恶意软件发现与分析

课程编码：180203085412P3006H 英文名称：Malware Detection and Analysis 课时：40 学分：2.00 课程属性：专业课 主讲教师：刘剑

本课程主要内容为恶意软件的基本原理、发现技术与分析技术。首先,课程对恶意软件的基本概念、主要种类、发展趋势等进行概述。在上述基础上,介绍恶意软件的发现、分析、与对抗技术,主要包括：恶意代码文件发现、恶意代码通信发现、反病毒引擎扫描、加壳检测、沙箱分析、动静态调试、常用行为监测等。之后,分别介绍各平台下的主流恶意软件和近年来新兴的其他恶意软件,并对其中的典型技术进行详细分析。具体内容包括：恶意软件概述、恶意软件发现技术、软件分析技术基础、静态分析高级技术、动态分析高级技术、恶意软件功能、恶意软件对抗技术、智能终端恶意软件、其他恶意软件。
通过本课程的学习,希望学生理解恶意软件的常用技术,掌握基本的恶意软件对抗技术和分析方法,并对各种主流平台上常见的恶意软件有所了解。

无

第一章 恶意软件概述 2学时 刘剑
第1节 恶意攻击及恶意软件发展
第2节 恶意软件与网络安全法规
第二章 恶意软件发现技术 4学时 刘剑
第1节 主机扫描
第2节 通信行为扫描
第3节 恶意软件相似性检测
第4节 基于深度学习的相似性检测
第三章 恶意软件分析技术基础 4学时 刘剑
第1节 软件分析技术基础
第2节 恶意软件分析模拟环境
第3节 恶意软件分析工具
第4节 恶意软件手工分析和智能分析技术
第四章 面向恶意软件的高级静态分析技术 6学时 刘剑
第1节 x86反汇编
第2节 IDA Pro逆向
第3节 识别汇编中的C代码结构
第4节 跟踪恶意代码的运行
第5节 分析恶意Windows程序（1）
第6节 分析恶意Windows程序（2）
第五章 面向恶意软件的高级动态分析技术 4学时 刘剑
第1节 动态调试
第2节 OllyDbg
第3节 使用WinDbg调试内核（1）
第4节 使用WinDbg调试内核（2）
第六章 恶意软件功能 8学时 刘剑
第1节 恶意软件行为（1）
第2节 恶意软件行为（2）
第3节 恶意软件策略
第4节 隐蔽的恶意代码启动
第5节 恶意代码中的加密行为（1）
第6节 恶意代码中的加密行为（2）
第7节 恶意软件的网络特征（1）
第8节 恶意软件的网络特征（2）
第七章 恶意软件对抗技术 4学时 刘剑
第1节 对抗反汇编
第2节 反调试技术
第3节 反虚拟机技术
第4节 加壳与脱壳
第八章 Linux恶意软件 2学时 刘剑
第1节 ELF文件基础
第2节 Linux恶意软件
第九章 智能终端恶意软件 4学时 刘剑
第1节 Android系统基础
第2节 恶意应用软件
第3节 恶意系统库
第4节 恶意内核代码
第十章 其他恶意软件 2学时 刘剑
第1节 IoT恶意软件
第2节 恶意Web软件等

刘剑，中国科学院大学网络空间安全学院副教授，中国科学院信息工程研究所副研究员，博士生导师。主要从事恶意代码和软件安全分析的教学、研究工作，有丰富的教学科研经验。

文辉，博士，中国科学院信息工程研究所高级工程师，CCF高级会员，物联网信息安全技术北京市重点实验室主任助理，中国计算机学会物联网专委委员。