武汉大学 武汉大学

软件安全之恶意代码机理与防护

所属微专业:

图片
课程概述

本系列课程分为两门子课程,本课程为第一门子课程。

本课程将在软件安全基础知识(如磁盘结构与系统启动、PE文件结构、内存机制等)讲解的基础上,重点解析当前典型恶意软件(如PE病毒、网络木马、后门、Rootkit等)的功能、实现机制,以及对应的防护手段和技术。


为了促进同学们进一步体验软件安全领域的真实威胁,掌握课堂上学习的理论知识,增强基本的软件安全实践动手能力,在本MOOC课程开设期间,合天网安实验室将同步推出本课程配套的在线实验课程(MOOE),期待大家共同来体验。

 

特色:理论与实践并重,解析安全对抗博弈本质。

受众:信息安全专业高年级本科生,对软件安全感兴趣的计算机类专业在校本科生互或爱好者。


证书要求

本课程最终将根据课程总成绩颁发证书,60≤总成绩<84,颁发合格证书;总成绩≥85,颁发优秀证书。

预备知识

《操作系统及安全》、《汇编语言程序设计》

授课大纲

第1 软件安全概述

1.1 信息与信息安全

1.2 软件安全威胁及其来源

1.3 典型的软件安全防护手段


2 计算机引导与磁盘管理

    2.1 系统引导与控制权

2.2 80X86处理器的工作模式

2.3 Windows内存结构与管理

2.4 磁盘的物理与逻辑结构

2.5 FAT32文件系统及数据恢复

2.6 NTFS文件系统

 

3 PE文件格式

3.1 PE文件及其表现形式

3.2 PE文件格式与Win32病毒的关系

3.3 PE文件格式总体结构概述

3.4 节与节表解析

3.5.引入函数节:PE文件的引入函数机制

3.6 引出函数节:DLL文件的函数引出机制

3.7 资源节:文件资源索引、定位与修改

3.8 重定位节:镜像地址改变后的地址自动修正


4 PE文件格式实践

4.1手工构建引入函数表

4.2手工替换程序的已有图标

4.3手工为程序新增图标

4.4手工汉化

4.5挑战自己:手工打造最小PE文件

 

5  恶意代码及其分类

5.1 恶意代码定义

5.2 恶意代码的发展

5.3 恶意代码分类


6 Windows PE病毒

6.1 PE病毒的基本概念

6.2 PE病毒的分类

6.3 API函数地址获取

6.4 重定位

6.5 PE病毒的感染机理

6.6 PE病毒的清除

 

7 脚本病毒及宏病毒

7.1 VBS脚本的概念及使用

7.2 VBS脚本病毒的感染技术

7.3 VBS脚本病毒的变形技术

7.4 宏的基本概念与使用

7.5 宏病毒的传播方法

7.6 宏病毒实例分析

 

8周 网络蠕虫

8.1 网络蠕虫的定义

8.2 计算机病毒与蠕虫的异同

8.3 网络蠕虫的结构

    8.4 网络蠕虫攻击的关键技术

8.5 网络蠕虫的检测与防治

8.6 经典蠕虫案例解析

 

9周 木马与后门

9.1木马与后门的基本概念与异同

9.2 木马的通信方式与优劣分析

9.3 木马的主要功能及意图

9.4 木马实例

9.5 木马与后门的异同

9.6 木马检测思路探讨


10周 恶意代码检测技术

10.1 特征值检测技术

10.2 校验和检测技术

10.3 虚拟机检测技术

10.4 启发式扫描技术

10.5 主动防御技术

10.6 云查杀技术

10.7 安全软件测评方法与机构


11周 恶意软件样本捕获与分析

11.1恶意软件样本捕获方法

11.2恶意软件载体

11.3恶意软件样本分析

11.4典型恶意软件样本分析工具


以上为拟定教学计划,在课程录制过程中可能根据需要进行调整

参考资料

1.彭国军、傅建明、梁玉,《软件安全》,武汉大学出版社,2015年9月。

2.傅建明、彭国军、张焕国,《计算机病毒分析与对抗(第二版)》,武汉大学出版社,2009年。


常见问题