动态数据流分析技术在恶意软件分析中的应用研究

摘要	第5-6页
ABSTRACT	第6-7页
第1章绪论	第13-21页
1.1 网络攻击的发展趋势	第13-14页
1.2 APT攻击概述	第14-15页
1.3 恶意软件	第15-17页
1.3.1 特洛伊木马	第15-16页
1.3.2 软件后门	第16-17页
1.4 木马协议和软件后门分析的应用	第17-18页
1.4.1 APT攻击溯源	第17-18页
1.4.2 针对特洛伊木马的协议攻击	第18页
1.4.3 其它应用	第18页
1.5 研究内容和论文结构	第18-21页
1.5.1 主要研究成果	第18-20页
1.5.2 论文结构	第20-21页
第2章相关技术研究现状	第21-35页
2.1 二进制程序逆向分析技术研究进展	第21-23页
2.2 本文利用的工具与技术现状	第23-25页
2.2.1 静态反汇编与动态调试工具	第23页
2.2.2 动态插桩分析技术	第23-24页
2.2.3 污点传播分析技术	第24-25页
2.3 恶意软件分析技术研究进展	第25-27页
2.3.1 静态分析恶意软件	第25-26页
2.3.2 动态分析恶意软件	第26-27页
2.3.3 对分析方法的改进	第27页
2.4 恶意软件保护技术	第27-30页
2.4.1 特洛伊木马的发展和演化	第28-29页
2.4.2 动态插桩分析对于恶意软件保护对抗的优势	第29-30页
2.5 网络协议分析技术研究进展	第30-35页
2.5.1 公有协议和私有协议	第30-31页
2.5.2 协议分析的方法	第31-32页
2.5.3 协议数据加密压缩算法识别	第32-35页
第3章特洛伊木马协议分析技术研究	第35-61页
3.1 特洛伊木马协议分析流程框架设计	第35-36页
3.1.1 特洛伊木马协议分析过程中面临的问题	第35-36页
3.1.2 木马协议分析流程框架	第36页
3.2 原始入口点分析及动态插桩实现	第36-41页
3.2.1 主要问题提出	第37页
3.2.2 监视代码段访问和执行	第37-38页
3.2.3 监视堆栈状态	第38-39页
3.2.4 监视特征函数调用	第39-40页
3.2.5 针对木马常见保护壳的分析	第40-41页
3.3 污点传播系统设计	第41-49页
3.3.1 污点传播系统设计的问题	第41页
3.3.2 确定污点源	第41-43页
3.3.3 污点管理和传播	第43-46页
3.3.4 污点符号的记录和形式化表示	第46-48页
3.3.5 多线程下的污点传播处理	第48-49页
3.4 基于污点标记分析的协议字段识别	第49-53页
3.4.1 协议指示字段的识别	第49-52页
3.4.2 协议功能字段的识别	第52-53页
3.4.3 发送数据格式的识别	第53页
3.5 实现与概念验证	第53-60页
3.5.1 实验环境定义	第54-55页
3.5.2 针对木马样本的实验分析	第55-60页
3.6 小结	第60-61页
第4章基于敏感信息跟踪的软件后门行为分析	第61-71页
4.1 现有检测方法在软件后门检测中的问题	第61-62页
4.2 恶意行为检测方法框架	第62-63页
4.3 软件后门恶意行为	第63-64页
4.3.1 恶意行为分类	第63页
4.3.2 恶意行为API函数调用分析	第63-64页
4.4 动态敏感信息跟踪	第64-66页
4.4.1 通过敏感信息流定义恶意模型	第65-66页
4.4.2 基于污点传播的敏感信息跟踪流程	第66页
4.5 Putty软件后门案例分析	第66-68页
4.5.1 初步逆向分析定位关键函数	第67页
4.5.2 隐私数据传递过程分析	第67-68页
4.6 本文方法与已有方法技术对比分析	第68-69页
4.7 小结	第69-71页
第5章总结与展望	第71-73页
5.1 研究总结与可能的改进	第71-72页
5.2 恶意软件分析技术展望	第72-73页
参考文献	第73-77页
致谢	第77-79页
在读期间发表的学术论文与取得的其他研究成果	第79页