v

您的位置:VeryCD图书计算机与网络

图书资源事务区


《计算机病毒防范艺术》(The Art of Computer Virus Research and Defense)扫描版[PDF]

  • 状态: 精华资源
  • 摘要:
    图书分类网络
    出版社机械工业出版社
    发行时间2006年12月21日
    语言简体中文
  • 时间: 2013/04/28 10:34:04 发布 | 2013/04/29 04:18:52 更新
  • 分类: 图书  计算机与网络 

slholmes

精华资源: 762

全部资源: 762

相关: 分享到新浪微博   转播到腾讯微博   分享到开心网   分享到人人   分享到QQ空间   订阅本资源RSS更新   美味书签  subtitle
该内容尚未提供权利证明,无法提供下载。
中文名计算机病毒防范艺术
原名The Art of Computer Virus Research and Defense
作者Peter Szor
图书分类网络
资源格式PDF
版本扫描版
出版社机械工业出版社
书号7111205561
发行时间2006年12月21日
地区大陆
语言简体中文
简介

IPB Image

内容介绍:

  本书作者是赛门铁克(symantec)公司安全响应中心的首席安全架构师,他根据自己设计和改进norton antivirus系列产品及培训病毒分析人员的过程中遇到的问题精心总结编写了本书。本书最大的特色是大胆深入地探讨了病毒知识的技术细节,从病毒的感染策略上深入分析病毒的复杂性,从文件、内存和网络等多个角度讨论病毒的感染技术,对过去20年来黑客们开发的各种病毒技巧进行了分类和讲解,并介绍了代码变形和其他新兴病毒感染技术,展示了当前计算机病毒和防毒软件的最新技术,向读者传授计算机病毒分析和防护的方法学。.
   本书可作为it和安全专业人士的权威指南,同时也适合作为大学计算机安全专业本科、研究生的参考教材。
   本书由symantec首席反病毒研究员执笔,是讲述现代病毒威胁、防御技术和分析工具的权威指南。与多数讲述计算机病毒的书籍不同,本书完全是一本为白帽子黑客 (即负责保护自己所在组织免受恶意代码攻击的it及安全专业人士) 编写的参考书。作者系统地讲述了反病毒技术的方方面面,包括病毒行为、病毒分类、保护策略、反病毒技术及蠕虫拦截技术等。..
   书中介绍了目前最先进的恶意代码技术和保护技术,提供充分的技术细节帮助读者对付日益复杂的攻击。书中包含大量关于代码变形和其他新兴技术方面的信息,学习这些知识可以让读者未雨绸缪,为应对未来的威胁提前做好准备。
   本书是目前已出版的同类书中对基本病毒分析技术讲解最透彻和最实用的,从个人实验室的创建到分析过程的自动化,对其中涉及的方方面面都作了描述。


内容截图:

IPB Image






(长期更新各类图书)



目录

译者序.
作者介绍
前言
致谢
第一部分 攻击者的策略
第1章 引言:自然的游戏 1
1.1 自我复制结构的早期模型 1
1.1.1 约翰·冯·诺伊曼:自我复制自动机理论 2
1.1.2 fredkin:重建结构 3
1.1.3 conway:生命游戏 4
1.1.4 磁芯大战:程序对战 6
1.2 计算机病毒的起源 10
1.3 自动复制代码:计算机病毒的原理和定义 11
参考文献 13
第2章 恶意代码分析的魅力 14
2.1 计算机病毒研究的通用模式 16
2.2 反病毒防护技术的发展 16
2.3 恶意程序的相关术语 17
2.3.1 病毒 17
2.3.2 蠕虫 17
.2.3.3 逻辑炸弹 18
2.3.4 特洛伊木马 19
2.3.5 细菌 20
2.3.6 漏洞利用 20
2.3.7 下载器 20
2.3.8 拨号器 20
2.3.9 投放器 20
2.3.10 注入程序 21
2.3.11 auto-rooter 21
2.3.12 工具包(病毒生成器) 21
2.3.13 垃圾邮件发送程序 21
2.3.14 洪泛攻击 22
2.3.15 击键记录器 22
2.3.16 rootkit 22
2.4 其他类别 23
2.4.1 玩笑程序 23
2.4.2 恶作剧:连锁电子邮件 23
2.4.3 其他有害程序:广告软件和间谍软件 24
2.5 计算机恶意软件的命名规则 24
2.5.1 [family_name] 25
2.5.2 [malware_type]:// 25
2.5.3 [platform]/ 25
2.5.4 .[group_name] 26
2.5.5 [infective_length] 26
2.5.6 [variant] 26
2.5.7 [[devolution]] 26
2.5.8 [modifiers] 26
2.5.9 :[locale_specifier] 26
2.5.10 #[packer] 26
2.5.11 @m或@mm 26
2.5.12 ![vendor-specific_comment] 26
2.6 公认的平台名称清单 27
参考文献 29
第3章 恶意代码环境 31
3.1 计算机体系结构依赖性 32
3.2 cpu依赖性 33
3.3 操作系统依赖性 34
3.4 操作系统版本依赖性 34
3.5 文件系统依赖性 35
3.5.1 簇病毒 35
3.5.2 ntfs流病毒 36
3.5.3 ntfs压缩病毒 37
3.5.4 iso镜像文件感染 37
3.6 文件格式依赖性 37
3.6.1 dos上的com病毒 37
3.6.2 dos上的exe病毒 37
3.6.3 16位windows和os/2上的ne病毒 38
3.6.4 os/2上的lx病毒 38
3.6.5 32位windows上的pe病毒 38
3.6.6 unix上的elf病毒 41
3.6.7 设备驱动程序病毒 41
3.6.8 目标代码和库文件病毒 42
3.7 解释环境依赖性 42
3.7.1 微软产品中的宏病毒 42
3.7.2 ibm系统中的rexx病毒 50
3.7.3 dec/vms上的dcl病毒 51
3.7.4 unix上的shell脚本(csh、ksh和bash) 51
3.7.5 windows系统中的vbscript病毒 52
3.7.6 批处理病毒 52
3.7.7 mirc、pirch脚本中的即时消息病毒 53
3.7.8 superlogo病毒 53
3.7.9 jscript病毒 55
3.7.10 perl病毒 55
3.7.11 用嵌入html邮件的jellyscript编写的webtv蠕虫 55
3.7.12 python病毒 56
3.7.13 vim病毒 56
3.7.14 emacs病毒 56
3.7.15 tcl病毒 56
3.7.16 php病毒 56
3.7.17 mapinfo病毒 57
3.7.18 sap上的abap病毒 57
3.7.19 windows帮助文件病毒——当你按下f1…… 57
3.7.20 adobe pdf 中的jscript威胁 58
3.7.21 applescript 的依赖性 58
3.7.22 ansi的依存关系 58
3.7.23 macromedia flash动作脚本(action-script)威胁 59
3.7.24 hypertalk脚本威胁 59
3.7.25 autolisp脚本病毒 60
3.7.26 注册表依赖性 60
3.7.27 pif和lnk的依赖性 61
3.7.28 lotus word专业版中的宏病毒 61
3.7.29 amipro的文档病毒 61
3.7.30 corel脚本病毒 61
3.7.31 lotus 1-2-3 宏的依赖性 62
3.7.32 windows安装脚本的依赖性 62
3.7.33 autorun.inf和windows inifile依存性 62
3.7.34 html 依赖性 63
3.8 系统漏洞依赖性 63
3.9 日期和时间依赖性 63
3.10 jit依赖性:microsoft .net病毒 64
3.11 档案文件格式依赖性 65
3.12 基于扩展名的文件格式依赖性 65
3.13 网络协议依赖性 66
3.14 源代码依赖关系 66
3.15 在mac和palm平台上的资源依赖性 68
3.16 宿主大小依赖性 68
3.17 调试器依赖性 69
3.18 编译器和连接器依赖性 70
3.19 设备翻译层依赖性 71
3.20 嵌入式对象插入依赖性 73
3.21 自包含环境的依赖性 73
3.22 复合病毒 74
3.23 结论 75
参考文献 76
第4章 感染策略的分类 79
4.1 引导区病毒 79
4.1.1 主引导记录感染技术 80
4.1.2 dos引导记录感染技术 82
4.1.3 随windows 95发作的引导区病毒 83
4.1.4 在网络环境下对引导映像的可能攻击 84
4.2 文件感染技术 84
4.2.1 重写病毒 84
4.2.2 随机重写病毒 85
4.2.3 追加病毒 85
4.2.4 前置病毒 86
4.2.5 典型的寄生病毒 87
4.2.6 蛀穴病毒 88
4.2.7 分割型蛀穴病毒 88
4.2.8 压缩型病毒 89
4.2.9 变形虫感染技术 90
4.2.10 嵌入式解密程序技术 90
4.2.11 嵌入式解密程序和病毒体技术 91
4.2.12 迷惑性欺骗跳转技术 92
4.2.13 入口点隐蔽病毒 92
4.2.14 未来可能的感染技术:代码建造器 99
4.3 深入分析win32 病毒 99
4.3.1 win32 api及其支持平台 100
4.3.2 32位windows感染技术 102
4.3.3 win32和win64病毒:是针对microsoft windows设计的吗 116
4.4 结论 118
参考文献 118
第5章 内存驻留技术 120
5.1 直接感染型病毒 120
5.2 内存驻留病毒 120
5.2.1 中断处理和钩挂 121
5.2.2 钩挂int 13h中断例程(引导区病毒) 123
5.2.3 钩挂int 21h中断例程(文件型病毒) 124
5.2.4 dos环境常用的内存加载技术 127
5.2.5 隐藏型病毒 129
5.2.6 磁盘高速缓存和系统缓存感染 135
5.3 临时内存驻留病毒 136
5.4 交换型病毒 137
5.5 进程病毒(用户模式) 137
5.6 内核模式中的病毒(windows 9x /me) 137
5.7 内核模式中的病毒 (windows nt/2000/xp) 138
5.8 通过网络传播的内存注入病毒 139
参考文献 140
第6章 基本的自保护策略 141
6.1 隧道病毒 141
6.1.1 通过扫描内存查找原中断处理例程 141
6.1.2 跟踪调试接口 141
6.1.3 基于代码仿真的隧道技术 142
6.1.4 使用i/o端口直接访问磁盘 142
6.1.5 使用未公开的函数 142
6.2 装甲病毒 142
6.2.1 反反汇编 143
6.2.2 数据加密 143
6.2.3 使用代码迷惑对抗分析 144
6.2.4 基于操作码混合的代码迷惑 145
6.2.5 使用校验和 146
6.2.6 基于压缩的隐蔽代码 146
6.2.7 反跟踪 147
6.2.8 抗启发式检测技术 152
6.2.9 抗仿真技术 158
6.2.10 抗替罪羊病毒 161
6.3 攻击性的反制病毒 162
参考文献 163
第7章 高级代码演化技术和病毒生成工具 165
7.1 引言 165
7.2 代码演化 165
7.3 加密病毒 166
7.4 寡形病毒 169
7.5 多态病毒 171
7.5.1 1260病毒 171
7.5.2 dark avenger病毒中的突变引擎(mte) 172
7.5.3 32位多态病毒 174
7.6 变形病毒 177
7.6.1 什么是变形病毒 177
7.6.2 简单的变形病毒 178
7.6.3 更加复杂的变形病毒和置换技术 179
7.6.4 置换其他程序:病毒机的终极版 181
7.6.5 高级变形病毒:zmist 182
7.6.6 { w32, linux} /simile:跨平台的变形引擎 185
7.7 病毒机 190
7.7.1 vcs 190
7.7.2 genvir 190
7.7.3 vcl 190
7.7.4 ps-mpc 191
7.7.5 ngvck 191
7.7.6 其他病毒机和变异工具 192
7.7.7 如何测试病毒机 193
参考文献 193
第8章 基于病毒载荷的分类方法 195
8.1 没有载荷 195
8.2 偶然破坏型载荷 196
8.3 非破坏型载荷 196
8.4 低破坏型载荷 197
8.5 强破坏型载荷 198
8.5.1 数据重写型病毒 198
8.5.2 数据欺骗 199
8.5.3 加密数据的病毒:好坏难辨 200
8.5.4 破坏硬件 201
8.6 dos攻击 201
8.7 窃取数据:用病毒牟利 203
8.7.1 网络钓鱼攻击 203
8.7.2 后门 204
8.8 结论 205
参考文献 205
第9章 计算机蠕虫的策略 207
9.1 引言 .. 207
9.2 计算机蠕虫的通用结构 208
9.2.1 目标定位 208
9.2.2 感染传播 208
9.2.3 远程控制和更新接口 208
9.2.4 生命周期管理 209
9.2.5 蠕虫载荷 209
9.2.6 自跟踪 210
9.3 目标定位 210
9.3.1 收集电子邮件地址 210
9.3.2 网络共享枚举攻击 214
9.3.3 网络扫描和目标指纹分析 215
9.4 感染传播 218
9.4.1 攻击安装了后门的系统 218
9.4.2 点对点网络攻击 219
9.4.3 即时消息攻击 220
9.4.4 电子邮件蠕虫攻击和欺骗技术 220
9.4.5 插入电子邮件附件 220
9.4.6 smtp代理攻击 221
9.4.7 smtp攻击 221
9.4.8 使用mx查询进行smtp传播 223
9.4.9 nntp攻击 223
9.5 常见的蠕虫代码传送和执行技术 224
9.5.1 基于可执行代码的攻击 224
9.5.2 连接到web站点或者web代理 224
9.5.3 基于html的邮件 225
9.5.4 基于远程登录的攻击 225
9.5.5 代码注入攻击 225
9.5.6 基于shellcode的攻击 226
9.6 计算机蠕虫的更新策略 228
9.6.1 在web和新闻组上的认证更新 229
9.6.2 基于后门的更新 232
9.7 用信令进行远程控制 232
9.8 有意无意的交互 234
9.8.1 合作 234
9.8.2 竞争 236
9.8.3 未来:简单蠕虫通信协议 237
9.9 无线移动蠕虫 237
参考文献 239
第10章 漏洞利用、漏洞和缓冲区溢出攻击 241
10.1 引言 241
10.1.1 混合攻击的定义 241
10.1.2 威胁 241
10.2 背景 242
10.3 漏洞的类型 243
10.3.1 缓冲区溢出 243
10.3.2 第一代缓冲区溢出攻击 243
10.3.3 第二代攻击 245
10.3.4 第三代攻击 250
10.4 攻击实例 261
10.4.1 1988年的morris蠕虫(利用堆栈溢出执行shellcode) 261
10.4.2 1998年的linux/adm(“抄袭”morris蠕虫) 263
10.4.3 2001年爆发的codered(代码注入攻击) 263
10.4.4 2002年的linux/slapper蠕虫(堆溢出实例) 266
10.4.5 2003年1月的w32/slammer蠕虫(mini蠕虫) 270
10.4.6 2003年8月blaster蠕虫(win32上基于shellcode的攻击) 272
10.4.7 计算机病毒中缓冲区溢出的一般用法 274
10.4.8 w32/badtrans.b@mm描述 274
10.4.9 w32/nimda.a@mm所用的漏洞攻击方法 274
10.4.10 w32/bolzano描述 275
10.4.11 vbs/bubbleboy描述 276
10.4.12 w32/blebla描述 277
10.5 小结 277
参考文献 278
第二部分 防御者的策略
第11章 病毒防御技术 281
11.1 第一代扫描器 282
11.1.1 字符串扫描 282
11.1.2 通配符 284
11.1.3 不匹配字节数 285
11.1.4 通用检测法 285
11.1.5 散列 285
11.1.6 书签 286
11.1.7 首尾扫描 287
11.1.8 入口点和固定点扫描 287
11.1.9 超快磁盘访问 288
11.2 第二代扫描器 288
11.2.1 智能扫描 288
11.2.2 骨架扫描法 289
11.2.3 近似精确识别法 289
11.2.4 精确识别法 290
11.3 算法扫描方法 291
11.3.1 过滤法 292
11.3.2 静态解密程序检测法 293
11.3.3 x光检测法 294
11.4 代码仿真 298
11.4.1 用代码仿真来检测加密和多态病毒 301
11.4.2 动态解密程序检测法 303
11.5 变形病毒检测实例 304
11.5.1 几何检测法 305
11.5.2 反汇编技术 305
11.5.3 采用仿真器进行跟踪 306
11.6 32位windows病毒的启发式分析 308
11.6.1 代码从最后一节开始执行 309
11.6.2 节头部可疑的属性 309
11.6.3 pe可选头部有效尺寸的值不正确 309
11.6.4 节之间的“间隙” 309
11.6.5 可疑的代码重定向 309
11.6.6 可疑的代码节名称 310
11.6.7 可能的头部感染 310
11.6.8 来自kernel32.dll的基于序号的可疑导入表项 310
11.6.9 导入地址表被修改 310
11.6.10 多个pe头部 310
11.6.11 多个windows程序头部和可疑的kernel32.dll导入表项 310
11.6.12 可疑的重定位信息 310
11.6.13 内核查询 311
11.6.14 内核的完整性 311
11.6.15 把节装入到vmm的地址空间 311
11.6.16 可选头部的sizeofcode域取值不正确 311
11.6.17 含有多个可疑标志的例子 311
11.7 基于神经网络的启发式分析 312
11.8 常规及通用清除法 314
11.8.1 标准清除法 314
11.8.2 通用解密程序 315
11.8.3 通用清除程序如何工作 316
11.8.4 清除程序如何确定一个文件是否染毒 316
11.8.5 宿主文件原来的结尾在哪里 316
11.8.6 能用这种方法清除的病毒有多少类 316
11.8.7 通用修复法中的启发性标记实例 317
11.8.8 通用清除过程实例 318
11.9 接种 319
11.10 访问控制系统 319
11.11 完整性检查 320
11.11.1 虚警 321
11.11.2 干净的初始状态 321
11.11.3 速度 322
11.11.4 特殊对象 322
11.11.5 必须有对象发生改变 322
11.11.6 可能的解决方案 322
11.12 行为阻断 323
11.13 沙箱法 324
11.14 结论 325
参考文献 325
第12章 内存扫描与杀毒 328
12.1 引言 329
12.2 windows nt虚拟内存系统 330
12.3 虚拟地址空间 331
12.4 用户模式的内存扫描 334
12.4.1 ntquerysysteminformation()的秘密 334
12.4.2 公共进程及特殊的系统权限 335
12.4.3 win32子系统中的病毒 336
12.4.4 分配私有页面的win32病毒 337
12.4.5 原生windows nt服务病毒 338
12.4.6 使用隐藏窗口过程的win32病毒 339
12.4.7 被执行映像自身包含的win32病毒 339
12.5 内存扫描和页面调度 341
12.6 内存杀毒 342
12.6.1 终止包含病毒代码的特定进程 342
12.6.2 检测和终止病毒线程 343
12.6.3 修复活跃页面中的病毒代码 345
12.6.4 如何为已装入内存的dll及运行中的应用程序杀毒 346
12.7 内核模式的内存扫描 346
12.7.1 扫描进程的用户地址空间 346
12.7.2 确定nt服务api的入口点 347
12.7.3 用于内核模式内存扫描的重要nt函数 348
12.7.4 进程上下文 348
12.7.5 扫描地址空间上部的2gb 349
12.7.6 如何使一个过滤驱动程序病毒失去活性 349
12.7.7 对付只读型的内核内存 350
12.7.8 64位平台上内核模式的内存扫描 351
12.8 可能的内存扫描攻击 353
12.9 结论和下一步工作 354
参考文献 354
第13章 蠕虫拦截技术和基于主机的入侵防御 356
13.1 引言 356
13.1.1 脚本拦截和smtp蠕虫拦截 357
13.1.2 需要拦截的新型攻击:codered,slammer 359
13.2 缓冲区溢出攻击的对策 359
13.2.1 代码复查 360
13.2.2 编译器级的解决方案 361
13.2.3 操作系统级的解决方案和运行时扩展 366
13.2.4 子系统扩展—libsafe 367
13.2.5 内核模式扩展 368
13.2.6 程序监管 369
13.3 蠕虫拦截技术 369
13.3.1 注入代码检测 369
13.3.2 发送拦截:自发送型代码的拦截实例 374
13.3.3 异常处理程序验证 375
13.3.4 减轻return-to-libc攻击的其他技术 378
13.3.5 “got”和“iat”页面属性 381
13.3.6 高连接数和大量的连接错误 382
13.4 未来可能出现的蠕虫攻击 382
13.4.1 反制蠕虫数量的可能增长 382
13.4.2 雷达探测不到的“慢”蠕虫 382
13.4.3 多态和变形蠕虫 383
13.4.4 大规模的破坏 384
13.4.5 自动化的漏洞利用代码发现—从环境中学习 384
13.5 结论 384
参考文献 385
第14章 网络级防御策略 387
14.1 引言 387
14.2 使用路由器访问列表 388
14.3 防火墙保护 389
14.4 网络入侵检测系统 391
14.5 蜜罐系统 392
14.6 反击 395
14.7 早期预警系统 395
14.8 蠕虫的网络行为模式 396
14.8.1 捕捉blaster蠕虫 396
14.8.2 捕捉linux/slapper蠕虫 397
14.8.3 捕捉w32/sasser.d蠕虫 399
14.8.4 捕获w32/welchia蠕虫的ping请求 401
14.8.5 检测w32/slammer及相关的漏洞利用代码 401
14.9 结论 403
参考文献 403
第15章 恶意代码分析技术 404
15.1 个人的病毒分析实验室 404
15.2 信息、信息、信息 406
15.2.1 系统结构指南 406
15.2.2 知识库 406
15.3 vmware上的专用病毒分析系统 407
15.4 计算机病毒分析过程 408
15.4.1 准备 408
15.4.2 脱壳 413
15.4.3 反汇编和解密 413
15.4.4 动态分析技术 419
15.5 维护恶意代码库 437
15.6 自动分析:数字免疫系统 437
参考文献 439
第16章 结论 441
进一步阅读资料 441
安全和早期预警方面的信息 441
安全更新 442
计算机蠕虫爆发统计数据 442
计算机病毒研究论文 442
反病毒厂商联系方式 443
反病毒产品测试机构及相关网站 ... 444

正在读取……

这里是其它用户补充的资源(我也要补充):

暂无补充资源
正在加载,请稍等...

点击查看所有8网友评论

 

(?) [公告]留口水、评论相关规则 | [活动]每日签到 轻松领取电驴经验

    小贴士:
  1. 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
  2. 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
  3. 勿催片。请相信驴友们对分享是富有激情的,如果确有更新版本,您一定能搜索到。
  4. 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
  5. 如果您发现自己的评论不见了,请参考以上4条。