| 摘要 | 第1-5页 |
| ABSTRACT | 第5-9页 |
| 第一章 绪论 | 第9-12页 |
| ·研究背景 | 第9-10页 |
| ·研究现状 | 第10页 |
| ·本文研究工作 | 第10-11页 |
| ·章节介绍 | 第11-12页 |
| 第二章 软件逆向分析简介及其相关知识 | 第12-25页 |
| ·软件逆向分析简介 | 第12页 |
| ·软件逆向分析概念 | 第12页 |
| ·软件逆向分析原理 | 第12页 |
| ·软件逆向分析相关知识 | 第12-25页 |
| ·汇编语言 | 第12-14页 |
| ·PE文件格式 | 第14-16页 |
| ·虚拟内存 | 第16页 |
| ·线程同步 | 第16-17页 |
| ·WIN32 API | 第17-18页 |
| ·本地API | 第18-19页 |
| ·Windows DLL | 第19页 |
| ·分组密码算法 | 第19-22页 |
| ·OllyDbg反汇编工具 | 第22-25页 |
| 第三章 加密网络程序初步逆向 | 第25-33页 |
| ·加密网络程序初步逆向分析 | 第25-26页 |
| ·加密网络程序初步逆向目的 | 第25页 |
| ·加密网络程序初步逆向方法 | 第25-26页 |
| ·POISON IVY木马程序初步逆向分析 | 第26-33页 |
| ·POISON IVY木马程序功能 | 第26页 |
| ·POISON IVY木马被控制端特点 | 第26页 |
| ·被控制端获取Win32 API函数 | 第26-33页 |
| 第四章 加密网络程序加密算法逆向分析 | 第33-45页 |
| ·加密网络程序加密算法逆向分析 | 第33-34页 |
| ·加密算法逆向分析目的 | 第33页 |
| ·加密算法逆向分析方法 | 第33-34页 |
| ·POISON IVY木马程序加密算法逆向分析 | 第34-45页 |
| ·F函数 | 第34-35页 |
| ·FL函数 | 第35-36页 |
| ·FL~(-1)函数 | 第36-37页 |
| ·密钥扩展 | 第37-39页 |
| ·加密过程 | 第39-40页 |
| ·解密过程 | 第40-42页 |
| ·算法还原与验证 | 第42页 |
| ·算法破解 | 第42-45页 |
| 第五章 加密网络程序通信过程逆向分析 | 第45-65页 |
| ·加密网络程序通信过程逆向分析 | 第45页 |
| ·通信过程逆向分析目的 | 第45页 |
| ·通信过程逆向分析方法 | 第45页 |
| ·POISON IVY木马程序通信过程逆向分析 | 第45-62页 |
| ·被控制端与控制端传输数据函数 | 第46-48页 |
| ·接收命令过程 | 第48-53页 |
| ·处理命令过程 | 第53-56页 |
| ·发送命令处理结果过程 | 第56-57页 |
| ·被控制端三个线程 | 第57-61页 |
| ·通信过程验证 | 第61-62页 |
| ·加密网络程序逆向分析流程与方法总结 | 第62-65页 |
| 第六章 结束语和工作展望 | 第65-67页 |
| ·总结 | 第65页 |
| ·下一步工作方向 | 第65-67页 |
| 参考文献 | 第67-69页 |
| 附录1 还原出的SIMPLE_CAMELLIA代码 | 第69-81页 |
| 附录2 SIMPLE_CAMELLIA代码验证 | 第81-83页 |
| 附录3 穷举破解代码 | 第83-86页 |
| 附录4 字典破解代码 | 第86-88页 |
| 致谢 | 第88-90页 |
| 个人简历及攻读硕士期间发表的文章 | 第90页 |
| 个人简历 | 第90页 |
| 攻读硕士期间发表和录用文章 | 第90页 |