恶意软件发现与分析

课程编码：0839X6M05007H 英文名称：Malware Analysis 课时：40 学分：2.00 课程属性：专业普及课 主讲教师：刘剑等

本课程主要内容为恶意软件的基本原理、发现技术与分析技术。首先,课程对恶意软件的基本概念、主要种类、发展趋势等进行概述。在上述基础上,介绍恶意软件的发现、分析、与对抗技术,主要包括：恶意代码文件发现、恶意代码通信发现、反病毒引擎扫描、加壳检测、沙箱分析、动静态调试、常用行为监测等。之后,分别介绍各平台下的主流恶意软件和近年来新兴的其他恶意软件,并对其中的典型技术进行详细分析。具体内容包括：恶意软件概述、恶意软件发现技术、软件分析技术基础、静态分析高级技术、动态分析高级技术、恶意软件功能、恶意软件对抗技术、智能终端恶意软件、其他恶意软件。
通过本课程的学习,希望学生理解恶意软件的常用技术,掌握基本的恶意软件对抗技术和分析方法,并对各种主流平台上常见的恶意软件有所了解。

无

第一章 恶意软件概述 2学时 刘剑
第1节 恶意攻击及恶意软件发展
第2节 恶意软件分类
第二章 恶意软件发现技术 4学时 刘剑
第1节 主机扫描
第2节 通信行为扫描
第3节 恶意软件相似性检测
第4节 基于深度学习的相似性检测
第三章 软件分析技术基础 4学时 刘剑
第1节 PE文件基础
第2节 静态分析基础技术
第3节 恶意软件分析模拟环境
第4节 动态分析基础技术
第四章 静态分析高级技术 6学时 刘剑
第1节 x86反汇编
第2节 IDA Pro逆向
第3节 识别汇编中的C代码结构
第4节 跟踪恶意代码的运行
第5节 分析恶意Windows程序（1）
第6节 分析恶意Windows程序（2）
第五章 动态分析高级技术 4学时 刘剑
第1节 动态调试
第2节 OllyDbg
第3节 使用WinDbg调试内核（1）
第4节 使用WinDbg调试内核（2）
第六章 恶意软件功能 8学时 文辉
第1节 恶意代码行为（1）
第2节 恶意代码行为（2）
第3节 隐蔽的恶意代码启动（1）
第4节 隐蔽的恶意代码启动（2）
第5节 数据加密（1）
第6节 数据加密（2）
第7节 恶意代码的网络特征（1）
第8节 恶意代码的网络特征（2）
第七章 恶意软件对抗技术 4学时 文辉
第1节 对抗反汇编
第2节 反调试技术
第3节 反虚拟机技术
第4节 加壳与脱壳
第八章 Linux恶意软件 2学时 文辉
第1节 ELF文件基础
第2节 Linux恶意软件
第九章 智能终端恶意软件 4学时 文辉
第1节 Android系统基础
第2节 恶意应用软件
第3节 恶意系统库
第4节 恶意内核代码
第十章 其他恶意软件 2学时 文辉
第1节 恶意Web软件
第2节 勒索软件等

刘剑,中国科学院大学网络空间安全学院副教授,中国科学院信息工程研究所副研究员,博士生导师。主要从事恶意代码和软件安全分析的教学、研究工作,有丰富的教学科研经验。硕士、博士阶段曾参加多门课程的助教工作；作为首席教授在国科大计控学院开设《软件测试与安全分析》课程,深受同学们欢迎；作为指导教师已培养（或协助培养）毕业硕士生5名,协助培养毕业博士生1名。在软件安全分析领域有10余年的研究经历,2010作为访问学者赴澳大利亚昆士兰大学访问。现主持国家自然科学基金面上项目1项,作为课题骨干参加基金重点项目、国家科技重大专项“核高基”项目、中国科学院知识创新工程等多个项目的研究工作。在国内外学术会议和期刊发表学术论文20余篇,包括ICSE2015、FSE2016、ACM TODAES2015等顶级会议和期刊。