商品簡介
名人/編輯推薦
目次
實驗1 PGP數字簽字
實驗2 Windows系統安全增強
實驗3 操作系統帳戶安全
實驗4 網絡漏洞掃描
實驗5 IPTABLES防火牆
實驗6 SNORT入侵檢測系統
實驗7 惡意程序及代碼清除
網絡管理實驗
實驗8 網絡設備SNMP代理的配置
實驗9 用Getif實現流量監測
實驗10 監視通信線路
實驗11 性能監測
實驗12 用StarView實施網絡管理
附錄一 實驗環境介紹
附錄二 實驗報告參考格式
參考文獻
書摘/試閱
4.實驗原理
(1)三線程軟件工作原理。
大多數病毒只有一個進程或線程,當該進程或線程被殺死后病毒即告失效,因此易于查殺、存活率不高。三線程類軟件則因為其獨特結構使得該類惡意軟件無法被傳統的內存殺毒軟件成功查殺。
顧名思義,三線程軟件由三個線程構成:一個病毒主體、兩個監視器,三者之間相互監護、相互重生。其中一個監視器(主體監視器)被注入到其他正常進程中,并在遠程啟動后時刻監視并保護病毒主體的運行:如果病毒主體被殺死,主體監視器即刻重生病毒主體并恢復其運行。為了防止用戶通過重啟計算機的方式清除運行的惡意軟件,軟件在注冊表中建立了其主程序的自啟動項,同時通過另一個監視器(注冊表監視器)監護該自啟動注冊表項:如果該表項被刪除,注冊表監視器即刻在注冊表中重生該表項,保證無法通過重啟方式影響病毒運行。病毒主體除負責軟件主體功能之外,還要監護主體監視器和注冊表監視器,確保其中任何一個被殺死后即可重建并運行。這種環環相扣的互保結構如圖7—1所示。
T—Mouse惡意鼠標軟件即為一種具備上述特征的三線程程序,其病毒主體的主要功能是影響鼠標定位和點擊,使用戶無法正常使用鼠標功能。
(2)COM文件結構。
COM文件具有一種結構最簡單的單段可執行文件結構,其總大小(代碼+數據)嚴格限制在64KB以內,執行時被完整地裝入一個內存塊中(稱為段),因此各段寄存器內容均相同。由于操作系統需要為裝入的COM文件建立256字節的程序段前綴PSP和256字節的起始堆棧,因此COM文件的實際長度不能超過64×1024—512=65024字節,否則加載失敗無法執行。程序段前綴PSP的大小為100H,COM文件代碼直接被裝入PSP之后的空間,因此COM文件的第一條指令地址為100H。COM文件結構如圖7—2所示。
(3)惡意代碼的寄生方式
按照惡意代碼在宿主程序中的位置,常見寄生方式可分為三種:頭寄生、尾寄生和插入寄生。頭寄生是指惡意代碼寄生在宿主程序的前端,原位置的部分代碼被轉移至程序尾部,并通過在惡意代碼段尾部安排跳轉指令,在執行完惡意代碼段后轉到正常代碼段執行。尾寄生是指惡意代碼寄生在宿主程序的末端,通過修改100H地址的第一條指令跳轉到尾部首先執行惡意代碼部分,隨后再恢復100H地址的原指令執行正常程序代碼。插入寄生是指惡意代碼寄生在宿主程序中間位置,同樣通過跳轉指令實現惡意代碼和正常代碼的接續執行。
主題書展
更多主題書展
更多書展本週66折
您曾經瀏覽過的商品
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。