本书根据高职高专教学特点，针对新专业教学标准要求，面向信息安全工程师岗位，以计算机病毒原理分析与防治为主线，结合国内知名计算机病毒防治企业——三六零数字安全科技集团有限公司的实战经验和技术，按工业和信息化部“十四五”规划教材的要求，精心选择最新病毒样本和防病毒技术作为本书内容。本书共分为12章，主要涵盖认识计算机病毒、构建病毒的分析环境、计算机病毒的检测与免疫、脚本病毒的分析与防治、宏病毒的分析与防治、PE病毒的分析与防治、蠕虫病毒的分析与防治、木马病毒的分析与防治、邮件病毒的分析与防治、移动终端恶意代码的分析与防护、反映像劫持技术和反病毒策略。其中部分内容介绍了当前比较流行病毒的样本分析和防护技术，能够很好地满足当前市场对计算机病毒防治的技术需求。

武春岭，男，1975年2月出生，汉族，中共党员，二级教授，现任重庆电子工程职业学院人工智能与大数据学院院长。重庆市政协委员，国家"万人计划”教学名师，享受国务院政府特殊津贴专家，信息安全技术应用国家级教学创新团队负责人，重庆市五一劳动奖章获得者，重庆市技术能手，重庆市特级技师、重庆市级名师，重庆市委网信办网络安全专家咨询委员会副主任，重庆市公安局网络与信息安全信息通报机制专家，重庆市教委信息化专家，兼任中共重庆市网信办专家副主任委员，国家安全行业指导委员会委员，世界技能大赛网络安全赛项中国区专家。

第1章 认识计算机病毒 1
1.1 计算机病毒及其发展 2
1.1.1 计算机病毒的概念 2
1.1.2 计算机病毒的发展过程 2
1.2 计算机病毒的特点及主要类型 8
1.2.1 计算机病毒的特点 8
1.2.2 计算机病毒的主要类型 10
1.3 计算机病毒和恶意软件的区别 11
1.3.1 常见恶意代码的命名规则 11
1.3.2 常见恶意代码的前缀 12
1.4 计算机病毒的危害及预防措施 13
1.4.1 计算机病毒的生命周期 13
1.4.2 计算机病毒的危害 14
1.4.3 常见计算机病毒的预防措施 14
1.5 体会病毒程序 15
1.5.1 批处理文件 15
1.5.2 关机程序 15
1.5.3 修改密码和定时关机的病毒程序 16
第2章 构建病毒的分析环境 23
2.1 常用的分析工具 24
2.1.1 UltraEdit 24
2.1.2 文件的修复 27
2.1.3 捆绑文件的分离 29
2.2 虚拟机系统 31
2.2.1 关于VMware Workstation 31
2.2.2 虚拟机系统的安装 31
2.3 IceSword的使用 35
2.3.1 IceSword的简介 35
2.3.2 IceSword的主要功能 36
2.4 Filemon的使用 42
2.4.1 Filemon的简介 42
2.4.2 Filemon的主要功能 42
2.5 RegSnap的使用 43
2.5.1 RegSnap的简介 43
2.5.2 RegSnap的主要功能 44
2.6 注册表的使用 45
2.6.1 注册表的功能及结构 45
2.6.2 注册表的常用操作及命令 49
2.6.3 注册表操作函数 51
2.6.4 注册表的操作 56
第3章 计算机病毒的检测与免疫 60
3.1 计算机病毒的预防 61
3.2 计算机病毒的免疫方法 63
3.2.1 特定免疫方法 63
3.2.2 基于完整性检查的免疫方法 64
3.3 计算机病毒的检测方法 65
3.3.1 基于现象观察法 65
3.3.2 基于对比法 66
3.3.3 基于加和对比法 66
3.3.4 基于搜索法 67
3.3.5 基于软件仿真扫描法 67
3.3.6 基于先知扫描法 68
3.3.7 基于人工智能陷阱技术 68
3.4 U盘病毒实践 68
第4章 脚本病毒的分析与防治 71
4.1 脚本病毒的技术原理 72
4.1.1 脚本病毒 72
4.1.2 脚本病毒的技术特征 73
4.2 脚本病毒的破坏性和清除 75
4.3 脚本病毒的行为分析 79
4.3.1 利用磁盘文件对象 79
4.3.2 注册表恶意篡改 81
4.4 万花谷病毒的实例分析 82
4.4.1 万花谷病毒的源代码分析 82
4.4.2 万花谷病毒的行为分析及清除 84
4.5 新欢乐时光病毒的实例分析 86
4.5.1 新欢乐时光病毒的介绍 86
4.5.2 新欢乐时光病毒的特征 88
4.5.3 新欢乐时光病毒的源代码分析 88
4.5.4 新欢乐时光病毒的行为分析 97
4.5.5 手工清除新欢乐时光病毒 98
4.6 脚本病毒防治 100
4.6.1 隐藏和恢复驱动器 100
4.6.2 修改和恢复IE标题 101
4.6.3 隐藏和恢复“开始”菜单中的“运行”命令 103
第5章 宏病毒的分析与防治 107
5.1 关于宏病毒 108
5.1.1 宏 108
5.1.2 Office文档的文件格式 108
5.1.3 宏病毒的原理 109
5.2 宏病毒的特点 110
5.2.1 自动运行 110
5.2.2 调用API和外部程序 111
5.2.3 宏代码混淆 111
5.3 宏病毒的检测 113
5.4 宏病毒的预防和清除 113
5.4.1 宏病毒的预防 113
5.4.2 宏病毒的清除 114
5.5 宏的制作和清除 116
5.5.1 宏的录制 116
5.5.2 宏的编辑 117
5.5.3 宏的清除 119
第6章 PE病毒的分析与防治 122
6.1 PE文件的结构 123
6.1.1 PE文件的定义 123
6.1.2 DOS头部文件的结构 123
6.1.3 PE头部文件的结构 123
6.1.4 表的结构 125
6.1.5 PE节的结构 126
6.2 PE病毒的判断 126
6.2.1 判断PE文件中的程序入口 126
6.2.2 根据PE结构提取特征代码 126
6.3 链接库与函数 127
6.3.1 静态链接 127
6.3.2 动态链接 127
6.3.3 运行时链接 128
6.3.4 基于链接的分析 128
6.4 CIH病毒的分析清除案例 129
6.4.1 CIH病毒的简介 129
6.4.2 CIH病毒的识别 129
6.4.3 CIH病毒的源代码分析 129
6.5 PE病毒的分析与清除 132
6.5.1 执行病毒感染 133
6.5.2 对比分析感染过程 135
6.5.3 逆向清除和恢复 137
第7章 蠕虫病毒的分析与防治 144
7.1 蠕虫病毒的主要特点 145
7.1.1 蠕虫病毒的简介 145
7.1.2 蠕虫病毒与传统病毒的区别 145
7.2 蠕虫病毒的攻击原理 146
7.2.1 漏洞与缓冲区溢出 146
7.2.2 缓冲区溢出漏洞的服务器模型 147
7.2.3 服务器模型的实现 148
7.2.4 模型的漏洞分析 148
7.2.5 蠕虫病毒的传播模型 149
7.2.6 蠕虫病毒探测模块的实现方式 150
7.3 冲击波病毒的源代码分析 152
7.3.1 冲击波病毒的简介 152
7.3.2 感染冲击波病毒的主要症状 152
7.3.3 源代码分析 153
7.4 熊猫烧香病毒的分析 161
7.4.1 熊猫烧香病毒的特点 161
7.4.2 熊猫烧香病毒的源代码分析 162
7.4.3 熊猫烧香病毒主要行为的分析 170
7.4.4 手动清除熊猫烧香病毒 174
7.5 SysAnti病毒的分析 174
7.5.1 实验准备 175
7.5.2 SysAnti病毒的主要病毒文件 175
7.5.3 SysAnti病毒在系统中的其他信息 177
7.5.4 手动清除SysAnti病毒 179
7.5.5 程序清除SysAnti病毒 180
第8章 木马病毒的分析与防治 184
8.1 关于木马病毒 185
8.1.1 木马病毒的定义 185
8.1.2 木马病毒的危害 185
8.1.3 木马病毒的特点 186
8.1.4 木马病毒的分类 187
8.2 木马病毒的攻击原理 187
8.2.1 木马病毒的模型 187
8.2.2 木马病毒的植入技术 189
8.2.3 木马病毒的自启动技术 189
8.2.4 自启动程序的实现 191
8.2.5 木马病毒的隐藏手段 192
8.2.6 木马进程的隐藏 193
8.3 红色代码病毒的分析 195
8.3.1 红色代码病毒的简介 195
8.3.2 红色代码病毒的变种 195
8.3.3 红色代码病毒的源代码分析 196
8.3.4 红色代码病毒的源代码防治 200
8.4 sxs.exe病毒的分析与清除 201
8.4.1 sxs.exe病毒的行为记录 201
8.4.2 sxs.exe病毒的行为分析 203
8.4.3 手动清除sxs.exe病毒 204
8.4.4 程序清除sxs.exe病毒 205
第9章 邮件病毒的分析与防治 209
9.1 关于邮件病毒 210
9.1.1 邮件病毒 210
9.1.2 邮件病毒的危害 210
9.1.3 邮件病毒的预防措施 211
9.2 垃圾邮件的分析与过滤 211
9.2.1 垃圾邮件与邮件蠕虫 211
9.2.2 垃圾邮件的识别技术 212
9.2.3 垃圾邮件的来源追踪 214
9.3 反垃圾邮件技术 215
9.3.1 SPF 215
9.3.2 DKIM标准 216
9.3.3 DMARC协议 216
9.3.4 反垃圾邮件网关 216
9.4 梅丽莎病毒的剖析 218
9.4.1 梅丽莎病毒的简介 218
9.4.2 梅丽莎病毒的源代码分析 218
9.4.3 梅丽莎病毒的行为状态分析 221
9.4.4 梅丽莎病毒的清除 223
9.5 金猪报喜病毒的分析和清除 224
9.5.1 实验准备 224
9.5.2 金猪报喜病毒的主要病毒文件 224
9.5.3 金猪报喜病毒在系统中的其他信息 225
9.5.4 手动清除金猪报喜病毒 227
9.5.5 程序清除金猪报喜病毒 228
第10章 移动终端恶意代码的分析与防护 233
10.1 移动终端系统与恶意代码 234
10.1.1 移动终端恶意代码的概述 234
10.1.2 主流移动终端操作系统 234
10.1.3 移动终端操作系统存在的问题 236
10.2 移动终端恶意代码的关键技术 237
10.2.1 移动终端恶意代码的传播方式 237
10.2.2 移动终端恶意代码的攻击方式 237
10.2.3 移动终端恶意代码的生存环境 237
10.2.4 移动终端的漏洞 238
10.3 移动终端恶意代码的分类与防范 238
10.3.1 移动终端恶意代码的分类 238
10.3.2 移动终端恶意代码的防范 240
10.4 移动终端的杀毒工具 240
10.4.1 国外移动终端恶意代码的防范技术及其产品 240
10.4.2 国内移动终端恶意代码的防范技术及其产品 241
10.5 手机漏洞与移动支付安全 242
10.5.1 手机漏洞的现状 242
10.5.2 移动支付的相关漏洞 243
10.5.3 移动支付安全的解决方案 244
第11章 反映像劫持技术 251
11.1 关于映像劫持 252
11.1.1 映像劫持的概述 252
11.1.2 映像劫持的原理 252
11.2 调试器 253
11.2.1 主要参数 253
11.2.2 重定向机制 253
11.3 映像劫持的过程和防御 254
11.3.1 过程演示 254
11.3.2 查找和清除映像劫持 257
11.4 SysAnti病毒映像劫持 257
11.4.1 SysAnti病毒映像劫持的分析 257
11.4.2 SysAnti病毒映像劫持的清除 259
第12章 反病毒策略 262
12.1 病毒的防治策略 263
12.1.1 多层次保护策略 263
12.1.2 基于点的保护策略 263
12.1.3 集成方案策略 264
12.1.4 被动型策略和主动型策略 264
12.1.5 基于订购的防病毒支持服务 264
12.2 浏览器的安全介绍 264
12.2.1 IE的安全 264
12.2.2 360安全浏览器的安全 266
12.3 主流反病毒产品的简介 267
12.3.1 趋势维C片 267
12.3.2 企业防毒墙 267
12.3.3 InterScan邮件安全版 268
12.3.4 Microsoft Exchange与IBM Domino的防病毒软件 268
12.4 集成云安全技术 270
12.4.1 IWSA防病毒网关 270
12.4.2 IWSS的反病毒产品 271
参考文献 276