第1章 恶意代码概述 1__eol__1.1 恶意代码的概念 1__eol__1.1.1 恶意代码的定义 1__eol__1.1.2 恶意代码的类型 2__eol__1.1.3 恶意代码攻击模型 4__eol__1.2 恶意代码的发展历程 5__eol__1.2.1 产生阶段 5__eol__1.2.2 初级发展阶段 6__eol__1.2.3 互联网爆发阶段 6__eol__1.2.4 专业综合阶段 7__eol__1.3 恶意代码的命名 8__eol__1.3.1 个性化命名方法 8__eol__1.3.2 三元组命名方法 9__eol__1.4 恶意代码的传播途径 10__eol__1.5 恶意代码的发展趋势 10__eol__1.6 思考题 10__eol__第2章 引导型恶意代码 11__eol__2.1 Windows引导过程 11__eol__2.1.1 固件BIOS引导过程 11__eol__2.1.2 UEFI的引导过程 14__eol__2.1.3 Windows操作系统引导过程 17__eol__2.2 引导型病毒 19__eol__2.2.1 引导型病毒的原理 20__eol__2.2.2 引导型病毒的实现 20__eol__2.3 引导型Bootkit 22__eol__2.3.1 基于MBR的Bootkit 22__eol__2.3.2 基于UEFI的Bootkit 24__eol__2.4 思考题 26__eol__第3章 计算机病毒 27__eol__3.1 计算机病毒概述 27__eol__3.1.1 计算机病毒的基本概念 27__eol__3.1.2 计算机病毒的原理 28__eol__3.2 Win32病毒 32__eol__3.2.1 PE文件的格式 32__eol__3.2.2 Win32病毒关键技术 37__eol__3.3 宏病毒 41__eol__3.3.1 宏病毒概述 41__eol__3.3.2 宏病毒的原理 42__eol__3.3.3 宏病毒的防范 45__eol__3.4 脚本病毒 46__eol__3.4.1 Windows脚本 46__eol__3.4.2 PowerShell病毒原理 47__eol__3.4.3 脚本病毒的防范 49__eol__3.5 思考题 49__eol__第4章 特洛伊木马 51__eol__4.1 木马概述 51__eol__4.1.1 木马的基本概念 51__eol__4.1.2 木马的组成与通信架构 55__eol__4.1.3 木马的工作流程 57__eol__4.1.4 木马的植入方法 58__eol__4.2 木马的启动技术 60__eol__4.2.1 利用系统配置启动 60__eol__4.2.2 利用注册表启动 61__eol__4.2.3 利用劫持技术启动 62__eol__4.2.4 利用计划任务启动 65__eol__4.2.5 其他方式 66__eol__4.3 木马的隐藏技术 66__eol__4.3.1 文件隐藏 66__eol__4.3.2 进程隐藏 69__eol__4.3.3 通信隐藏 70__eol__4.4 思考题 73__eol__第5章 蠕虫 74__eol__5.1 蠕虫概述 74__eol__5.1.1 蠕虫的定义 74__eol__5.1.2 蠕虫的分类 75__eol__5.1.3 蠕虫的行为特征 76__eol__5.2 蠕虫的工作原理 77__eol__5.2.1 蠕虫的组成与结构 77__eol__5.2.2 蠕虫的工作流程 78__eol__5.3 典型蠕虫分析 79__eol__5.3.1 “震网”蠕虫简介 79__eol__5.3.2 “震网”蠕虫的工作原理 79__eol__5.4 蠕虫的防范 82__eol__5.5 思考题 83__eol__第6章 Rootkit 84__eol__6.1 Rootkit概述 84__eol__6.1.1 Rootkit的定义 84__eol__6.1.2 Rootkit的特性 84__eol__6.1.3 Rootkit的分类 85__eol__6.2 Rootkit技术基础 85__eol__6.2.1 Windows系统的分层结构 85__eol__6.2.2 用户层到内核层的转换 87__eol__6.3 应用层Rootkit 88__eol__6.3.1 应用层Hooking技术 88__eol__6.3.2 注入技术 90__eol__6.3.3 应用层Hooking实例 92__eol__6.4 内核层Rootkit 93__eol__6.4.1 内核层Hooking 94__eol__6.4.2 DKOM技术 95__eol__6.4.3 内核层Hooking实例 97__eol__6.5 Rootkit的防范与检测 101__eol__6.5.1 Rootkit的防范 101__eol__6.5.2 Rootkit的检测 102__eol__6.6 思考题 103__eol__第7章 智能手机恶意代码 104__eol__7.1 智能手机恶意代码概述 104__eol__7.1.1 智能手机操作系统 104__eol__7.1.2 智能手机恶意代码简述 105__eol__7.1.3 智能手机恶意代码的传播途径 106__eol__7.2 Android恶意代码 107__eol__7.2.1 Android概述 107__eol__7.2.2 Android进程沙箱逃逸技术 107__eol__7.2.3 Android应用程序签名机制绕过技术 107__eol__7.2.4 Android恶意代码实例 108__eol__7.3 iOS恶意代码 110__eol__7.3.1 iOS概述 110__eol__7.3.2 iOS代码签名绕过技术 110__eol__7.3.3 iOS安全启动链劫持技术 111__eol__7.3.4 iOS沙盒逃逸技术 112__eol__7.3.5 iOS后台持久化技术 112__eol__7.3.6 iOS内核地址空间布局随机化突破技术 113__eol__7.3.7 iOS恶意代码实例 113__eol__7.3.8 iOS应用程序插件开发 115__eol__7.4 智能手机恶意代码防范 117__eol__7.4.1 防范策略 117__eol__7.4.2 防范工具 118__eol__7.5 思考题 120__eol__第8章 特征码定位与免杀 121__eol__8.1 恶意代码的特征码 121__eol__8.1.1 特征码的基本概念 121__eol__8.1.2 特征码的类型 122__eol__8.2 特征码定位原理 122__eol__8.2.1 分块填充定位法 122__eol__8.2.2 分块保留定位法 124__eol__8.2.3 特征定位工具应用 127__eol__8.3 恶意代码免杀技术 130__eol__8.3.1 PE文件头免杀方法 130__eol__8.3.2 导入表免杀方法 131__eol__8.3.3 代码段免杀方法 133__eol__8.3.4 数据段免杀方法 137__eol__8.3.5 利用编译器转换的免杀方法 138__eol__8.4 思考题 138__eol__第9章 加密技术与加壳技术 139__eol__9.1 加密技术 139__eol__9.1.1 加密技术概述 139__eol__9.1.2 加密算法简介 139__eol__9.1.3 软件的加密 143__eol__9.1.4 加密策略 146__eol__9.2 加壳技术 147__eol__9.2.1 软件壳概述 147__eol__9.2.2 软件壳的分类 148__eol__9.2.3 加壳原理与实现 151__eol__9.3 虚拟机保护技术 156__eol__9.3.1 虚拟机保护技术概述 156__eol__9.3.2 虚拟机保护技术的实现 157__eol__9.4 思考题 159__eol__第10章 代码混淆技术 160__eol__10.1 代码混淆技术概述 160__eol__10.1.1 代码混淆技术的定义 160__eol__10.1.2 代码混淆技术的功能 160__eol__10.1.3 代码混淆技术的优缺点 161__eol__10.1.4 代码混淆技术的分类 161__eol__10.2 语法层混淆 162__eol__10.2.1 填充和压缩 162__eol__10.2.2 标志符替代 162__eol__10.2.3 编码混淆 163__eol__10.2.4 字符串混淆 163__eol__10.2.5 函数参数混淆 163__eol__10.2.6 语法层混淆的缺陷 164__eol__10.3 控制流混淆 165__eol__10.3.1 控制流压扁法 165__eol__10.3.2 分支引入法 167__eol__10.3.3 利用异常处理隐藏条件分支 169__eol__10.4 数据混淆 17