恶意软件分析与检测【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

恶意软件分析与检测PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 二进制可执行文件简介1

1.1 Windows PE文件1

1.1.1 PE文件结构1

1.1.2 PE文件头结构3

1.1.3 PE导入表6

1.1.4 PE资源表7

1.1.5 PE地址变换10

1.1.6 PE重定位机制10

1.1.7 PE文件变形机制12

1.2 Linux ELF文件14

1.2.1 ELF结构14

1.2.2 ELF头结构15

1.2.3 ELF节区16

1.2.4 ELF字符串表17

1.2.5 ELF符号表18

1.2.6 ELF重定位机制19

1.2.7 ELF动态链接机制20

1.3 Android DEX文件21

1.3.1 Android系统结构22

1.3.2 Android DEX结构25

1.3.3 Android ODEX结构27

1.3.4 Android权限机制27

参考文献29

第2章 恶意软件检测基础30

2.1 恶意软件抽象理论30

2.2 机器学习基础34

2.2.1 机器学习简介34

2.2.2 分类算法36

2.2.3 集成学习38

2.2.4 特征选择与特征提取43

2.2.5 性能评价44

2.2.6 WEKA简介46

2.3 本章小结47

参考文献48

第3章 加壳技术研究50

3.1 引言50

3.2 加壳原理51

3.2.1 ELF文件的加载过程51

3.2.2 加壳的方式53

3.2.3 用户空间下加载器的设计56

3.3 反跟踪技术58

3.3.1 反调试技术58

3.3.2 代码混淆技术61

3.3.3 抗反汇编技术63

3.4 本章小结65

参考文献66

第4章 加壳检测研究67

4.1 引言67

4.2 加壳检测常用方法68

4.2.1 研究现状68

4.2.2 常用方法归纳69

4.3 基于机器学习的加壳检测框架78

4.4 PE文件加壳检测81

4.4.1 PE文件特征提取81

4.4.2 PE加壳检测实验及分析83

4.5 ELF文件加壳检测84

4.5.1 ELF文件特征提取84

4.5.2 ELF加壳检测实验及分析85

4.6 本章小结85

参考文献86

第5章 基于函数调用图签名的恶意软件检测方法87

5.1 引言87

5.2 相关工作88

5.3 定义91

5.4 图同构算法93

5.4.1 基于矩阵变换的图同构算法93

5.4.2 Ullmann图同构算法94

5.4.3 VF2图同构算法95

5.4.4 FCGiso图同构算法96

5.5 检测方法框架97

5.5.1 检测方法概览97

5.5.2 检测方法详细描述98

5.6 实验100

5.6.1 已知恶意软件检测101

5.6.2 加壳变种检测104

5.6.3 恶意软件变种检测105

5.6.4 恶意软件大样本归类106

5.6.5 与图编辑距离方法的对比107

5.7 实验结果与分析109

5.8 本章小结111

参考文献111

第6章 基于挖掘格式信息的恶意软件检测方法114

6.1 引言114

6.2 相关工作116

6.3 检测架构118

6.4 实验119

6.4.1 实验样本119

6.4.2 特征提取119

6.4.3 特征选择120

6.4.4 分类学习121

6.5 实验结果与分析121

6.5.1 实验1结果121

6.5.2 实验2结果121

6.5.3 结果分析122

6.5.4 特征分析123

6.6 基于ELF格式结构信息的恶意软件检测方法126

6.6.1 实验样本127

6.6.2 提取特征127

6.6.3 特征选择128

6.6.4 实验结果129

6.7 与现有静态方法对比130

6.8 本章小结131

参考文献132

第7章 基于控制流结构体的恶意软件检测方法133

7.1 引言133

7.2 相关工作134

7.3 操作码序列构造原理135

7.3.1 操作码信息描述136

7.3.2 操作码序列划分137

7.4 特征选择140

7.5 恶意软件检测模型143

7.6 实验结果与分析145

7.6.1 实验环境介绍145

7.6.2 特征数量比较146

7.6.3 恶意软件检测性能比较147

7.7 本章小结150

参考文献151

第8章 基于控制流图特征的恶意软件检测方法152

8.1 引言152

8.2 相关工作152

8.3 软件控制流图153

8.3.1 基于单条指令的控制流图154

8.3.2 基于指令序列的控制流图155

8.3.3 基于函数的控制流图155

8.3.4 基于系统调用的控制流图156

8.4 基于函数调用图的软件特征157

8.4.1 函数调用图构造157

8.4.2 特征选择158

8.4.3 特征分析162

8.5 语义特征和语法特征的比较163

8.6 实验结果与分析164

8.6.1 函数调用图中软件特征评价165

8.6.2 分类器交叉验证166

8.6.3 独立验证167

8.7 本章小结169

参考文献170

第9章 软件局部恶意代码识别研究172

9.1 引言172

9.2 相关工作173

9.3 恶意代码感染技术175

9.3.1 修改程序控制流175

9.3.2 恶意注入代码存储位置177

9.4 恶意代码段识别178

9.4.1 控制流结构异常表现179

9.4.2 控制流基本结构BasicBlock识别179

9.4.3 BasicBlock之间的联系182

9.4.4 控制流基本结构合并184

9.4.5 恶意代码边界识别185

9.5 实验结果与分析186

9.5.1 添加代码型感染方式的检测187

9.5.2 覆盖代码型感染方式的检测187

9.6 本章小结189

参考文献190

第10章 基于多视集成学习的恶意软件检测方法191

10.1 引言191

10.2 相关工作192

10.3 实验概览195

10.4 实验与结果195

10.4.1 实验样本195

10.4.2 单视特征提取196

10.4.3 集成方案一203

10.4.4 集成方案二205

10.4.5 泛化性能对比207

10.5 实验结果对比分析209

10.6 本章小结211

参考文献212

第11章 基于动态变长Native API序列的恶意软件检测方法214

11.1 引言214

11.2 相关工作215

11.3 Win32 API调用机制219

11.4 检测方法架构220

11.5 实验221

11.5.1 实验样本221

11.5.2 分析平台搭建221

11.5.3 特征提取和选择225

11.5.4 分类226

11.6 实验结果与分析226

11.6.1 实验结果分析226

11.6.2 特征分析229

11.7 本章小结232

参考文献233

第12章 基于多特征的移动设备恶意代码检测方法235

12.1 引言235

12.2 相关工作236

12.3 检测模型设计237

12.3.1 检测模型整体框架237

12.3.2 恶意代码特征提取238

12.4 实验与分析240

12.4.1 实验样本准备240

12.4.2 实验主要算法240

12.4.3 实验结果分析242

12.4.4 实验结论243

12.5 本章小结244

参考文献244

第13章 基于实际使用的权限组合与系统API的恶意软件检测方法246

13.1 引言246

13.2 相关工作247

13.3 检测架构248

13.3.1 权限组合特征提取249

13.3.2 系统API特征提取252

13.4 实验与分析253

13.4.1 实验样本253

13.4.2 实验环境254

13.4.3 实验结果与分析254

13.4.4 检测方法对比257

13.5 本章小结260

参考文献260

第14章 基于敏感权限及其函数调用图的恶意软件检测方法262

14.1 引言262

14.2 相关工作263

14.3 检测架构264

14.3.1 提取敏感权限265

14.3.2 构建函数调用图266

14.3.3 图编辑距离算法269

14.4 实验与分析271

14.4.1 实验样本271

14.4.2 实验环境271

14.4.3 实验结果与分析272

14.4.4 检测方法对比274

14.5 本章小结275

参考文献276

第15章 基于频繁子图挖掘的异常入侵检测新方法277

15.1 引言277

15.2 相关工作279

15.3 基本思想及检测模型281

15.4 特征模式构造算法282

15.4.1 相关概念与定义282

15.4.2 数据预处理283

15.4.3 子图特征值设定285

15.4.4 子图扩展与剪枝285

15.4.5 PatternsMining算法实现286

15.5 实验数据描述290

15.6 实验结果与分析290

15.7 本章小结293

参考文献294