武汉大学 武汉大学

软件安全之恶意代码机理与防护

所属微专业:

图片
课程概述

本课程将在软件安全基础知识(如磁盘结构与系统启动、PE文件结构、内存机制等)讲解的基础上,解析当前典型恶意软件(如PE病毒、网络木马、后门、Rootkit等)的功能、实现机制,以及对应的防护手段和分析技术。

 

特色:理论与实践并重,解析安全对抗博弈本质。

受众:信息安全专业高年级本科生,对软件安全感兴趣的计算机类专业在校本科生、研究生或爱好者。


证书要求

合格:60≤总成绩<84;优秀:总成绩≥85

章节试看
  • 从一封勒索软件开始

预备知识

1.操作系统基础知识

2.基本的汇编基础

3.基本的脚本语言基础

授课大纲

第1周 软件安全概述

1.1 信息与信息安全

1.2 软件安全威胁及其来源

1.3 典型的软件安全防护手段


2周 计算机引导与磁盘管理

    2.1 系统引导与控制权

2.2 80X86处理器的工作模式

2.3 Windows内存结构与管理

2.4 磁盘的物理与逻辑结构

2.5 FAT32文件系统及数据恢复

2.6 NTFS文件系统

2.7 二进制文件的生成

2.8 操作演示(文件手工恢复、内存地址转换)

2.9 课后思考与练习

 

3周 PE文件格式

3.1 PE文件及其表现形式

3.2 PE文件格式与Win32病毒的关系

3.3 PE文件格式总体结构概述

3.4 节与节表解析

3.5 引入函数节:PE文件的引入函数机制

3.6 引出函数节:DLL文件的函数引出机制

3.7 资源节:文件资源索引、定位与修改

3.8 重定位节:镜像地址改变后的地址自动修正

3.9 PE文件的数字签名与验证机制

3.10 ELF文件格式

3.11 课后思考与练习


4 PE文件格式实践

4.1 手工构建引入函数表

4.2 手工替换程序的已有图标

4.3 手工提取程序图标资源

4.4 手工为程序新增图标

4.5 手工汉化

4.6 PE文件的数字签名与数据植入

4.7 挑战自己:手工打造最小PE文件

 

5周  恶意代码与APT攻击

5.1 恶意代码定义

5.2 恶意代码的发展

5.3 恶意代码分类

5.4 恶意代码与网络犯罪

5.5 恶意代码-APT攻击中的武器【特邀:安天科技集团首席技术架构师肖新光老师主讲】


6周 Windows PE病毒

6.1 PE病毒的基本概念

6.2 PE病毒的分类

6.3  传统文件寄生感染方式

6.4 捆绑释放型

6.5  系统感染型

6.6  典型案例

 

7周 脚本病毒与宏病毒

7.1 宏的基本概念与使用

7.2 宏病毒的传播方法与自我保护

7.3 新型攻击场景下的恶意代码

7.4 VBS脚本的概念及使用

7.5 VBS脚本病毒的感染技术

7.6 VBS脚本病毒的变形技术

7.7 Powershell与无文件型恶意代码


第8周 网络蠕虫

8.1 网络蠕虫的定义

8.2 计算机病毒与蠕虫的异同

8.3 网络蠕虫的结构

    8.4 网络蠕虫攻击的关键技术

8.5 网络蠕虫的检测与防治

8.6 经典蠕虫案例技术分析(Slammer与Wannacry)

 

第9周 网络木马

9.1木马的基本概念

9.2 木马的分类

9.3 木马的植入方式

9.4 远程控制型木马的通信方式

9.5 远程控制型木马的典型功能及意图

9.6 远控木马的检测思路

9.7 APT攻击与远控木马【特邀:安天科技集团副总工程师李柏松老师主讲】


10周 恶意代码检测与溯源

10.1 恶意代码检测对象与策略

10.2 特征值检测技术

10.3 校验和检测技术

10.4 虚拟机检测技术

10.5 启发式扫描技术

10.6 主动防御技术

10.7 机器学习与恶意代码检测

10.8  安全软件评测



11周 恶意软件样本捕获与分析【梁玉博士主讲】

11.1恶意软件样本捕获

11.2恶意软件形态

11.3恶意软件样本分析方法

11.4典型恶意软件样本分析工具

11.5恶意代码样本分析案例

11.6恶意代码威胁情报

11.7课后样本分析与实践

参考资料

1.彭国军、傅建明、梁玉,《软件安全》,武汉大学出版社,2015年9月。


常见问题