课程简介
恶意代码分析与防治技术课程是信息安全专业的一门基础课程,课程目标是培养学生对威胁系统安全和网络安全的计算机病毒进行深入分析的能力,以及应急响应计算机病毒攻击事件的能力,树立国家网络空间安全观。课程的内容包括:计算机病毒的基本概念和分类、二进制代码反汇编的基础知识、恶意代码的静态和动态分析方法、Windows恶意代码分析、Windows内核调试技术、恶意代码行为分析、恶意代码特征提取、数据加密解密等。学生在课程学习中,可以深入了解操作系统的内部工作机制,独立进行计算机病毒的逆向分析,剖析病毒的内部逻辑和恶意行为,设计计算机病毒的识别和防治方法,树立正确的网络空间安全观,为学生进一步从事信息安全相关的工作打下坚实基础。
课程大纲
第一章、计算机病毒分析概论
1.1 计算机病毒的定义和类型
1.2 计算机病毒分析的目标
1.3 计算机病毒分析技术概述
第二章、静态基础分析技术
2.1 杀毒软件
2.2 哈希值:恶意代码指纹
2.3 特征字符串
2.4 加壳与混淆
2.5 PE文件格式
2.6 链接库与函数
2.7 Yara检测引擎
第三章、虚拟机中分析计算机病毒
3.1 虚拟机的结构
3.2 创建虚拟机
3.3 使用虚拟机
第四章、动态基础分析技术
4.1 沙箱分析
4.2 运行病毒和进程监视
4.3 Process Explorer和Regshot
4.4 网络模拟
第五章、x86反汇编
5.1 逆向工程
5.2 x86体系结构
5.3 CPU寄存器
5.4 汇编指令
5.5 栈操作
第六章、IDA Pro
6.1 加载可执行文件
6.2 IDA Pro窗口
6.3 IDA Pro 导航
6.4 交叉引用
6.5 函数分析
6.6 使用图形选项
6.7 增强反汇编
第七章、识别汇编中的C语言代码结构
7.1 识别汇编中的C语言代码结构
7.2 识别if分支结构
7.3 识别循环
7.4 识别函数调用
7.5 识别switch结构
7.6 识别数组、结构体、链表
第八章、分析恶意Windows程序
8.1 Windows API
8.2 Windows 注册表
8.3 网络API
8.4 跟踪病毒运行
8.5 互斥量
8.6 异常处理、模式、Native API
第九章、动态调试
9.1 调试器介绍
9.2使用调试器
9.3使用断点暂停执行
9.4 断点类型
9.5异常
9.6调试器修改可执行文件
第十章、Ollydbg
10.1 Ollydbg加载恶意代码
10.2 Ollydbg的窗口
10.3 内存映射
10.4 查看线程、栈、代码
10.5 断点
10.6加载DLL、跟踪
10.7异常处理、修补
10.8分析shellcode、协助功能
10.9插件、脚本调试
第十一章、使用WinDbg调试内核
11.1驱动与内核代码
11.2使用WinDbg
11.3微软符号表
11.4内核调试
11.5Rootkit
第十二章、恶意代码行为分析
12.1下载器、启动器和后门
12.2远程控制和僵尸网络
12.3登录凭证窃密器
12.4存活机制和windows注册表
12.5特洛伊木马化二进制文件
12.6DLL加载顺序劫持
12.7权限提升与用户态Rootkit
12.8 勒索病毒
第十三章、病毒的隐蔽启动
13.1启动器与进程注入
13.2进程替换
13.3Hook注入
13.4Detours与APC注入
第十四章、数据加密
14.1加密算法的目的和简单的加密算法
14.2简单的加密策略
14.3常见的加密算法
14.4自定义加密
14.5解密
14.6 密码简介
期末考试
勒索病毒防治方法的讨论
Yara恶意代码检测引擎
1.1 计算机病毒的定义和类型
1.2 计算机病毒分析的目标
1.3 计算机病毒分析技术概述
第二章、静态基础分析技术
2.1 杀毒软件
2.2 哈希值:恶意代码指纹
2.3 特征字符串
2.4 加壳与混淆
2.5 PE文件格式
2.6 链接库与函数
2.7 Yara检测引擎
第三章、虚拟机中分析计算机病毒
3.1 虚拟机的结构
3.2 创建虚拟机
3.3 使用虚拟机
第四章、动态基础分析技术
4.1 沙箱分析
4.2 运行病毒和进程监视
4.3 Process Explorer和Regshot
4.4 网络模拟
第五章、x86反汇编
5.1 逆向工程
5.2 x86体系结构
5.3 CPU寄存器
5.4 汇编指令
5.5 栈操作
第六章、IDA Pro
6.1 加载可执行文件
6.2 IDA Pro窗口
6.3 IDA Pro 导航
6.4 交叉引用
6.5 函数分析
6.6 使用图形选项
6.7 增强反汇编
第七章、识别汇编中的C语言代码结构
7.1 识别汇编中的C语言代码结构
7.2 识别if分支结构
7.3 识别循环
7.4 识别函数调用
7.5 识别switch结构
7.6 识别数组、结构体、链表
第八章、分析恶意Windows程序
8.1 Windows API
8.2 Windows 注册表
8.3 网络API
8.4 跟踪病毒运行
8.5 互斥量
8.6 异常处理、模式、Native API
第九章、动态调试
9.1 调试器介绍
9.2使用调试器
9.3使用断点暂停执行
9.4 断点类型
9.5异常
9.6调试器修改可执行文件
第十章、Ollydbg
10.1 Ollydbg加载恶意代码
10.2 Ollydbg的窗口
10.3 内存映射
10.4 查看线程、栈、代码
10.5 断点
10.6加载DLL、跟踪
10.7异常处理、修补
10.8分析shellcode、协助功能
10.9插件、脚本调试
第十一章、使用WinDbg调试内核
11.1驱动与内核代码
11.2使用WinDbg
11.3微软符号表
11.4内核调试
11.5Rootkit
第十二章、恶意代码行为分析
12.1下载器、启动器和后门
12.2远程控制和僵尸网络
12.3登录凭证窃密器
12.4存活机制和windows注册表
12.5特洛伊木马化二进制文件
12.6DLL加载顺序劫持
12.7权限提升与用户态Rootkit
12.8 勒索病毒
第十三章、病毒的隐蔽启动
13.1启动器与进程注入
13.2进程替换
13.3Hook注入
13.4Detours与APC注入
第十四章、数据加密
14.1加密算法的目的和简单的加密算法
14.2简单的加密策略
14.3常见的加密算法
14.4自定义加密
14.5解密
14.6 密码简介
期末考试
勒索病毒防治方法的讨论
Yara恶意代码检测引擎