基于亲缘性分析的恶意代码检测技术研究与实现

摘要	第5-6页
ABSTRACT	第6页
第一章绪论	第10-17页
1.1 研究背景	第10-12页
1.2 国内外研究现状	第12-13页
1.3 研究的目的与意义	第13-14页
1.4 主要研究工作	第14-15页
1.5 论文的结构安排	第15-17页
第二章相关技术	第17-31页
2.1 恶意代码定义与分类	第17-19页
2.2 恶意代码分析技术	第19-22页
2.2.1 静态分析法	第19-20页
2.2.2 动态分析法	第20-21页
2.2.3 两种分析方法的对比	第21-22页
2.3 恶意代码检测技术	第22-26页
2.3.1 特征码扫描	第22页
2.3.2 完整性检测	第22-23页
2.3.3 虚拟机检测	第23页
2.3.4 启发式检测	第23-24页
2.3.4.1 静态启发式检测	第23-24页
2.3.4.2 动态启发式检测	第24页
2.3.5 主动防御	第24-25页
2.3.6 行为检测	第25页
2.3.7 几类检测技术的对比	第25-26页
2.4 恶意代码反检测技术	第26-29页
2.4.1 加壳技术	第27页
2.4.2 加密技术	第27页
2.4.3 多态技术	第27-28页
2.4.4 变形技术	第28页
2.4.5 几种反检测技术的对比	第28-29页
2.5 本章小结	第29-31页
第三章亲缘性特征提取方法	第31-58页
3.1 MAS定义	第31页
3.2 MAS的原理	第31-32页
3.3 MAS方法	第32-56页
3.3.1 MAS方法概述	第32-34页
3.3.2 PE文件分析过程	第34-45页
3.3.2.1 MS-DOS头部	第35-36页
3.3.2.2 PE文件头	第36-40页
3.3.2.3 区块表	第40-41页
3.3.2.4 输入表	第41-45页
3.3.3 脱壳	第45-50页
3.3.3.1 壳分析	第45-49页
3.3.3.2 脱壳过程	第49-50页
3.3.4 获取系统API函数集合	第50-54页
3.3.5 获取相似代码特征	第54-56页
3.3.6 MAS特征整合	第56页
3.4 本章小结	第56-58页
第四章 MAS检测技术	第58-69页
4.1 MAS检测技术原理	第58页
4.2 检测引擎的设计需求	第58-59页
4.3 MAS检测引擎设计与实现	第59-67页
4.3.1 检测引擎概述	第59页
4.3.2 MAS特征库设计	第59-62页
4.3.2.1 特征库文件总体结构	第60-61页
4.3.2.2 特征库文件的文件头	第61页
4.3.2.3 一类恶意代码的MAS特征	第61-62页
4.3.3 关于壳	第62-64页
4.3.3.1 壳判断	第63-64页
4.3.3.2 脱壳	第64页
4.3.4 类MAS特征提取	第64-66页
4.3.5 特征匹配	第66-67页
4.3.6 结果返回	第67页
4.4 本章小结	第67-69页
第五章实验及结果分析	第69-82页
5.1 实验概述	第69-70页
5.2 实验过程	第70-80页
5.2.1 实验目的	第70-71页
5.2.2 实验设计	第71-73页
5.2.3 实验结果及分析	第73-80页
5.2.3.1 MAS检测实验	第73-76页
5.2.3.2 对比实验	第76-80页
5.2.3.3 结果分析	第80页
5.3 本章小结	第80-82页
第六章总结与展望	第82-84页
6.1 全文总结	第82-83页
6.2 后续工作	第83-84页
致谢	第84-85页
参考文献	第85-89页
攻硕期间取得的研究成果	第89-90页