恶意软件分析与检测 王俊峰 等 著 专业科技 文轩网

《信息科学技术学术著作丛书》序
前言
第1章 二进制可执行文件简介 1
1.1 Windows PE文件 1
1.1.1 PE文件结构 1
1.1.2 PE文件头结构 3
1.1.3 PE导入表 6
1.1.4 PE资源表 7
1.1.5 PE地址变换 10
1.1.6 PE重定位机制 10
1.1.7 PE文件变形机制 12
1.2 Linux ELF文件 14
1.2.1 ELF结构 14
1.2.2 ELF头结构 15
1.2.3 ELF节区 16
1.2.4 ELF字符串表 17
1.2.5 ELF符号表 18
1.2.6 ELF重定位机制 19
1.2.7 ELF动态链接机制 20
1.3 Android DEX文件 21
1.3.1 Android系统结构 22
1.3.2 Android DEX结构 25
1.3.3 Android ODEX结构 27
1.3.4 Android权限机制 27
参考文献 29
第2章 恶意软件检测基础 30
2.1 恶意软件抽象理论 30
2.2 机器学习基础 34
2.2.1 机器学习简介 34
2.2.2 分类算法 36
2.2.3 集成学习 38
2.2.4 特征选择与特征提取 43
2.2.5 性能评价 44
2.2.6 WEKA简介 46
2.3 本章小结 47
参考文献 48
第3章 加壳技术研究 50
3.1 引言 50
3.2 加壳原理 51
3.2.1 ELF文件的加载过程 51
3.2.2 加壳的方式 53
3.2.3 用户空间下加载器的设计 56
3.3 反跟踪技术 58
3.3.1 反调试技术 58
3.3.2 代码混淆技术 61
3.3.3 抗反汇编技术 63
3.4 本章小结 65
参考文献 66
第4章 加壳检测研究 67
4.1 引言 67
4.2 加壳检测常用方法 68
4.2.1 研究现状 68
4.2.2 常用方法归纳 69
4.3 基于机器学习的加壳检测框架 78
4.4 PE文件加壳检测 81
4.4.1 PE文件特征提取 81
4.4.2 PE加壳检测实验及分析 83
4.5 ELF文件加壳检测 84
4.5.1 ELF文件特征提取 84
4.5.2 ELF加壳检测实验及分析 85
4.6 本章小结 85
参考文献 86
第5章 基于函数调用图签名的恶意软件检测方法 87
5.1 引言 87
5.2 相关工作 88
5.3 定义 91
5.4 图同构算法 93
5.4.1 基于矩阵变换的图同构算法 93
5.4.2 Ullmann图同构算法 94
5.4.3 VF2图同构算法 95
5.4.4 FCGiso图同构算法 96
5.5 检测方法框架 97
5.5.1 检测方法概览 97
5.5.2 检测方法详细描述 98
5.6 实验 100
5.6.1 已知恶意软件检测 101
5.6.2 加壳变种检测 104
5.6.3 恶意软件变种检测 105
5.6.4 恶意软件大样本归类 106
5.6.5 与图编辑距离方法的对比 107
5.7 实验结果与分析 109
5.8 本章小结 111
参考文献 111
第6章 基于挖掘格式信息的恶意软件检测方法 114
6.1 引言 114
6.2 相关工作 116
6.3 检测架构 118
6.4 实验 119
6.4.1 实验样本 119
6.4.2 特征提取 119
6.4.3 特征选择 120
6.4.4 分类学习 121
6.5 实验结果与分析 121
6.5.1 实验1结果 121
6.5.2 实验2结果 121
6.5.3 结果分析 122
6.5.4 特征分析 123
6.6 基于ELF格式结构信息的恶意软件检测方法 126
6.6.1 实验样本 127
6.6.2 提取特征 127
6.6.3 特征选择 128
6.6.4 实验结果 129
6.7 与现有静态方法对比 130
6.8 本章小结 131
参考文献 132
第7章 基于控制流结构体的恶意软件检测方法 133
7.1 引言 133
7.2 相关工作 134
7.3 操作码序列构造原理 135
7.3.1 操作码信息描述 136
7.3.2 操作码序列划分 137
7.4 特征选 择140
7.5 恶意软件检测模型 143
7.6 实验结果与分析 145
7.6.1 实验环境介绍 145
7.6.2 特征数量比较 146
7.6.3 恶意软件检测性能比较 147
7.7 本章小结 150
参考文献 151
第8章 基于控制流图特征的恶意软件检测方法 152
8.1 引言 152
8.2 相关工作 152
8.3 软件控制流图 153
8.3.1 基于单条指令的控制流图 154
8.3.2 基于指令序列的控制流图 155
8.3.3 基于函数的控制流图 155
8.3.4 基于系统调用的控制流图 156
8.4 基于函数调用图的软件特征 157
8.4.1 函数调用图构造 157
8.4.2 特征选择 158
8.4.3 特征分析 162
8.5 语义特征和语法特征的比较 163
8.6 实验结果与分析 164
8.6.1 函数调用图中软件特征评价 165
8.6.2 分类器交叉验证 166
8.6.3 独立验证 167
8.7 本章小结 169
参考文献 170
第9章 软件局部恶意代码识别研究 172
9.1 引言 172
9.2 相关工作 173
9.3 恶意代码感染技术 175
9.3.1 修改程序控制流 175
9.3.2 恶意注入代码存储位置 177
9.4 恶意代码段识别 178
9.4.1 控制流结构异常表现 179
9.4.2 控制流基本结构BasicBlock识别 179
9.4.3 BasicBlock之间的联系 182
9.4.4 控制流基本结构合并 184
9.4.5 恶意代码边界识别 185
9.5 实验结果与分析 186
9.5.1 添加代码型感染方式的检测 187
9.5.2 覆盖代码型感染方式的检测 187
9.6 本章小结 189
参考文献 190
第10章 基于多视集成学习的恶意软件检测方法 191
10.1 引言 191
10.2 相关工作 192
10.3 实验概览 195
10.4 实验与结果 195
10.4.1 实验样本 195
10.4.2 单视特征提取 196
10.4.3 集成方案一 203
10.4.4 集成方案二 205
10.4.5 泛化性能对比 207
10.5 实验结果对比分析 209
10.6 本章小结 211
参考文献 212
第11章 基于动态变长Native API序列的恶意软件检测方法 214
11.1 引言 214
11.2 相关工作 215
11.3 Win32 API调用机制 219
11.4 检测方法架构 220
11.5 实验 221
11.5.1 实验样本 221
11.5.2 分析平台搭建 221
11.5.3 特征提取和选择 225
11.5.4 分类 226
11.6 实验结果与分析 226
11.6.1 实验结果分析 226
11.6.2 特征分析 229
11.7 本章小结 232
参考文献 233
第12章 基于多特征的移动设备恶意代码检测方法 235
12.1 引言 235
12.2 相关工作 236
12.3 检测模型设计 237
12.3.1 检测模型整体框架 237
12.3.2 恶意代码特征提取 238
12.4 实验与分析 240
12.4.1 实验样本准备 240
12.4.2 实验主要算法 240
12.4.3 实验结果分析 242
12.4.4 实验结论 243
12.5 本章小结 244
参考文献 244
第13章 基于实际使用的权限组合与系统API的恶意软件检测方法 246
13.1 引言 246
13.2 相关工作 247
13.3 检测架构 248
13.3.1 权限组合特征提取 249
13.3.2 系统API特征提取 252
13.4 实验与分析 253
13.4.1 实验样本 253
13.4.2 实验环境 254
13.4.3 实验结果与分析 254
13.4.4 检测方法对比 257
13.5 本章小结 260
参考文献 260
第14章 基于敏感权限及其函数调用图的恶意软件检测方法 262
14.1 引言 262
14.2 相关工作 263
14.3 检测架构 264
14.3.1 提取敏感权限 265
14.3.2 构建函数调用图 266
14.3.3 图编辑距离算法 269
14.4 实验与分析 271
14.4.1 实验样本 271
14.4.2 实验环境 271
14.4.3 实验结果与分析 272
14.4.4 检测方法对比 274
14.5 本章小结 275
参考文献 276
第15章 基于频繁子图挖掘的异常入侵检测新方法 277
15.1 引言 277
15.2 相关工作 279
15.3 基本思想及检测模型 281
15.4 特征模式构造算法 282
15.4.1 相关概念与定义 282
15.4.2 数据预处理 283
15.4.3 子图特征值设定 285
15.4.4 子图扩展与剪枝 285
15.4.5 PatternsMining算法实现 286
15.5 实验数据描述 290
15.6 实验结果与分析 290
15.7 本章小结 293
参考文献 294