計算機病毒防護技術

第1章 計算機病毒基礎
1.1計算機病毒的起源
1.1.1代碼的自複製理論基礎
1.1.2磁芯大戰
1.1.3典型的計算機病毒
1.2計算機病毒的定義
1.2.1計算機病毒的結構
1.2.2計算機病毒的分類
1.3計算機病毒的基本原理
1.3.1計算機病毒的形式化模型
1.3.2計算機病毒的傳播模型
1.3.3系統安全模型
1.3.4計算機病毒的防禦
1.3.5計算機病毒的特徵
1.4計算機病毒的命名
1.4.1命名規則
1.4.2計算機病毒的環境依賴性

第2章 Win32系統關鍵技術
2.1Windows體系結構
2.1.1Win32的含義
2.1.2x86 CPU的工作模式
2.1.3內核態和用戶態
2.1.4位址空間
2.2記憶體管理機制
2.2.1地址綁定
2.2.2Windows的分頁機制
2.2.3i386的位址轉換
2.2.4記憶體保護
2.2.5虛擬記憶體
2.2.6記憶體映射檔
2.3中斷和異常
2.3.1中斷
2.3.2Win32系統服務調用
2.3.3異常
2.4存儲和檔案系統
2.4.1硬碟物理結構
2.4.2硬碟分區結構
2.4.3FAT檔案系統
2.4.4NTFS檔案系統
2.5典型的可執行檔格式
2.5.1Windows可執行檔
2.5.2.com文件
2.5.3可移植檔案格式
2.5.4載入器

第3章 計算機病毒的感染機制
3.1引導型病毒
3.1.1系統引導過程
3.1.2引導型病毒的感染原理
3.1.3主引導磁區代碼分析
3.1.4引導型病毒的實現
3.2檔型病毒
3.2.1檔型病毒的感染機制
3.2.2可移植檔的操作方法
3.2.3空洞病毒的實現
3.2.4追加新節的實現
3.2.5病毒編寫技術
3.3腳本病毒
3.3.1VBS病毒的原理
3.3.2VBS病毒的自保技巧
3.3.3VBS病毒生產機
3.4代碼進化技術
3.4.1加密病毒
3.4.2寡態病毒
3.4.3多態病毒
3.4.4變形病毒
3.4.5病毒生產機

第4章 計算機病毒防禦技術
4.1掃描器技術
4.1.1特徵碼掃描
4.1.2快速掃描
4.1.3骨架檢測
4.1.4精確識別技術
4.1.5演算法掃描
4.2啟發式檢測
4.2.1靜態啟發式檢測
4.2.2動態啟發檢測技術
4.2.3神經網路啟發式檢測
4.3行為檢測器
4.4完整性檢測器
4.5殺毒技術
4.5.1記憶體殺毒
4.5.2文件殺毒
4.5.3通用殺毒

第5章 惡意程式碼技術的發展
5.1惡意程式碼及其分類
5.1.1惡意程式碼攻擊機制
5.1.2常見的惡意程式碼
5.2特洛伊木馬技術
5.2.1木馬的攻擊機制
5.2.2木馬的傳播技術
5.2.3木馬的隱藏技術
5.2.4木馬的通信技術
5.3蠕蟲技術
5.4緩衝區溢位攻擊
5.4.1緩衝區溢位攻擊的原理
5.4.2緩衝區溢位攻擊的實現
5.4.3ShellCode的編寫技巧

第6章 惡意程式碼的分析技術
6.1代碼分析環境
6.2靜態分析技術
6.2.1x86的指令編碼格式
6.2.2x86反彙編
6.3動態跟蹤技術
6.3.1Win32調試API
6.3.2Win32調試機制
6.3.3Win32的異常處理機制

第7章 代碼的自保護技術
7.1防反彙編技術
7.1.1採用加密常量
7.1.2採用複雜指令
7.1.3在操作碼中混合資料
7.1.4使用壓縮（加密）代碼
7.1.5顯式連結外部函數
7.1.6使用隱式的字串
7.2反調試技術
7.2.1使用Is Debugger Present() API
7.2.2掛接x86系統調試中斷
7.2.3利用代碼的校驗和檢測中斷點
7.2.4在執行過程中檢查棧狀態
7.2.5通過異常處理器執行代碼
7.3反啟發式檢測技術
7.3.1利用加殼技術
7.3.2追加多個病毒節
7.3.3偽造文件頭部
7.3.4感染首節的空隙
7.3.5擴大首節的空洞
7.3.6壓縮首節
7.3.7使用隨機入口點
7.3.8隱藏代碼節的屬性
7.3.9重新計算校驗和
7.3.10避免使用CALL to POP技巧
7.3.11使用非常規指令
7.3.12隨機執行病毒代碼
7.4抗替罪羊與反轉錄病毒
7.4.1抗替罪羊技術
7.4.2反轉錄病毒技術
7.4.3反轉錄病毒的典型行為
7.4.4反轉錄病毒的防範措施

第8章 病毒實驗設計
8.1實驗總目的和要求
8.2引導型病毒的編寫
8.3空洞病毒的編寫
8.4追加病毒的編寫
8.5腳本病毒的編寫
8.6手工殺毒技巧
8.7惡意程式碼的分析
參考文獻