惡意傳播代碼：Windows病毒防護

什麼是惡意傳播代碼?它們從哪裡來?它們是如何傳播的?你應該如何防止它們攻擊你的電腦?如果你的電腦已經被它們攻擊，你又應該如何處理呢?

本書為系統管理員和用戶提供了大量信息，幫助他們來理解Windows系統下的惡意代碼問題。通過對不同的惡意傳播代碼分章探討，作者對各種類型的惡意代碼都進行了詳細的討論，包括：

病毒

木馬和蠕蟲

ActiveX和Java惡意攻擊代碼

DOS病毒

宏病毒

基於瀏覽器的惡意攻擊代碼

Email攻擊

即時訊息攻擊(Instant messaging attack)

本書對於每一種攻擊方式均進行了詳盡的介紹。除了描述這些攻擊方式的原理之外，還提供了一些技術細節，以幫助你理解為什麼這些攻擊能夠實現。每一章對於相應的攻擊方式都介紹了應當採取的具體保護措施。

儘管你已經竭盡全力，但仍然可能受到惡意代碼的攻擊。有時這種攻擊的結果非常明顯；而有時除非造成巨大破壞，結果難以察覺。本書介紹了如何尋找和識別遭受各種不同攻擊的跡象。每一章都介紹了如何刪除這些惡意代碼並恢復你的系統。在每一章結尾，作者對該章相應的攻擊類型的危險程度作了評價。

第一章 介紹

追查

什麼是惡意傳播代碼

惡意代碼和法律

編寫惡意代碼的亞文化

惡意傳播代碼術語

小結

第二章 dos病毒

背景介紹

dos技術

dos病毒技術

dos病毒類型

病毒防禦原理

dos病毒的例子

如何發現dos病毒

清除dos病毒

保護你的系統不受病毒攻擊

危險評估--低

小結

第三章 windows技術

windows技術

windows的新版本

小結

第四章 windows病毒

windows平台下的dos病毒

windows平台下的windows病毒

windows nt病毒感染的特徵和症狀

windows病毒的例子

發現windows病毒

清除病毒

清除檔案感染病毒

windows下的病毒防禦

未來

危險評估--中

小結

第五章 宏病毒

什麼是宏病毒

微軟word和excel宏

使用宏

office 2000安全

宏病毒技術

宏病毒例子

發現宏病毒

清除宏病毒並且恢復系統

防禦宏病毒

危險評估--高

小結

第六章 木馬和蠕蟲

威脅

什麼是木馬和蠕蟲

特徵和症狀

木馬的類型

木馬技術

熟悉你的計算機

木馬和蠕蟲的例子

發現並且清除木馬和蠕蟲

預防木馬和蠕蟲

危險評估--高

小結

第七章 即時訊息攻擊

即時訊息介紹

即時訊息類型

irc

攻擊即時訊息

irc攻擊的例子

發現惡意im

清除惡意im

保護你自己不受im攻擊

危險評估--中

小結

第八章 internet瀏覽器技術

介紹

瀏覽器技術

網頁語言

其他瀏覽器技術

何時應該注意瀏覽器中的內容

小結

第九章 通過internet瀏覽器攻擊

基於瀏覽器的攻擊行為

攻擊和入侵示例

檢測internet瀏覽器攻擊

刪除和修復被破壞的檔案

預防internet瀏覽器攻擊

危險評估--中

小結

第十章 惡意的java applet

java

java安全

java的惡意利用

java惡意利用的例子

檢測惡意的java applet

刪除惡意的java代碼

保護自己免受惡意的java代碼攻擊

危險評估--低

小結

第十一章 惡意activex控制項

activex

activex安全

activex安全性評述

惡意activex的例子

檢測惡意activex控制項

刪除並預防惡意activex控制項

危險評估--中

小結

第十二章 郵件攻擊

介紹

郵件程式

郵件漏洞

檢測郵件攻擊

刪除被感染的郵件

阻止郵件攻擊

危險評估--高

小結

第十三章 欺騙性病毒

計算機病毒之母

欺騙性病毒訊息的種類

檢測

刪除並阻止欺騙性病毒

危險評估--低

小結

第十四章 防禦

防禦策略

惡意傳播代碼防禦計畫

使用良好的反病毒掃描程式

反病毒掃描位置

使得任何一台windows pc變得安全的最好步驟

額外的防禦工具

反病毒產品綜述

前景

小結

第十五章 惡意傳播代碼的未來

計算機技術的未來

惡意傳播代碼的發展

真正的防範措施

小結

辭彙表

有幾件事我們曾經以為是毋庸置疑的：計算機不可能因為僅僅讀了一封電子郵件而感染病毒，惡意傳播代碼不可能損害硬體；病毒不可能在一張有防寫的啟動盤中；計算機不可能因為一個圖形檔案而感染病毒。這些年我已經把這些建議不知說了多少遍，這幾乎成了反病毒研究人員的口頭語。每當一些人寫信向我們詢問這一次病毒危機是否需要小心時，我們都要將這些話重複一遍。但是我們錯了。是啊，這在以前並沒有錯。可今天，網路已經普及，計算機也在發展，新的語言不斷出現，舊的語言也在不斷擴展。寫程式變得越來越容易了，寫惡意代碼來做壞事也不再困難。很可能今天剛寫完的惡意代碼明天就會傳染給上百萬台機器。

像“梅麗莎”(Melissa)和“愛蟲”(I Love You)這樣的蠕蟲病毒可以在幾小時內使成千上萬個網路陷於癱瘓；CIH病毒可以在一天內破壞數千台機器的硬碟數據並且毀壞計算機的BIOS晶片。如果你很不明智地瀏覽了黑客站點，那么當你在進入自己的所謂“安全”的銀行賬戶時，黑客們將記錄你的銀行賬戶信息。當你在網上通過即時訊息與別人交談時也為別人入侵你的計算機系統提供了可乘之機。你在瀏覽網頁時，你的瀏覽器會不停下載並且運行程式。一個很簡單的惡意程式就可以在你上網衝浪時對系統進行破壞。今天，惡意傳播代碼所能做到的還遠不止這些。

現在大約有五萬多種計算機病毒、特洛伊木馬以及惡意程式。數百個網站以及很多國際黑客組織都在悄悄地行動。他們互相比試看誰能寫出危害最大的作品。很多人的工作就是努力窺探別人的隱私和破壞別人的數據。如果你的工作與計算機有關，那么惡意傳播代碼對你來說將不僅僅是不方便的問題。本書將幫助你保護微軟

Windows系統和網路。

關於本書

本書介紹了惡意傳播代碼對於Windows PC攻擊的手段，主要包括：計算機病毒、宏病毒、特洛伊木馬程式、蠕蟲、電子郵件攻擊、Java TM和ActiveX TM攻擊、即時訊息攻擊以及基於瀏覽器的攻擊。

本書面向中高級計算機用戶和對於防止Windows系統遭受惡意代碼攻擊感興趣的網路管理員。本書假設讀者對於PC機的原理非常熟悉，能夠理解啟動、數據檔案和執行檔之間的區別，了解全球資訊網(WWW)和網際網路(Internet)的概念。

為什麼要寫本書

為什麼還要寫一本關於病毒的書呢?首先，迄今為止我還沒有找到一本覆蓋最新類型的病毒和特洛伊木馬信息的書。現在市面上已經有很多關於計算機病毒的書，但是大多數是集中討論DOS下運行的病毒，對於宏病毒、Windows下的病毒以及其他類型的惡意代碼僅僅是一帶而過。大多數病毒疑難解答(FAQ)文檔也是多年沒有更新過了。許多網站上關於病毒的論文也是很久以前的。當然，現在仍然有許多DOS系統存在，但是現在大多數機器已經升級到了Windows，並且網際網路也已經普及。

現在網際網路已經成了一切，而惡意代碼的威脅也主要變成了以宏病毒、電子郵件後門木馬以及基於Web的腳本語言編寫的惡意代碼等。惡意傳播代碼(Malicious Mobile Code，MMC)是一個新的術語，概括了所有有害的能夠自動複製傳播的代

碼。個人計算機安全的未來在於我們是否理解惡意傳播代碼能做什麼和不能做什麼。通過在網上瀏覽，我找到很多短文章和網站討論某些具體的話題，像Java的威脅或者宏病毒，但是沒有人把所有這些威脅綜合在一起系統地論述。其次，所有的反病毒書籍和文章都強調對終端用戶加強教育，並且推薦現在最新的反病毒掃描軟體作為阻止惡意傳播代碼的最好方法。這樣的建議很有問題並且很難奏效。大多數用戶對於反病毒建議並不特別注意，他們也不需要如此。並且人們都知道即使是最好的反病毒掃描器也只能檢查出以前出現過的舊病毒，而對於新出現的病毒卻毫無辦法。最新出現的蠕蟲或病毒在被消滅以前的傳播速度似乎更快了。但是如果我們問一位反病毒研究者是如何保護他們自己的機器的，他們會列舉刪除檔案、編輯註冊表和更改系統等一系列手段，所有這些手段都會阻止惡意代碼發揮作用。這些防禦經驗應該與大家共享。總之，以上就是我寫這本書的目的。

本書沒有包括的內容

在計算機安全這一領域中，惡意傳播代碼僅僅是一部分。微軟Windows也僅僅是眾多作業系統中的一種。還有很多方面的安全威脅在此我不能涉及到。以下是本書所沒有涉及到的主題：

非微軟的操作平台以及應用程式

本書只討論IBM兼容PC下的安全問題，以及對於微軟操作平台及其應用程式 所特有的攻擊方式。本書重點討論DOS、Windows、Office、Outlook以及IE。

對於Macintosh、Unix以及開放原始碼平台下的大量威脅並未涉及。隨著Linux逐漸贏得人們的喜愛，威脅這一平台的惡意代碼數量也在上升。本書所討論的許多攻擊方式也適用於其他平台(例如，跨平台的宏病毒)，但是其他平台並不是我們介紹的重點。

直接的黑客攻擊

本書並沒有涉及到黑客對於系統的直接攻擊。我們不打算討論一個心懷惡意的人如何Telnet到25號連線埠來偽裝Email地址。但是如果一種蠕蟲程式或者病毒這樣做的話，我們將進行討論。本書將通過一些以前出現過的惡意代碼來幫助你學會如何對付它們。黑客們可能當初設計了這些代碼，但是當這些代碼傳播開後，他們就任其自生自滅了。

主機攻擊

除了一些必要的例外，本書主要講述面向客戶機的攻擊。在客戶/伺服器體系結構下，應該有主機和客戶機。伺服器主機向客戶機提供數據和應用程式。一台Web伺服器應該算是一台主機，而與它相連的網路瀏覽器則是客戶機部分。

.　 許多黑客攻擊的目標是包括主機系統的安全體系。本書只設計Windows客戶機的威脅。我們也會討論Windows NT伺服器的安全，但是我們僅僅討論當它擔任客戶角色時(如，瀏覽網頁)的安全問題。

主機拒絕服務攻擊

目前對於連入網路的計算機增長最快的威脅就是拒絕服務攻擊(Denial of Service，DoS)。黑客們向遠程的計算機傳送奇怪的信息或請求使得主機的處理器處於完全的死鎖狀態，這樣主機將無法回響合法用戶的請求。對於一些Windows NT伺服器，拒絕服務攻擊可以簡單地通過向一個以前未用的TCP/IP連線埠傳送一個單獨的數據包來實現。伺服器提供商們現在正在投入巨大的精力來解決成熟的錯誤處理問題以幫助避免拒絕攻擊造成的糟糕的回響速度。雖然，一些涉及網際網路主機的拒絕服務攻擊方法沒有在本書中涉及，但是惡意的Java applet或者其他一些惡意傳播代碼導致的拒絕服務攻擊在本書中有相應的介紹。