本书根据高职高专教学特点，针对新专业教学标准要求，面向信息安全工程师岗位，以计算机病毒原理分析与防治为主线，结合国内知名计算机病毒防治企业——三六零数字安全科技集团有限公司的实战经验和技术，按工业和信息化部“十四五”规划教材的要求，精心选择最新病毒样本和防病毒技术作为本书内容。本书共分为12章，主要涵盖认识计算机病毒、构建病毒的分析环境、计算机病毒的检测与免疫、脚本病毒的分析与防治、宏病毒的分析与防治、PE病毒的分析与防治、蠕虫病毒的分析与防治、木马病毒的分析与防治、邮件病毒的分析与防治、移动终端恶意代码的分析与防护、反映像劫持技术和反病毒策略。其中部分内容介绍了当前比较流行病毒的样本分析和防护技术，能够很好地满足当前市场对计算机病毒防治的技术需求。

第1章 认识计算机病毒
1.1 计算机病毒及其发展
1.1.1 计算机病毒的概念
1.1.2 计算机病毒的发展过程
1.2 计算机病毒的特点及主要类型
1.2.1 计算机病毒的特点
1.2.2 计算机病毒的主要类型
1.3 计算机病毒和恶意软件的区别
1.3.1 常见恶意代码的命名规则
1.3.2 常见恶意代码的前缀
1.4 计算机病毒的危害及预防措施
1.4.1 计算机病毒的生命周期
1.4.2 计算机病毒的危害
1.4.3 常见计算机病毒的预防措施
1.5 体会病毒程序
1.5.1 批处理文件
1.5.2 关机程序
1.5.3 修改密码和定时关机的病毒程序
第2章 构建病毒的分析环境
2.1 常用的分析工具
2.1.1 UltraEdit
2.1.2 文件的修复
2.1.3 捆绑文件的分离
2.2 虚拟机系统
2.2.1 关于VMware Workstation
2.2.2 虚拟机系统的安装
2.3 IceSword的使用
2.3.1 IceSword的简介
2.3.2 IceSword的主要功能
2.4 Filemon的使用
2.4.1 Filemon的简介
2.4.2 Filemon的主要功能
2.5 RegSnap的使用
2.5.1 RegSnap的简介
2.5.2 RegSnap的主要功能
2.6 注册表的使用
2.6.1 注册表的功能及结构
2.6.2 注册表的常用操作及命令
2.6.3 注册表操作函数
2.6.4 注册表的操作
第3章 计算机病毒的检测与免疫
3.1 计算机病毒的预防
3.2 计算机病毒的免疫方法
3.2.1 特定免疫方法
3.2.2 基于完整性检查的免疫方法
3.3 计算机病毒的检测方法
3.3.1 基于现象观察法
3.3.2 基于对比法
3.3.3 基于加和对比法
3.3.4 基于搜索法
3.3.5 基于软件仿真扫描法
3.3.6 基于先知扫描法
3.3.7 基于人工智能陷阱技术
3.4 U盘病毒实践
第4章 脚本病毒的分析与防治
4.1 脚本病毒的技术原理
4.1.1 脚本病毒
4.1.2 脚本病毒的技术特征
4.2 脚本病毒的破坏性和清除
4.3 脚本病毒的行为分析
4.3.1 利用磁盘文件对象
4.3.2 注册表恶意篡改
4.4 万花谷病毒的实例分析
4.4.1 万花谷病毒的源代码分析
4.4.2 万花谷病毒的行为分析及清除
4.5 新欢乐时光病毒的实例分析
4.5.1 新欢乐时光病毒的介绍
4.5.2 新欢乐时光病毒的特征
4.5.3 新欢乐时光病毒的源代码分析
4.5.4 新欢乐时光病毒的行为分析
4.5.5 手工清除新欢乐时光病毒
4.6 脚本病毒防治
4.6.1 隐藏和恢复驱动器
4.6.2 修改和恢复IE标题
4.6.3 隐藏和恢复“开始”菜单中的“运行”命令
第5章 宏病毒的分析与防治
5.1 关于宏病毒
5.1.1 宏
5.1.2 Office文档的文件格式
5.1.3 宏病毒的原理
5.2 宏病毒的特点
5.2.1 自动运行
5.2.2 调用API和外部程序
5.2.3 宏代码混淆
5.3 宏病毒的检测
5.4 宏病毒的预防和清除
5.4.1 宏病毒的预防
5.4.2 宏病毒的清除
5.5 宏的制作和清除
5.5.1 宏的录制
5.5.2 宏的编辑
5.5.3 宏的清除
第6章 PE病毒的分析与防治
6.1 PE文件的结构
6.1.1 PE文件的定义
6.1.2 DOS头部文件的结构
6.1.3 PE头部文件的结构
6.1.4 表的结构
6.1.5 PE节的结构
6.2 PE病毒的判断
6.2.1 判断PE文件中的程序入口
6.2.2 根据PE结构提取特征代码
6.3 链接库与函数
6.3.1 静态链接
6.3.2 动态链接
6.3.3 运行时链接
6.3.4 基于链接的分析
6.4 CIH病毒的分析清除案例
6.4.1 CIH病毒的简介
6.4.2 CIH病毒的识别
6.4.3 CIH病毒的源代码分析
6.5 PE病毒的分析与清除
6.5.1 执行病毒感染
6.5.2 对比分析感染过程
6.5.3 逆向清除和恢复
第7章 蠕虫病毒的分析与防治
7.1 蠕虫病毒的主要特点
7.1.1 蠕虫病毒的简介
7.1.2 蠕虫病毒与传统病毒的区别
7.2 蠕虫病毒的攻击原理
7.2.1 漏洞与缓冲区溢出
7.2.2 缓冲区溢出漏洞的服务器模型
7.2.3 服务器模型的实现
7.2.4 模型的漏洞分析
7.2.5 蠕虫病毒的传播模型
7.2.6 蠕虫病毒探测模块的实现方式
7.3 冲击波病毒的源代码分析
7.3.1 冲击波病毒的简介
7.3.2 感染冲击波病毒的主要症状
7.3.3 源代码分析
7.4 熊猫烧香病毒的分析
7.4.1 熊猫烧香病毒的特点
7.4.2 熊猫烧香病毒的源代码分析
7.4.3 熊猫烧香病毒主要行为的分析
7.4.4 手动清除熊猫烧香病毒
7.5 SysAnti病毒的分析
7.5.1 实验准备
7.5.2 SysAnti病毒的主要病毒文件
7.5.3 SysAnti病毒在系统中的其他信息
7.5.4 手动清除SysAnti病毒
7.5.5 程序清除SysAnti病