基本信息
- 原书名:The Art of Computer Virus Research and Defense
- 原出版社: Addison-Wesley
- 作者: (美)Peter Szor
- 译者: 段海新 杨波 王德强
- 出版社:机械工业出版社
- ISBN:9787111205562
- 上架时间:2006-12-21
- 出版日期:2007 年1月
- 开本:16开
- 页码:444
- 版次:1-1
- 所属分类:计算机 > 安全 > 计算机病毒

内容简介
计算机书籍
本书作者是赛门铁克(Symantec)公司安全响应中心的首席安全架构师,他根据自己设计和改进Norton AntiVirus系列产品及培训病毒分析人员的过程中遇到的问题精心总结编写了本书。本书最大的特色是大胆深入地探讨了病毒知识的技术细节,从病毒的感染策略上深入分析病毒的复杂性,从文件、内存和网络等多个角度讨论病毒的感染技术,对过去20年来黑客们开发的各种病毒技巧进行了分类和讲解,并介绍了代码变形和其他新兴病毒感染技术,展示了当前计算机病毒和防毒软件的最新技术,向读者传授计算机病毒分析和防护的方法学。.
本书可作为IT和安全专业人士的权威指南,同时也适合作为大学计算机安全专业本科、研究生的参考教材。
本书由Symantec首席反病毒研究员执笔,是讲述现代病毒威胁、防御技术和分析工具的权威指南。与多数讲述计算机病毒的书籍不同,本书完全是一本为白帽子黑客 (即负责保护自己所在组织免受恶意代码攻击的IT及安全专业人士) 编写的参考书。作者系统地讲述了反病毒技术的方方面面,包括病毒行为、病毒分类、保护策略、反病毒技术及蠕虫拦截技术等。..
书中介绍了目前最先进的恶意代码技术和保护技术,提供充分的技术细节帮助读者对付日益复杂的攻击。书中包含大量关于代码变形和其他新兴技术方面的信息,学习这些知识可以让读者未雨绸缪,为应对未来的威胁提前做好准备。
本书是目前已出版的同类书中对基本病毒分析技术讲解最透彻和最实用的,从个人实验室的创建到分析过程的自动化,对其中涉及的方方面面都作了描述。
作译者
段海新,工学博士、副教授、国际信息系统安全认证专家(CISSP)。现任清华大学信息网络工程研究中心网络与信息安全研究室主任,中国教育和科研计算机网紧急响应组(CCERT)负责人,互联网协会安全工作委员会委员,国际信息系统安全认证联盟(ISC)2亚太区顾问。主要从事计算机网络安全方面的科研、运行管理和教学工作。...
目录
作者介绍
前言
致谢
第一部分 攻击者的策略
第1章 引言:自然的游戏 1
1.1 自我复制结构的早期模型 1
1.1.1 约翰·冯·诺伊曼:自我复制自动机理论 2
1.1.2 Fredkin:重建结构 3
1.1.3 Conway:生命游戏 4
1.1.4 磁芯大战:程序对战 6
1.2 计算机病毒的起源 10
1.3 自动复制代码:计算机病毒的原理和定义 11
参考文献 13
第2章 恶意代码分析的魅力 14
2.1 计算机病毒研究的通用模式 16
2.2 反病毒防护技术的发展 16
2.3 恶意程序的相关术语 17
2.3.1 病毒 17
2.3.2 蠕虫 17
译者序
计算机病毒从产生到现在一直都是计算机网络和信息安全的热门话题,无论是普通用户还是计算机或信息安全的专业人士都对此非常关注,市面上关于计算机病毒技术和防病毒技术的书籍也不胜枚举。但是这些书大多是面向初学者,只是泛泛地介绍病毒与防范的原理,真正出自防病毒技术专业人员之手、能够引起病毒研究专业人员兴趣的却寥寥无几。
本书是目前病毒研究专业人员不可多得的专业参考书,作者Peter Szor是病毒研究界举世闻名的研究人员,他在从事病毒研究15年的经历中,参与开发过很多著名的防病毒产品,比如AVP、F-PROT和Symantec Norton AntiVirus。..
本书从专业研究人员的视角,分两部分展示了计算机病毒技术和病毒防范技术的原理、技巧及发展趋势。在第一部分,作者首先对过去20年中黑客们开发的各种病毒技巧进行了系统分类和详细讲解,从磁盘、文件、内存、网络等多个角度分析了传统病毒感染技术,从最古老的病毒代码、网络蠕虫,一直到病毒各种最新的变形技术以及各种恶意代码融合的趋势。在第二部分,作者系统地介绍了病毒防御的各种技术,针对第一部分介绍的各种病毒技术给出了病毒检测、清除的方法,包括文件、内存、网络等各种防范途径,最后介绍了病毒等恶意代码的分析方法、工具以及自动分析方法。
本书面向有志于从事计算机病毒或恶意代码研究的专业人员。读者应该具备计算机组成原理、操作系统以及程序设计(特别是汇编语言)等预备知识。作者在每一章都给出了详细的参考文献,读者可以找到必要的背景知识。
本书涉及的内容非常广泛、专业,而且融入了作者多年的病毒研究经验。由于译者的知识和经验有限,翻译中难免有疏漏或错误,敬请广大读者谅解并批评指正。...
译 者
2006年9月
前言
过去20年中出版过不少计算机病毒方面的出版物,但只有少数是由计算机病毒研究专业人士(“圈里人”)所写。尽管很多书都讨论了计算机病毒问题,但它们通常是面向初学者,根本引不起专业人员太多的兴趣。只有少数著作勇敢深入地探讨了技术细节,而只有理解了技术细节,才能有效防御计算机病毒。.
现有书籍的部分问题在于:很少介绍当今计算机病毒的复杂性。例如,这些书籍未从技术上详细讨论快速传播的计算机蠕虫如何利用漏洞来侵入远程系统,也没讨论最近出现的代码演化技术(如代码变形)。如果读者想要弄懂本书涉及的所有知识,可能需要花很多时间来阅读大量的计算机病毒和安全方面的文章和学术论文,可能需要对恶意代码钻研多年,才能具备从浩瀚的信息海洋中提取重要信息的能力。
本书最主要的读者是那些每天都要对付病毒的IT及安全专业人员。今天,系统管理员甚至家庭用户常常需要对付网络中的电脑蠕虫和其他恶意程序。不幸的是,安全课程很少培训如何防范电脑病毒,公众很少知道如何分析和保卫其网络免受这些攻击。更糟的是,过去没有任何著作细致讨论过计算机病毒分析技术。
另外,对任何对信息安全感兴趣的人来说,知道病毒编写者现今的“技术成就”也是很重要的。
多年来,计算机病毒研究人员一直关注的是“文件”或“染毒对象”。安全专家们则相反,只关注网络级的可疑事件。可是现在,像CodeRed蠕虫这样的威胁通过网络把其代码注入到有漏洞进程的内存空间中,而不会“感染”磁盘上的对象。今天,学会从各种视角—文件(存储)、内存和网络—进行观察特别重要,并要学会使用恶意代码分析技术将各方面的事件关联起来。
这些年来,笔者培训过很多病毒和安全分析人员,使他们能够高效地分析和响应恶意代码威胁。本书包含了我曾遭遇过的各种问题,例如像Commodore 64计算机上的8位病毒这样的老式威胁。书中介绍了最早的电脑病毒使用的技术,如隐藏(stealth)技术,以及在各种平台上应用的病毒技术。这样,读者就会认识到:当今的rootkit根本不代表什么新技术!书中可以找到对32位Windows蠕虫威胁的详细分析和对“漏洞利用代码”(exploit)的深入讨论,还包括涉及64位病毒及移动设备上的“袖珍怪物”。自始至终,笔者的目标是展示旧攻击手段如何在新威胁中获得“新生”,并以适当的程度揭示最新攻击的技术细节。
笔者确信很多读者都希望加入到对抗恶意代码的斗争中来,而且有些读者可能和笔者一样还会成为新防御技术的发明人。但是,所有读者都应该清楚这个领域的潜在危险和挑战!
本书涵盖的内容..
本书的目的是展示当前计算机病毒和反病毒软件的最新技术,并向读者讲授计算机病毒分析和防护的方法学。笔者从各种视角—文件(存储)、内存和网络—讨论了病毒的感染技术,对过去20年中黑客们开发的各种恶劣的病毒技巧进行了分类和讲解,而且还介绍了当前对于代码多态性和漏洞利用这些复杂威胁所采取的措施。
阅读本书最简单的方法是:逐章阅读。但有时理解了后面章节中对应的防御技术后,可以更好地理解前面章节中的攻击技术。任何情况下,如果读者感觉哪一章不符合自己口味或感觉太难或太冗长,都可以跳到下一章。笔者确信所有人都会发现书中的某些部分非常难而某些部分却很简单,具体感受依赖于个人的知识情况而定。
本书假定读者熟悉相关技术,并具有一定的编程能力。本书涉及的东西很多,根本不可能对每一样都充分地展开讲解。然而,本书会准确地告诉读者如果要成功地对付恶意威胁,还需要去什么地方学习什么额外知识。为方便读者,本书每章都给出了详细的参考文献清单,可以据此找到那些必要的背景知识。
本书未涵盖的内容
本书未详细讨论木马程序和后门程序。本书关注的重点是自我复制型的恶意代码。因为讨论普通恶意代码的好书有很多,但讨论电脑病毒的好书却不多。
笔者未在本书中给出任何可能被读者直接用来开发新病毒的病毒代码,不属于“如何编写病毒”这一类书。然而,笔者认为:坏人对于本书中讨论的大部分技术都已经很熟悉了,因此好人需要学习更多的知识,并开始从攻击者的角度去思考(而不是行动),才能开发出有效的防御方案!
有意思的是,很多大学都尝试开设电脑病毒研究课程,其中主要讲述如何编写病毒。一个学生能够编写可以感染全世界数百万台系统的病毒是否真的有助于病毒研究?这些学生是否就更懂得如何开发更好的防御方案?显然,答案是不……
实际上,这些课程应该着重于分析现有的恶意威胁。世界上现有的威胁太多了,都有待于学生们去理解和对其做点什么。
当然,电脑病毒知识和《Star Wars》(星球大战)中的“原力”(The Force)一样,根据使用者不同,对知识的利用也可能从善变为恶。笔者不能逼迫读者远离“黑暗面”(Dark Side),但真诚地劝诫读者不要用本书中学到的知识作恶。
联系方式
如果读者在本书中发现错误或想建议作者在下一版本中阐明或增加某些内容,我很乐意收到大家的来信。我正计划在我的网站上增加对本书某些内容的阐释、可能的勘误和相关的新信息。尽管我认为我们已经找出了大部分问题(特别是那些在深夜里或在病毒及安全紧急事件发生期间写成的段落里的问题),但我不相信像本书这么复杂和这么厚的著作会没有任何小缺陷。尽管如此,我还是根据我的科研知识,竭尽全力向读者提供“可信赖”的信息。...