| 摘要 | 第4-6页 |
| ABSTRACT | 第6-8页 |
| 第1章 绪论 | 第17-37页 |
| 1.1 课题背景及研究意义 | 第17-18页 |
| 1.2 国内外研究现状 | 第18-33页 |
| 1.2.1 反分析与反分析识别 | 第18-24页 |
| 1.2.2 反汇编 | 第24-26页 |
| 1.2.3 函数识别 | 第26-28页 |
| 1.2.4 库函数识别 | 第28-32页 |
| 1.2.5 现有研究存在的问题分析 | 第32-33页 |
| 1.3 本文的研究内容和组织结构 | 第33-37页 |
| 1.3.1 研究内容 | 第33-34页 |
| 1.3.2 组织结构 | 第34-37页 |
| 第2章 基于动态信息流的反分析识别 | 第37-69页 |
| 2.1 引言 | 第37-39页 |
| 2.2 背景知识及相关工作 | 第39-42页 |
| 2.2.1 完整性校验 | 第39-41页 |
| 2.2.2 污点分析 | 第41-42页 |
| 2.2.3 非显式流 | 第42页 |
| 2.3 识别基于完整性校验的反修改 | 第42-54页 |
| 2.3.1 方法的总体思路 | 第43-44页 |
| 2.3.2 内存映射分析 | 第44-45页 |
| 2.3.3 污点分析 | 第45-46页 |
| 2.3.4 基于完整性校验的反修改的识别算法 | 第46-49页 |
| 2.3.5 识别算法示例 | 第49-51页 |
| 2.3.6 反修改信息的提取 | 第51-53页 |
| 2.3.7 识别算法的加速方法 | 第53-54页 |
| 2.4 识别基于计时攻击的反监控 | 第54-57页 |
| 2.5 基于动态信息流的反分析识别框架 | 第57-59页 |
| 2.6 实验结果与分析 | 第59-68页 |
| 2.6.1 实验配置 | 第59-61页 |
| 2.6.2 识别基于完整性校验的反修改的实验结果 | 第61-67页 |
| 2.6.3 识别基于计时攻击的反监控的实验结果 | 第67-68页 |
| 2.7 本章小结 | 第68-69页 |
| 第3章 多路径探索反汇编 | 第69-83页 |
| 3.1 引言 | 第69-70页 |
| 3.2 背景知识及相关工作 | 第70-72页 |
| 3.2.1 x86指令 | 第70-71页 |
| 3.2.2 反汇编方法 | 第71-72页 |
| 3.2.3 指令执行轨迹 | 第72页 |
| 3.3 方法的总体思路 | 第72-73页 |
| 3.4 基于多路径探索的动态反汇编 | 第73-75页 |
| 3.4.1 指令执行轨迹 | 第73页 |
| 3.4.2 多路径探索 | 第73-75页 |
| 3.4.3 简化指令执行轨迹 | 第75页 |
| 3.5 指令执行轨迹反混淆 | 第75-78页 |
| 3.5.1 非返回call的反混淆 | 第76-77页 |
| 3.5.2 call堆栈篡改的反混淆 | 第77-78页 |
| 3.6 基于函数识别的静态反汇编 | 第78-79页 |
| 3.7 实验结果与分析 | 第79-82页 |
| 3.8 本章小结 | 第82-83页 |
| 第4章 使用逆向扩展控制流图识别函数 | 第83-115页 |
| 4.1 引言 | 第83-84页 |
| 4.2 相关工作 | 第84-86页 |
| 4.3 方法的总体思路 | 第86-87页 |
| 4.4 逆向扩展控制流图的定义和构建 | 第87-91页 |
| 4.4.1 基本定义 | 第87页 |
| 4.4.2 构造逆向扩展控制流图 | 第87-91页 |
| 4.5 基于逆向扩展控制流图的函数识别 | 第91-101页 |
| 4.5.1 逆向扩展控制流图的剪枝 | 第91-92页 |
| 4.5.2 多属性决策确定函数的控制流图 | 第92-101页 |
| 4.6 实验结果与分析 | 第101-112页 |
| 4.6.1 实验配置 | 第102-104页 |
| 4.6.2 实验结果与讨论 | 第104-112页 |
| 4.7 本章小结 | 第112-115页 |
| 第5章 基于图同构测试的库函数识别 | 第115-149页 |
| 5.1 引言 | 第115-116页 |
| 5.2 背景知识及相关工作 | 第116-118页 |
| 5.2.1 库函数 | 第116-117页 |
| 5.2.2 静态库函数 | 第117页 |
| 5.2.3 动态库函数 | 第117页 |
| 5.2.4 相关工作 | 第117-118页 |
| 5.3 本文方法的总体思路 | 第118-119页 |
| 5.4 基于执行流图的库函数识别 | 第119-126页 |
| 5.4.1 基本定义 | 第119-121页 |
| 5.4.2 指令读写集合 | 第121-122页 |
| 5.4.3 指令编码 | 第122页 |
| 5.4.4 执行流图的构造过程 | 第122-124页 |
| 5.4.5 基于执行流图的库函数识别算法 | 第124页 |
| 5.4.6 识别结果的验证算法 | 第124-126页 |
| 5.5 基于收缩执行流图的库函数识别 | 第126-136页 |
| 5.5.1 局部执行流图序列化 | 第126-129页 |
| 5.5.2 收缩执行流图的基本定义 | 第129页 |
| 5.5.3 收缩执行流图的构造过程 | 第129页 |
| 5.5.4 基于收缩执行流图的执行流图子图同构测试 | 第129-133页 |
| 5.5.5 基于收缩执行流图的执行流图同构测试 | 第133页 |
| 5.5.6 过滤器的设计 | 第133-135页 |
| 5.5.7 基于收缩执行流图的库函数识别算法 | 第135-136页 |
| 5.6 实验结果与分析 | 第136-148页 |
| 5.6.1 实验配置 | 第136-138页 |
| 5.6.2 实验结果与讨论 | 第138-148页 |
| 5.7 本章小结 | 第148-149页 |
| 结论 | 第149-151页 |
| 参考文献 | 第151-165页 |
| 攻读博士学位期间发表的论文及其他成果 | 第165-168页 |
| 致谢 | 第168-169页 |
| 个人简历 | 第169页 |