恶意代码分析与防治技术课程是信息安全专业的一门基础课程,课程目标是培养学生对威胁系统安全和网络安全的计算机病毒进行深入分析的能力,以及应急响应计算机病毒攻击事件的能力,树立国家网络空间安全观。课程的内容包括:计算机病毒的基本概念和分类、二进制代码反汇编的基础知识、恶意代码的静态和动态分析方法、Windows恶意代码分析、Windows内核调试技术、恶意代码行为分析、恶意代码特征提取、数据加密解密等。学生在课程学习中,可以深入了解操作系统的内部工作机制,独立进行计算机病毒的逆向分析,剖析病毒的内部逻辑和恶意行为,设计计算机病毒的识别和防治方法,树立正确的网络空间安全观,为学生进一步从事信息安全相关的工作打下坚实基础。
Overview
Syllabus
- 第一章、计算机病毒分析概论
- 1.1 计算机病毒的定义和类型
- 1.2 计算机病毒分析的目标
- 1.3 计算机病毒分析技术概述
- 第二章、静态基础分析技术
- 2.1 杀毒软件
- 2.2 哈希值:恶意代码指纹
- 2.3 特征字符串
- 2.4 加壳与混淆
- 2.5 PE文件格式
- 2.6 链接库与函数
- 2.7 Yara检测引擎
- 第三章、虚拟机中分析计算机病毒
- 3.1 虚拟机的结构
- 3.2 创建虚拟机
- 3.3 使用虚拟机
- 第四章、动态基础分析技术
- 4.1 沙箱分析
- 4.2 运行病毒和进程监视
- 4.3 Process Explorer和Regshot
- 4.4 网络模拟
- 第五章、x86反汇编
- 5.1 逆向工程
- 5.2 x86体系结构
- 5.3 CPU寄存器
- 5.4 汇编指令
- 5.5 栈操作
- 第六章、IDA Pro
- 6.1 加载可执行文件
- 6.2 IDA Pro窗口
- 6.3 IDA Pro 导航
- 6.4 交叉引用
- 6.5 函数分析
- 6.6 使用图形选项
- 6.7 增强反汇编
- 第七章、识别汇编中的C语言代码结构
- 7.1 识别汇编中的C语言代码结构
- 7.2 识别if分支结构
- 7.3 识别循环
- 7.4 识别函数调用
- 7.5 识别switch结构
- 7.6 识别数组、结构体、链表
- 第八章、分析恶意Windows程序
- 8.1 Windows API
- 8.2 Windows 注册表
- 8.3 网络API
- 8.4 跟踪病毒运行
- 8.5 互斥量
- 8.6 异常处理、模式、Native API
- 第九章、动态调试
- 9.1 调试器介绍
- 9.2使用调试器
- 9.3使用断点暂停执行
- 9.4 断点类型
- 9.5异常
- 9.6调试器修改可执行文件
- 第十章、Ollydbg
- 10.1 Ollydbg加载恶意代码
- 10.2 Ollydbg的窗口
- 10.3 内存映射
- 10.4 查看线程、栈、代码
- 10.5 断点
- 10.6加载DLL、跟踪
- 10.7异常处理、修补
- 10.8分析shellcode、协助功能
- 10.9插件、脚本调试
- 第十一章、使用WinDbg调试内核
- 11.1驱动与内核代码
- 11.2使用WinDbg
- 11.3微软符号表
- 11.4内核调试
- 11.5Rootkit
- 第十二章、恶意代码行为分析
- 12.1下载器、启动器和后门
- 12.2远程控制和僵尸网络
- 12.3登录凭证窃密器
- 12.4存活机制和windows注册表
- 12.5特洛伊木马化二进制文件
- 12.6DLL加载顺序劫持
- 12.7权限提升与用户态Rootkit
- 12.8 勒索病毒
- 第十三章、病毒的隐蔽启动
- 13.1启动器与进程注入
- 13.2进程替换
- 13.3Hook注入
- 13.4Detours与APC注入
- 第十四章、数据加密
- 14.1加密算法的目的和简单的加密算法
- 14.2简单的加密策略
- 14.3常见的加密算法
- 14.4自定义加密
- 14.5解密
- 14.6 密码简介
- 期末考试
- 勒索病毒防治方法的讨论
- Yara恶意代码检测引擎
Taught by
Zhi Wang, Jian Zhang, , and Deng Congyi