0I:10.13374/.j.1ssn1001053x.1997.02.019 第19卷第2期 北京科技大学学报 Vol.19 No.2 1997年4月 Journal of University of Science and Technology Beijing Apr.1997 计算机病毒的预防 蒋逸凡 北京科技大学信息工程学院,北京100083 摘要研究计算机病毒的传染机制,提出了一种预防病毒的新思路,即利用中断NTO8H对内存 中断向量表进行监测;利用中断T13H控制对软盘或硬盘的读写操作,以防病毒对磁盘上某一 物理地址进行瞬间读写. 关键词中断,瞬间读写型病毒,中断向量型病毒 中图分类号TP309, 自80年代后期,计算机病毒像幽灵似地出现了,并且在世界范围内滋生蔓延,现已发展 到上千种,),其发展和传播速度远比人们预料的要快.近10年来,绝大多数计算机用户都受 到计算机病毒的干扰和威胁.直到现在,不少用户仍时常受到新老病毒的侵害,有的已造成严 重的损失,如何有效地预防计算机病毒的侵害和传播,是广大计算机用户迫切需要解决的实 际问题,也是计算机系统研制开发应用人员面临的一个重大课题. 1计算机病毒的侵蚀机理 预防计算机病毒,首先要对病毒的传染机制有所了解病毒有许多特性,如传染性、潜伏 性、破坏性2引,但是这些特性并不能提供防范病毒的依据.根据本人的研究,发现病毒的传染 不外乎有2种途径:中断向量型和瞬间读写型. (1)中断向量型 一般病毒程序都是通过改变中断向量来向其他文件进行传染的2,3).一旦病毒程序驻留 内存,就具有了传染特性,对系统有了控制权,且对整个系统进行监测.当系统满足病毒程序 所设定的某种条件时,它就对执行文件(COM和EXE)进行传染,只要不关机,病毒就一直驻 留在内存中,随时对磁盘中的执行文件进行先读后写操作,进行传染. (2)瞬间读写型 此类病毒在获得控制权后,它并不改变中断向量,只是在磁盘中寻找满足病毒程序所设 定条件的那些执行文件,将这些文件或分区表或引导区读人内存,加以修改,再写回到原来的 磁盘物理地址中,即传染病毒,这些执行文件或分区表或引导区就带有了病毒,当下次启动机 器或执行这些带有病毒的程序时,就会将病毒代码传染给其他执行文件, 中断型病毒只要进人内存,随时随刻都有可能对其他文件进行传染,危害性较大.而瞬间 读写型病毒,不如中断型病毒危害性大,它执行1次传染1次,很难发现,隐敝性好. 1996-11-18收稿 。第一作者男37岁工程师·
第 卷 第 期 年 月 北 京 科 技 大 学 学 报 段 。 计算机病毒 的预 防 蒋逸凡 北 京科技 大 学信息工 程 学 院 , 北 京 摘要 研究 计算机病毒 的传染机 制 , 提 出 了 一 种 预 防病毒的新 思 路 , 即 利 用 中断 对内存 中断向量 表进行监 测 利 用 中断 控 制 对软盘或硬 盘的读 写 操 作 , 以 防病 毒对磁 盘上 某 一 物理地址进行 瞬 间读写 关键词 中断 , 瞬间读写型 病 毒 , 中断向量 型病毒 中图分类号 , 自 年代 后 期 , 计 算 机 病 毒像 幽灵 似 地 出现 了 , 并 且 在 世 界 范 围 内滋 生蔓 延 , 现 已 发 展 到 上 千 种 ’ , 〕 , 其 发展 和 传播 速 度 远 比人们 预料 的要 快 近 年来 , 绝 大 多 数计算机 用 户都受 到 计算 机病毒 的 干扰 和威 胁 直到 现 在 , 不 少 用 户 仍 时常受到新 老 病毒 的侵 害 , 有 的 已 造 成严 重 的损 失 如 何 有 效 地 预 防计算 机病 毒 的侵 害和 传播 , 是 广大 计算 机 用 户 迫 切 需 要 解 决 的实 际 问题 , 也是 计算机 系 统研制 开发应用 人 员 面 临 的一个重 大课题 计算机病毒的侵蚀机理 预 防计 算 机病 毒 , 首 先 要 对病 毒 的传染 机 制有 所 了解 病 毒有 许多 特 性 , 如传染性 、 潜伏 性 、 破 坏性 , , 但是 这 些 特性 并不 能提 供 防 范病毒 的依 据 根 据本 人 的研究 , 发 现病毒 的传染 不外 乎 有 种 途 径 中断 向量 型 和 瞬 间读写 型 中断 向量 型 一 般病 毒程 序 都是 通 过 改 变 中断 向量 来 向其 他 文 件进 行 传染 的, ’ 一旦 病 毒程 序驻 留 内存 , 就 具 有 了传 染 特性 , 对系 统有 了控 制权 , 且 对整 个 系 统进 行 监 测 当系 统满 足 病 毒 程 序 所 设定 的某 种 条 件 时 , 它 就 对执行 文件 和 进 行传染 , 只 要 不 关机 , 病 毒 就 一 直驻 留在 内存 中 , 随 时对磁 盘 中的执行 文件进行 先读后 写操 作 , 进行传染 瞬间读 写 型 此 类病毒在 获得 控 制 权后 , 它 并不 改变 中断 向量 , 只是 在 磁 盘 中寻 找满足 病毒程序所 设 定 条件 的那些 执行 文件 , 将这些 文件 或 分 区 表或 引 导 区读人 内存 , 加 以 修改 , 再 写 回到 原来 的 磁盘物理 地址 中 , 即传染 病 毒 这些 执行 文件 或分 区 表 或 引 导 区 就带有 了病毒 , 当下 次启 动机 器 或 执行这些 带有 病 毒 的程 序时 , 就 会将病 毒代码传染 给其他 执行 文件 中断型病 毒只 要 进 人 内存 , 随 时 随刻都有 可 能 对其他 文件进行传染 , 危 害性 较 大 而 瞬间 读 写 型病毒 , 不 如 中断型病 毒危 害性 大 , 它 执行 次传染 次 , 很 难 发现 , 隐敝性 好 一 卜 收稿 第 一作者 男 岁 工 程 师 DOI :10.13374/j .issn1001-053x.1997.02.019
·206· 北京科技大学学报 1997年第2期 2本软件的设计思想 2.1中断型病毒的防范 大多数计算机病毒都是通过改变中断向量使其指向病毒程序,当执行文件执行中断程序 时,首先执行病毒代码,再将病毒代码传染到其他正常文件中.执行完病毒程序后,再执行正 常的中断程序,这就是病毒传染的基本过程, 中断型病毒程序改变中断有2种途径:一是改变中断地址,使中断指向病毒程序,执行完 病毒程序后,病毒程序又将指针指向正常的中断程序;另一是不改变中断向量表,而是改变中 断程序内容,将中断程序的第1条改为JMP,使之跳转到病毒程序,执行完病毒程序后,再跳 回到正常的中断程序中,从中断向量表中,看不出中断程序已被病毒感染,所以往往被人们所 忽略. 我们设想在内存中开辟一区域,将内存低端的中断向量表保存起来,不断通过中断NT8 将中断向量表与保存的区域进行比较,一旦发现不一致,就可能被病毒感染;然后将保存起来 的中断向量表恢复到内存低端的中断向量表中.这样即使内存中存在着病毒代码,由于它得 不到执行权,这些病毒代码就变成了完全无用的废码,它既不能传染,也不能破坏.对于那些 不改变中断向量表,而改变中断程序的病毒,可以把某些中断程序的前几然而10个字节累加 和保存起来,然后利用中断T8,不断对这些中断程序进行检验,一且发现不一致,提示病毒 警告并破坏这些中断程序,使这些病毒程序无法正常运行下去, 不同的计算机病毒表现形式是不一样的,有些病毒改变中断TI7H使打印无法正常执 行,有些病毒改变T10H,使显示信息不正确.虽然病毒程序改变了上述中断,使某些执行文 件无法正常运行,但是病毒程序却不能通过上述中断传染给其他执行文件,因为这些中断既 不与执行文件直接打交道,也不接触磁盘物理地址.我们的最终目标是防止病毒的传播.从这 个意义上来说,保护上述中断意义并不大,尽管也可以保护上述中断,使我们的防毒软件更加 完美,功能调用INT21H是DOS的核心,对文件的各种操作都是通过它完成的,病毒要对文件 进行读写操作,病毒程序也通常要改变功能调用INT2IH;另外,对文件的各种读写操作,最终 是通过中断INTI3H来完成的,INTI3H是对磁盘物理地址进行各种操作,因此只要保护功能 调用INT21H和中断IT13H就能防止中断向量型病毒的侵人.在实际应用中,一般软件设有 必要去改变功能调用NT21H和中断INT13H(即使汉字系统也是如此).一且上述中断被改 变,一定是病毒造成的,如果某些用户非要改变上述中断,本程序设置了中断保护和非中断保 护2种方式,用户可以随意选择. 2.2瞬间读写型病毒的防范 瞬间读写型病毒与中断向量病毒不同,它并不改变中断向量表及中断程序,它只是瞬间 对分区表、BOOT区或某一文件进行先读后写操作,即在很短一时间内将磁盘(软盘或硬盘) 上的某一物理地址内的信息读入内存,加人病毒代码,然后再写人回到原物理地址内.对于向 分区表、BOO丁区里写人信息的病毒很容易识别,也很容易防范,因为分区表、BOOT区都是 在磁盘的特定位置上,而那些对某一执行文件进行瞬间读写的计算机病毒,防范起来就不那 么容易.防范的办法是可以在内存中开辟一缓冲区,每当做读磁盘操作前,首先将CX和DX
北 京 科 技 大 学 学 报 年 第 期 本软件 的设计思想 中断型病毒 的防范 大 多 数计算 机病 毒都 是 通 过 改 变 中断 向量 使其指 向病 毒 程序 , 当执行 文件执行 中断程序 时 , 首 先 执行 病 毒 代 码 , 再 将病 毒 代码 传染 到 其 他 正 常 文 件 中 执行 完病 毒程 序后 , 再 执行正 常 的 中断程序 , 这 就 是 病 毒传 染 的基 本过 程 中断型 病 毒 程 序 改变 中断有 种途 径 一 是 改 变 中断地址 , 使 中断指 向病 毒 程序 , 执行完 病 毒 程 序 后 , 病 毒 程 序 又将 指 针指 向正 常 的 中断 程 序 另 一 是 不 改 变 中断 向量 表 , 而 是 改变 中 断程 序 内容 , 将 中断程 序 的第 条 改 为 , 使 之 跳 转 到 病 毒 程 序 , 执 行 完病 毒程 序后 , 再 跳 回到 正 常 的 中断程 序 中 , 从 中断 向量 表 中 , 看 不 出 中断程序 已 被病 毒感染 , 所 以 往往被 人们 所 忽 略 我 们设 想 在 内存 中开辟 一 区 域 , 将 内存低端 的 中断 向量 表保存起来 , 不 断通过 中断 】 将 中断 向量 表 与保存 的 区 域 进 行 比较 , 一 旦 发现不 一致 , 就 可 能被 病毒感染 然后将保存起来 的 中断 向量 表恢 复 到 内存 低端 的 中断 向量 表 中 这 样 即使 内存 中存在 着 病毒代码 , 由于 它得 不 到 执 行 权 , 这 些 病 毒 代 码 就 变 成 了完 全 无 用 的 废 码 , 它 既 不 能 传染 , 也 不 能破 坏 对于 那些 不 改变 中断 向量 表 , 而 改 变 中断程 序 的病 毒 , 可 以 把 某些 中断程序 的前几 然而 个字 节累加 和 保 存起 来 , 然 后 利 用 中断 , 不 断 对这些 中断 程 序进 行 检验 , 一旦 发现不 一致 , 提示病毒 警 告 并 破 坏 这 些 中断 程序 , 使 这 些病 毒 程 序 无法 正 常运 行 下 去 不 同 的计算 机病 毒 表 现 形 式 是 不 一 样 的 , 有 些病 毒 改 变 中断 使打 印无法 正 常执 行 , 有 些 病毒 改 变 , 使 显示 信息不 正 确 虽 然病 毒程 序改 变 了上 述 中断 , 使某些 执行文 件 无 法 正 常 运 行 , 但 是 病 毒 程 序 却不 能 通 过 上 述 中断传染 给 其他 执行 文件 , 因为这些 中断既 不 与执 行 文件 直 接 打交 道 , 也 不 接 触磁 盘 物理 地 址 我 们 的最 终 目标是 防止病毒的传播 从这 个 意 义 上 来说 , 保 护 上 述 中断意 义 并 不 大 , 尽 管也 可 以 保护上 述 中断 , 使我们 的防毒软件更加 完 美 功 能 调 用 是 〕 的核心 , 对文 件 的各 种操 作都是通 过 它 完成 的 , 病毒要 对文件 进行 读 写操 作 , 病 毒 程序 也通 常要 改 变功 能 调 用 另外 , 对文件 的各 种读写操作 , 最终 是 通 过 中断 来 完 成 的 , 是 对磁 盘 物理 地 址 进 行 各种操 作 , 因此 只要保 护功能 调 用 和 中断 就 能 防止 中断 向量 型 病 毒 的侵人 在 实 际应 用 中 , 一 般软件没 有 必 要 去 改 变 功 能 调 用 和 中断 〕, 即 使汉 字 系 统 也是 如此 一旦 上 述 中断被 改 变 , 一 定 是 病 毒造 成 的 , 如果 某 些 用 户 非要 改 变 上 述 中断 , 本程 序设 置 了 中断保 护 和 非 中断保 护 种 方 式 , 用 户 可 以 随意 选 择 瞬 间读 写型 病毒 的防范 瞬 间读 写 型 病 毒 与中 断 向量 病 毒 不 同 , 它 并 不 改 变 中断 向量 表及 中断程 序 , 它 只 是 瞬 间 对分 区 表 、 区 或 某 一 文 件 进 行 先读 后 写 操 作 , 即 在 很 短 一 时 间 内将 磁 盘 软 盘 或 硬 盘 上 的某 一 物理 地 址 内的信 息读 人 内存 , 加 人病 毒代码 , 然 后 再 写 入 回 到 原物理 地 址 内 对于 向 分 区 表 、 区 里 写 人 信 息 的病 毒 很 容 易 识别 , 也 很 容 易 防 范 , 因 为分 区 表 、 区 都是 在 磁 盘 的 特 定 位 置 上 而 那 些 对某 一 执 行 文件 进 行 瞬 间读 写 的计算 机病 毒 , 防范起 来 就不那 么容 易 防 范 的办 法 是 可 以 在 内存 中开辟 一缓 冲 区 , 每 当做读 磁 盘操 作 前 , 首先 将 和
Vol.19 No.2 将一凡:计算机病毒的预防 ·207· 的内容保存到内存缓冲区中:当写操作时,先将寄存器CX及DX的信息与内存缓冲区的信息 进行比较,比较结果若不同,表示没有病毒,程序继续执行,若相同,则说明某程序在瞬间内对 磁盘的某一物理地址进行了先读后写操作,有可能是病毒所至;这样给出提示信息,让用户自 己判断是否有病毒,这样很容易确定是病毒,如用DIR时出现提示信息,肯定是病毒所致,但 当我们对某一文件进行加密操作时,也会出现这种提示信息,因为对某一文件进行加密时,也 就是在某一瞬间对磁盘的某些物理地址进行先读后写操作,所以是否有病毒由用户自已来判 断. 另外,有些瞬间读写型病毒不仅传染文件,而且还破坏FAT表及目录区.它在对FAT表 及目录区进行读写操作时,与DOS的动作是完全一样的,因此很雄判别它是否是病毒,一旦 病毒破坏FAT表及目录区,尽管用户的信息仍在盘中,但要想找回这些信息相当困难.虽然 这种病毒破坏性极大,但由于它破坏了FAT表或目录区,因此它也就失去了传染特性,这些 被病毒破坏了的软盘或硬盘就不能把病毒传染给其他盘片,所以没有必要预防这类病毒. 3 程序的具体实施 (1)主程序 负责保存INT21H和INT13H的中断向量,同时还保存INT2IH和INTI3H前几I0个字 节的累加和,改变INT8H的中断向量地址,将新的中断程序INT8H驻留内存. (2)新的中断INTO8H 中断INT08H是系统时钟,每秒系统调用18.2次.可以利用中断INT08H随时随地对内 存低端的中断向量表进行监测,判断是否有改变中断向量表的情况,若发现有改变的现象,就 视它为病毒,并在病毒发作之前,将病毒请出,这部分负责对内存低端的中断向量表进行扫 描,将INT21H和INT13H的中断地址及累加和与保存值进行比较,一旦发现不一致,将在屏 幕上出现·发现病毒·信息,并将正常中断向量恢复. (3)新的中断NT13H 在对磁盘进行写操作时,DOS对FAT表及日录区要进行瞬间的读写,那么在该正常软件 运行时,就有可能造成误判,因此如何判别FAT表和目录区就成为解决误判的关键,要解决 这个问题,首先要了解FAT表和目录区.目录区中每个目录占32个bit,它的第I7个bit到第 20bit一定是0,由此我们很容易就能判断目录区;硬盘FAT表中的每个FAT项占2个bit,通 常在没有碎片的情况下,后2个bt减前2个bit的值肯定是1,即使硬盘中有一些碎片,这种情 况也占有相当大的比率,由此就可以判断出FAT表. 读操作包括5步骤:①判断是否FAT表,是转⑤;②判断是否目录区,是转5:3保存CX 及DX;④保存时钟;⑤执行读操作. 写操作包括7步:①判断是否为分区表,是给出提示,用户自已决定;:2判断是否为 BOOT区,是给出提示,用户自己决定;③判断是否FAT表,是转⑦;④判断是否目录区,是转 ⑦;⑤将CX、DX的值与保存区比较,若不一致转⑦;⑤用当前时钟减去保存时钟、差值是否 在某一范围内,若是给出提示,用户自己决定;⑦写操作
欣 蒋一 凡 计算机病 毒 的 预 防 的 内容 保存 到 内存缓 冲 区 中 当写操 作 时 , 先将 寄存器 及 〕 的信息 与 内存缓 冲 区 的信息 进行 比较 , 比较 结 果 若不 同 , 表示 没 有病 毒 , 程 序 继续 执行 , 若相 同 , 则 说 明某 程 序 在 瞬 间 内对 磁盘 的某 一 物 理 地 址 进 行 了 先读 后 写操 作 , 有 可 能是 病 毒 所 至 这 样 给 出提 示 信 息 , 让 用 户 自 己 判 断是 否 有 病 毒 , 这 样 很 容 易 确定 是 病 毒 如 用 时 出现 提 示 信 息 , 肯定 是 病 毒 所致 , 但 当我 们 对某 一 文件 进 行 加 密操 作 时 , 也 会 出现 这 种提 示 信息 , 因 为 对某 一 文件 进 行加 密 时 , 也 就是 在 某 一 瞬 间 对磁 盘 的某 些 物理 地址 进 行 先读 后 写操 作 , 所 以 是 否 有 病 毒 由用 户 自己 来 判 断 另 外 , 有 些 瞬 间读 写 型 病 毒 不 仅 传染 文 件 , 而 且 还 破 坏 表 及 目录 区 它 在 对 队 表 及 目录 区进 行 读 写 操 作 时 , 与 以 的 动 作 是 完 全 一 样 的 , 因此 很 难 判 别 它 是 否 是 病 毒 一旦 病 毒 破 坏 表 及 目录 区 , 尽 管 用 户 的 信 息 仍 在 盘 中 , 但 要 想 找 回这 些 信息 相 当困 难 虽 然 这 种 病 毒 破 坏 性 极 大 , 但 由于 它 破 坏 了 表 或 目 录 区 , 因此 它 也 就 失 去 了 传 染 特 性 , 这 些 被病 毒破 坏 了 的软盘 或 硬 盘就 不 能 把病 毒 传 染 给 其他 盘 片 , 所 以 没 有必要 预 防这 类 病 毒 程序 的具体 实施 主程 序 负责保 存 和 的 中断 向量 , 同时还 保存 和 前几 个 字 节 的累加 和 , 改变 的 中断 向量 地址 , 将 新 的 中断 程 序 , 驻 留 内存 新 的 中断 中断 是 系 统 时钟 , 每秒 系 统 调 用 次 可 以 利 用 中断 随 时 随地 对内 存低端 的 中断 向量 表 进 行 监 测 , 判 断 是否 有 改变 中断 向量 表 的情 况 , 若 发现有 改 变 的现 象 , 就 视 它 为病 毒 , 并 在 病 毒 发 作 之 前 , 将 病 毒 请出 这 部 分 负 责 对 内存 低 端 的 中断 向量 表进 行 扫 描 , 将 和 的 中断地 址 及 累 加 和 与保 存值 进 行 比 较 , 一 旦 发现 不 一 致 , 将 在 屏 幕上 出现 ‘ 发现病 毒 ’ 信 息 , 并将 正 常 中断 向量恢 复 新 的 中断 在 对磁 盘进 行 写 操 作 时 , 幻 对 表 及 目录 区 要 进 行 瞬 间 的读 写 , 那 么 在 该正 常 软 件 运 行 时 , 就 有 可 能造 成 误 判 , 因此 如 何 判 别 表 和 目录 区 就 成 为解 决 误 判 的 关 键 要 解 决 这个 问题 , 首 先要 了解 队 表 和 目录 区 目录 区 中每个 目录 占 个 , 它 的 第 个 到 第 一定是 , 由此 我 们 很容 易 就 能判 断 目录 区 硬 盘 】认 表 中的每个 队 项 占 个 , 通 常在 没 有 碎 片 的情 况 下 , 后 个 减 前 个 的值 肯定 是 , 即使硬 盘 中有 一 些 碎 片 , 这 种情 况 也 占有相 当大 的 比率 , 由此 就 可 以 判 断 出 表 读操作包括 步骤 ① 判 断是 否 队 表 , 是 转 ⑤ ② 判 断是 否 目录 区 , 是 转 ③ ③ 保存 及 ④ 保存 时钟 ⑤ 执行 读 操 作 写 操 作 包 括 步 ① 判 断 是 否 为 分 区 表 , 是 给 出 提 示 , 用 户 自己 决 定 ② 判 断 是 否 为 区 , 是 给 出提 示 , 用 户 自己 决 定 ③ 判 断是 否 表 , 是 转 ⑦ ④ 判 断是 否 目录 区 , 是转 ⑦ ⑤ 将 、 的值 与保 存 区 比较 , 若不 一 致 转 ⑦ ⑥ 用 当前 时钟 减 去保 存 时钟 , 差 值 是 否 在某 一 范 围 内 , 若是 给 出提 示 , 用 户 自己 决定 ⑦ 写操作
·208· 北京科技大学学报 1997年第2期 4小结 本软件采用汇编语言,具有执行速度快、占内存空间小.虽然该软件不能杀死病毒,但它 从根本上解决了病毒的传播问题.即发现病毒后,在病毒发作以前,马上给出提示,恢复正常 中断,破坏掉病毒代码,使病毒代码成为内存中的废码,因而无法传播.该软件不是针对某种 病毒而开发的,而是利用所有病毒都具有的共同特征中断向量型和瞬间读写型而编制的.通 过对搜集到的30多种病毒的试验,本软件具有较好的效果. 参考文献 1刘真.计算机病毒分析与防治技术.北京:电子工业出版社,1995 2黄瑞强.计算机病毒剖析大全.北京:机械工业出版社,1996 3毛明,王贵和,何建波.计算机病毒原理与反病毒工具.北京:科学技术文献出版社,1995 Protection of Computer Viruses Jiang Yifan Information Engineering School,UST Beijing.Beijing 100083.China ABSTRACT A new idea of protecting computer viruses is developed.It is basic idea to use Int 08H monitorring the vector table of interruptions and to use Int 13H control- ling the reading and writing operations of disks so as to protect any physical addresses of disks from being instantaneously read and written by viruses. KEY WORDS interrupt,instantaneously reading and writing viruses,interrupt vectorviruses
北 京 科 技 大 学 学 报 年 第 期 小 结 本 软件 采 用 汇编 语言 , 具 有 执 行 速 度快 、 占内存 空 间小 虽 然 该 软件不 能 杀死病毒 , 但它 从根 本 上解 决 了病 毒 的传 播 问题 即 发现 病 毒后 , 在 病 毒 发 作 以 前 , 马 上 给 出提示 , 恢 复正 常 中断 , 破 坏 掉病 毒代 码 , 使病 毒代码 成 为 内存 中的废 码 , 因而 无 法 传播 该 软件不 是 针 对某 种 病 毒 而 开 发 的 , 而 是 利 用 所 有病 毒都具 有 的共 同特 征 中断 向量 型 和 瞬 间读 写 型 而 编 制 的 通 过对搜集到 的 多 种病 毒 的试 验 , 本软件 具有 较好 的效果 参 考 文 献 刘真 计算机病毒分析 与 防治技术 北京 电子 工 业 出版社 , 黄瑞强 计算机病毒剖析大全 北京 机械工 业 出版社 , 毛 明 , 王 贵和 , 何建波 计算机病毒原理 与反病毒工具 北京 科学技术 文献 出版社 , 匆改 , , , 币 卫 ,