计算机病毒仍然占据2010年排行榜（前十大计算机病毒全部都是Windows32计算机病毒）；3.新一波网络银行抢劫风；4。

垃圾邮件发送者不断运用新的伎俩，垃圾邮件无减退现象；5.手机病毒增加，智能手机平台成为未来黑客与病毒肆虐的场所；6.恶作剧计算机病毒及连锁电子邮件仍造成混乱并堵塞电子邮件系统。