课程简介
本课程将在软件安全基础知识(如磁盘结构与系统启动、内存管理机制、PE文件结构等)讲解的基础上,解析当前典型恶意软件(如PE病毒、宏病毒、脚本病毒、网络蠕虫、网络木马等)的功能、实现机制,以及对应的防护手段和分析技术。
特色:理论与实践并重,解析安全对抗博弈本质。
受众:信息安全专业高年级本科生,对软件安全感兴趣的计算机类专业在校本科生、研究生或爱好者。
课程大纲
软件安全概述
1.1信息与信息安全
1.2软件安全威胁及其来源
1.3典型的软件安全防护手段
计算机引导与磁盘管理
2.1系统引导与控制权
2.280X86处理器的工作模式
2.3Windows内存结构与管理
2.4磁盘的物理与逻辑结构
2.5FAT32文件系统及数据恢复
2.6NTFS文件系统
2.7二进制文件的生成
2.8操作演示(文件手工恢复、内存地址转换)
2.9课后思考与练习
PE文件格式
3.1PE文件及其表现形式
3.2PE文件格式与Win32病毒的关系
3.3PE文件格式总体结构概述
3.4节与节表解析
3.5引入函数节:PE文件的引入函数机制
3.6引出函数节:DLL文件的函数引出机制
3.7资源节:文件资源索引、定位与修改
3.8重定位节:镜像地址改变后的地址自动修正
3.9PE文件的数字签名与验证机制
3.10ELF文件格式
3.11课后思考与练习
PE文件格式实践
4.1手工构建引入函数表
4.2手工替换程序的已有图标
4.3手工提取程序图标资源
4.4手工为程序新增图标
4.5手工汉化
4.6PE文件的数字签名与数据植入
4.7挑战自己:手工打造最小PE文件
恶意代码与网络犯罪
5.1恶意代码定义
5.2恶意代码的发展
5.3恶意代码分类
5.4恶意代码与网络犯罪
WindowsPE病毒
6.1PE病毒的基本概念
6.2PE病毒的分类
6.3传统文件寄生感染方式
6.4捆绑释放型
6.5系统感染型
6.6典型案例
宏病毒与脚本病毒
7.1宏的基本概念与使用
7.2宏病毒的传播方法与自我保护
7.3宏病毒的自我保护、分析与典型案例
7.4VBS脚本的概念及使用
7.5VBS脚本病毒的感染技术
7.6VBS脚本病毒的变形技术
7.7Powershell与无文件型恶意代码
网络蠕虫
8.1网络蠕虫的定义
8.2计算机病毒与蠕虫的异同
8.3网络蠕虫的结构
8.4网络蠕虫攻击的关键技术
8.5网络蠕虫的检测与防治
8.6经典蠕虫案例技术分析(Slammer与Wannacry)
网络木马
9.1木马的基本概念
9.2木马的分类
9.3木马的植入方式
9.4远程控制型木马的通信方式
9.5远程控制型木马的典型功能及意图
9.6远控木马的检测思路
9.7APT攻击与远控木马【特邀:安天科技集团副总工程师李柏松老师主讲
恶意代码检测与溯源
10.1恶意代码检测对象与策略
10.2特征值检测技术
10.3校验和检测技术
10.4虚拟机检测技术
10.5启发式扫描技术
10.6主动防御技术
10.7机器学习与恶意代码检测
10.8安全软件评测
恶意软件样本捕获与分析【梁玉博士主讲】
11.1恶意软件样本捕获
11.2恶意软件形态
11.3恶意软件样本分析方法
11.4典型恶意软件样本分析工具
11.5恶意代码样本分析案例
11.6恶意代码之威胁情报
11.7课后样本分析与实践
恶意代码--APT攻击中的武器【特邀:安天科技集团首席技术架构师肖新光老师主讲】
12.1从恶意代码的发展看APT攻击
12.2高级恶意代码工程体系--A2PT的攻击武器
12.3高级APT组织的自研恶意代码
12.4商用恶意代码
12.5无恶意代码作业、开源和免费工具
12.6总结与思考
1.1信息与信息安全
1.2软件安全威胁及其来源
1.3典型的软件安全防护手段
计算机引导与磁盘管理
2.1系统引导与控制权
2.280X86处理器的工作模式
2.3Windows内存结构与管理
2.4磁盘的物理与逻辑结构
2.5FAT32文件系统及数据恢复
2.6NTFS文件系统
2.7二进制文件的生成
2.8操作演示(文件手工恢复、内存地址转换)
2.9课后思考与练习
PE文件格式
3.1PE文件及其表现形式
3.2PE文件格式与Win32病毒的关系
3.3PE文件格式总体结构概述
3.4节与节表解析
3.5引入函数节:PE文件的引入函数机制
3.6引出函数节:DLL文件的函数引出机制
3.7资源节:文件资源索引、定位与修改
3.8重定位节:镜像地址改变后的地址自动修正
3.9PE文件的数字签名与验证机制
3.10ELF文件格式
3.11课后思考与练习
PE文件格式实践
4.1手工构建引入函数表
4.2手工替换程序的已有图标
4.3手工提取程序图标资源
4.4手工为程序新增图标
4.5手工汉化
4.6PE文件的数字签名与数据植入
4.7挑战自己:手工打造最小PE文件
恶意代码与网络犯罪
5.1恶意代码定义
5.2恶意代码的发展
5.3恶意代码分类
5.4恶意代码与网络犯罪
WindowsPE病毒
6.1PE病毒的基本概念
6.2PE病毒的分类
6.3传统文件寄生感染方式
6.4捆绑释放型
6.5系统感染型
6.6典型案例
宏病毒与脚本病毒
7.1宏的基本概念与使用
7.2宏病毒的传播方法与自我保护
7.3宏病毒的自我保护、分析与典型案例
7.4VBS脚本的概念及使用
7.5VBS脚本病毒的感染技术
7.6VBS脚本病毒的变形技术
7.7Powershell与无文件型恶意代码
网络蠕虫
8.1网络蠕虫的定义
8.2计算机病毒与蠕虫的异同
8.3网络蠕虫的结构
8.4网络蠕虫攻击的关键技术
8.5网络蠕虫的检测与防治
8.6经典蠕虫案例技术分析(Slammer与Wannacry)
网络木马
9.1木马的基本概念
9.2木马的分类
9.3木马的植入方式
9.4远程控制型木马的通信方式
9.5远程控制型木马的典型功能及意图
9.6远控木马的检测思路
9.7APT攻击与远控木马【特邀:安天科技集团副总工程师李柏松老师主讲
恶意代码检测与溯源
10.1恶意代码检测对象与策略
10.2特征值检测技术
10.3校验和检测技术
10.4虚拟机检测技术
10.5启发式扫描技术
10.6主动防御技术
10.7机器学习与恶意代码检测
10.8安全软件评测
恶意软件样本捕获与分析【梁玉博士主讲】
11.1恶意软件样本捕获
11.2恶意软件形态
11.3恶意软件样本分析方法
11.4典型恶意软件样本分析工具
11.5恶意代码样本分析案例
11.6恶意代码之威胁情报
11.7课后样本分析与实践
恶意代码--APT攻击中的武器【特邀:安天科技集团首席技术架构师肖新光老师主讲】
12.1从恶意代码的发展看APT攻击
12.2高级恶意代码工程体系--A2PT的攻击武器
12.3高级APT组织的自研恶意代码
12.4商用恶意代码
12.5无恶意代码作业、开源和免费工具
12.6总结与思考