出版说明
随着国家信息化步伐的加快和高等教育规模的扩大,社会对计算机专业人才的需求不仅体现在数量的增加上,而且体现在质量要求的提高上,培养具有研究和实践能力的高层次的计算机专业人才已成为许多重点大学计算机专业教育的主要目标。目前,我国共有16个国家重点学科、20个博士点一级学科、28个博士点二级学科集中在教育部部属重点大学,这些高校在计算机教学和科研方面具有一定优势,并且大多以国际著名大学计算机教育为参照系,具有系统完善的教学课程体系、教学实验体系、教学质量保证体系和人才培养评估体系等综合体系,形成了培养一流人才的教学和科研环境。
重点大学计算机学科的教学与科研氛围是培养一流计算机人才的基础,其中专业教材的使用和建设则是这种氛围的重要组成部分,一批具有学科方向特色优势的计算机专业教材作为各重点大学的重点建设项目成果得到肯定。为了展示和发扬各重点大学在计算机专业教育上的优势,特别是专业教材建设上的优势,同时配合各重点大学的计算机学科建设和专业课程教学需要,在教育部相关教学指导委员会专家的建议和各重点大学的大力支持下,清华大学出版社规划并出版本系列教材。本系列教材的建设旨在“汇聚学科精英、引领学科建设、培育专业英才”,同时以教材示范各重点大学的优秀教学理念、教学方法、教学手段和教学内容等。
本系列教材在规划过程中体现了如下一些基本组织原则和特点。
1.面向学科发展的前沿,适应当前社会对计算机专业高级人才的培养需求。教材内容以基本理论为基础,反映基本理论和原理的综合应用,重视实践和应用环节。
2.反映教学需要,促进教学发展。教材要能适应多样化的教学需要,正确把握教学内容和课程体系的改革方向。在选择教材内容和编写体系时注意体现素质教育、创新能力与实践能力的培养,为学生知识、能力、
素质协调发展创造条件。
3.实施精品战略,突出重点,保证质量。规划教材建设的重点依然是专业基础课和专业主干课;特别注意选择并安排了一部分原来基础比较好的优秀教材或讲义修订再版,逐步形成精品教材;提倡并鼓励编写体现重点大学计算机专业教学内容和课程体系改革成果的教材。
4.主张一纲多本,合理配套。专业基础课和专业主干课教材要配套,同一门课程可以有多本具有不同内容特点的教材。处理好教材统一性与多样化的关系;基本教材与辅助教材以及教学参考书的关系;文字教材与软件教材的关系,实现教材系列资源配套。
5.依靠专家,择优落实。在制订教材规划时要依靠各课程专家在调查研究本课程教材建设现状的基础上提出规划选题。在落实主编人选时,要引入竞争机制,通过申报、评审确定主编。书稿完成后要认真实行审稿程序,确保出书质量。
繁荣教材出版事业,提高教材质量的关键是教师。建立一支高水平的以老带新的教材编写队伍才能保证教材的编写质量,希望有志于教材建设的教师能够加入到我们的编写队伍中来。
教材编委会
前言
计算机技术的迅猛发展,给人们的工作和生活带来了前所未有的便利和效率。随着计算机走进社会的各个领域、走进千家万户,计算机系统已经能够实现生活、管理、办公的自动化,成为人类社会不可或缺的一部分。然而,计算机系统并不安全,其不安全因素有计算机系统自身的、自然的,也有人为的。计算机病毒就是最不安全的因素之一。
计算机病毒是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物,是计算机犯罪的一种新的衍化形式。自从第一例计算机病毒出现以来,随着计算机技术、网络技术的迅猛发展,计算机病毒也日益猖獗,成为危害计算机安全、信息安全的幽灵,并且数量正在快速攀升。各种计算机病毒的产生和蔓延,已经给计算机系统的安全造成了巨大的威胁和损害,其造成的计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,正因为如此,人们开始了反病毒的研究。
我们研究病毒,最终目的是为了消灭病毒。大多数计算机用户对病毒的原理不了解才造成病毒的横行。对于精通病毒原理的人来说,病毒是毫无攻击力的。要彻底消灭病毒,只有依靠大多数人的智慧,不能靠少数编写杀毒软件的人。
探讨计算机病毒技术是一个很敏感的话题。这会不会引起病毒泛滥?到底有没有学习编写病毒的必要?病毒流行,是因为会编写病毒的人太多还是因为懂得对付病毒的人太少?当骗子到处横行,我们到底应该让每个人都懂得骗子行骗的手段以防止受骗还是应该隐瞒骗子的行径呢?“知己知彼,百战不殆”。要想战胜对手,首先就要了解你的对手。研究反病毒技术,必然要熟悉病毒技术。了解病毒原理,只是为了认识病毒、消除对病毒的恐惧心理,最终达到能够防毒、清除病毒的目的,若以此“制毒、放毒”,必定会受到法律的严惩。计算机病毒并不因为我们不去研究它而消亡;反病毒技术急需推广。查杀病毒不可能做到一劳
永逸,维护计算机的安全是一个漫长的过程。
计算机病毒防治是信息安全中非常重要的一个方面,计算机病毒也是引出信息安全问题的根本原因之一,所以,计算机病毒的基本原理和计算机病毒防治的基本原理及其基本方法,都是信息安全专业学生必须了解和掌握的基本内容。当然,本教材也适合其他专业对信息安全有兴趣的读者学习、研究计算机病毒。
本书在内容的安排上,尽量做到各章内容彼此相对独立;章节先后顺序的安排上,尽量做到知识层次由浅入深、由易到难,并兼顾知识的连续性。这种安排方法,一是为了循序渐进、便于掌握;二是为了便于根据学时数以及学生的实际情况,自由组合章节,进行选学、选教,例如第9章的虚拟机查毒技术、第10章的ELF文件格式,可以不在本课程中讲授。本书注重理论联系实际,在介绍原理的同时,尽量给出实例分析,以期增加手工分析、查杀病毒的经验与能力。
全书内容安排如下:
第1章计算机病毒概述,介绍计算机病毒的基本知识,包括计算机病毒的定义、基本特征,计算机病毒的本质、分类及命名规则与惯例,计算机病毒的危害与症状,计算机病毒的传播途径、生命周期、计算机病毒的发展简史,以及计算机病毒的基本防治与研究计算机病毒的基本原则。
第2章预备知识,介绍与感染病毒之后进行数据恢复相关的硬盘结构、文件系统,介绍与计算机病毒原理相关的计算机引导过程、中断、内存管理,以及EXE文件的格式,重点是与Win32病毒相关的PE文件格式。
第3章病毒的逻辑结构与基本机制,讨论计算机病毒的状态及其转换,病毒的基本结构,病毒的基本工作环节,计算机病毒的传播机制、触发机制、破坏机制,最后通过示例病毒代码,分析计算机病毒的结构。
第4章DOS病毒的基本原理与DOS病毒分析,讲解引导型病毒、文件型病毒、混合型病毒的基本原理,并以典型病毒,结合原理,分析了几种病毒的技术特征。
第5章Windows病毒分析,结合CIH病毒介绍与分析,讲解Win32 PE病毒原理及手工清除方法,并结合典型的具体病毒示例,分别分析了脚本病毒、宏病毒的技术特征及相应的防治措施。
第6章网络蠕虫,讲解蠕虫与狭义病毒的区别及其分类、特征与对抗主体,介绍了蠕虫的工作原理,包括蠕虫的基本结构、一般传播过程,结合实例,介绍了蠕虫的防治、检测与清除。
第7章特洛伊木马,介绍了木马程序的结构、原理、特性与分类,以及木马的自动启动技术、隐藏技术和远程监控技术,结合对具体木马的分析,介绍了木马的检测与 清除。
第8章计算机病毒常用技术综述,介绍了计算机病毒的隐藏技术、病毒的加密与多态(变形)技术、EPO技术,以及病毒进入系统核心态的方法、截获系统操作的方法、驻留内存技术和异常处理技术、反跟踪/反调试/反分析技术。
第9章计算机病毒的检测、清除与免疫,在前面章节的基础上,更深层次地介绍对病毒的诊断、扫描、分析技术,包括启发式代码扫描技术、虚拟机查毒技术、实时监控技术以及计算机病毒的免疫技术。
第10章UNIX/Linux病毒与手机病毒简介,在介绍Linux病毒运行的环境、感染的目标文件格式的基础上,介绍基于ELF的计算机病毒的感染机理,最后介绍了手机病毒的原理、攻击方法、发展趋势以及对手机病毒的防范。
本书由张仁斌负责规划、统筹和审稿。具体分工是:第1、2章由李钢编写,第3章~第9章及附录由张仁斌编写,第10章由侯整风编写。编者收集整理了大量资料,结合自己的教学研究工作,撰写了本书。由于资料来源的广泛性,书中引用的很多资料没有能够一一注明出处,对此,我们对原作者表示歉意,同时对原作者表示感谢。
在本书完稿之际,作者衷心感谢清华大学出版社丁岭老师和闫红梅老师的大力支持,衷心感谢合肥工业大学校基金(编号:040504F)资助,衷心感谢合肥工业大学教务处对本书的大力支持,衷心感谢合肥工业大学2002级信息安全专业和计算机专业的全体同学,感谢他们在试用本书的初稿过程中提出的宝贵意见与建议。
计算机病毒涉及的内容比较广泛,发展也十分迅速,加之编者水平限制,书中一定存在不足之处,诚望读者不吝赐教。
作 者
2006年1月于合肥
