自修改代码逆向分析方法研究
| 摘要 | 第1-7页 |
| ABSTRACT | 第7-10页 |
| 目录 | 第10-13页 |
| 图表目录 | 第13-15页 |
| 第1章 绪论 | 第15-27页 |
| ·研究背景 | 第15-23页 |
| ·互联网发展现状及安全问题 | 第15-18页 |
| ·恶意代码的危害 | 第18-21页 |
| ·恶意代码的发展趋势 | 第21-23页 |
| ·研究内容和研究意义 | 第23-24页 |
| ·论文主要贡献 | 第24-25页 |
| ·论文组织结构 | 第25-27页 |
| 第2章 国内外研究现状 | 第27-59页 |
| ·前言 | 第27页 |
| ·恶意代码自保护方法 | 第27-40页 |
| ·恶意代码自保护方法分类 | 第27-28页 |
| ·反反编译技术 | 第28-29页 |
| ·反静态反汇编技术 | 第29-39页 |
| ·反调试器技术 | 第39页 |
| ·小结 | 第39-40页 |
| ·恶意代码分析方法 | 第40-57页 |
| ·静态分析方法 | 第40-43页 |
| ·动态分析方法 | 第43-45页 |
| ·常用分析工具介绍 | 第45-49页 |
| ·动态污点分析 | 第49-55页 |
| ·自修改代码分析方法 | 第55-57页 |
| ·二进制文件重构 | 第57页 |
| ·本章小结 | 第57-59页 |
| 第3章 自修改代码实现机理研究 | 第59-67页 |
| ·前言 | 第59页 |
| ·自修改保护机制概述 | 第59-62页 |
| ·基本思路 | 第59-60页 |
| ·实现方法 | 第60-61页 |
| ·保护过程 | 第61-62页 |
| ·自修改代码执行过程 | 第62-65页 |
| ·自修改代码分类 | 第65-66页 |
| ·本章小结 | 第66-67页 |
| 第4章 动态生成代码的识别与提取 | 第67-77页 |
| ·前言 | 第67-68页 |
| ·可执行程序中动态生成代码的识别与提取 | 第68-73页 |
| ·基本原理 | 第68页 |
| ·具体步骤 | 第68-73页 |
| ·动态链接库中动态生成代码的识别与提取 | 第73-75页 |
| ·基本原理 | 第73-74页 |
| ·执行流程控制 | 第74-75页 |
| ·本章小结 | 第75-77页 |
| 第5章 自修改代码二进制文件重构 | 第77-93页 |
| ·前言 | 第77页 |
| ·PE文件格式概述 | 第77-82页 |
| ·PE文件结构布局 | 第78-79页 |
| ·PE文件内存映射 | 第79-81页 |
| ·区块 | 第81页 |
| ·数据目录表 | 第81-82页 |
| ·PE文件空间扩展 | 第82-85页 |
| ·利用PE区块空隙 | 第82-84页 |
| ·添加一个新的区块 | 第84-85页 |
| ·虚拟地址与文件偏移地址转换 | 第85-87页 |
| ·代码填充 | 第87-90页 |
| ·"代码生成器"代码生成行为屏蔽 | 第90-92页 |
| ·本章小结 | 第92-93页 |
| 第6章 基于代码覆盖的多路径分析方法 | 第93-101页 |
| ·前言 | 第93-94页 |
| ·基于代码覆盖的多路径分析方法 | 第94-99页 |
| ·已遍历节点的标识 | 第95-97页 |
| ·对循环代码的处理 | 第97-98页 |
| ·多路径遍历 | 第98-99页 |
| ·原型系统与实验 | 第99-100页 |
| ·实验方案 | 第99页 |
| ·性能评价指标 | 第99页 |
| ·实验结果与分析 | 第99-100页 |
| ·本章小结 | 第100-101页 |
| 第7章 原型系统设计与实现 | 第101-111页 |
| ·前言 | 第101页 |
| ·原型系统实现 | 第101-106页 |
| ·系统框图 | 第101-103页 |
| ·文件类型判断 | 第103-104页 |
| ·单步执行 | 第104-105页 |
| ·指令截获 | 第105-106页 |
| ·影子内存 | 第106页 |
| ·实验结果 | 第106-110页 |
| ·本章小结 | 第110-111页 |
| 第8章 结论 | 第111-115页 |
| ·论文总结 | 第111-112页 |
| ·论文主要创新点 | 第112-113页 |
| ·后续研究方向 | 第113-115页 |
| 参考文献 | 第115-127页 |
| 致谢 | 第127-129页 |
| 在读期间发表的学术论文与取得的研究成果 | 第129页 |
