本书首先介绍恶意代码的原理和实现技术，并详细介绍了引导型恶意代码、计算机病毒、特洛伊木马、蠕虫、Rootkit、智能手机恶意代码等，然后结合实例进行深入分析，接着从恶意代码生存对抗入手，详细介绍了特征码定位与免杀、加密与加壳、代码混淆、反动态分析等反检测技术，从实际应用的角度分析了它们的优势与不足，*后介绍了恶意代码防范技术，包括恶意代码检测技术、恶意代码清除、恶意代码预防和数据备份与数据恢复等。本书结构合理、概念清晰、内容翔实，结合了丰富的实例和代码剖析技术的本质。书中每章末都附有思考题，以方便讲授和开展自学。本书可作为高等学校网络空间**、信息**等专业相关课程的教材，也可作为计算机科学与技术、网络工程等专业相关课程的教学参考书，还可作为信息技术人员、网络**技术人员的参考用书。

第1章 恶意代码概述1 1.1 恶意代码的概念1 1.1.1 恶意代码的定义1 1.1.2 恶意代码的类型2 1.1.3 恶意代码攻击模型4 1.2 恶意代码的发展历程5 1.2.1 产生阶段5 1.2.2 初级发展阶段6 1.2.3 互联网爆发阶段6 1.2.4 专业综合阶段7 1.3 恶意代码的命名8 1.3.1 个性化命名方法8 1.3.2 三元组命名方法9 1.4 恶意代码的传播途径10 1.5 恶意代码的发展趋势10 1.6 思考题10 第2章 引导型恶意代码11 2.1 Windows引导过程11 2.1.1 固件BIOS引导过程11 2.1.2 UEFI的引导过程14 2.1.3 Windows操作系统引导过程17 2.2 引导型病毒19 2.2.1 引导型病毒的原理20 2.2.2 引导型病毒的实现20 2.3 引导型Bootkit22 2.3.1 基于MBR的Bootkit22 2.3.2 基于UEFI的Bootkit24 2.4 思考题26 第3章 计算机病毒27 3.1 计算机病毒概述27 3.1.1 计算机病毒的基本概念27 3.1.2 计算机病毒的原理28 3.2 Win32病毒32 3.2.1 PE文件的格式32 3.2.2 Win32病毒关键技术37 3.3 宏病毒41 3.3.1 宏病毒概述41 3.3.2 宏病毒的原理42 3.3.3 宏病毒的防范45 3.4 脚本病毒46 3.4.1 Windows脚本46 3.4.2 PowerShell病毒原理47 3.4.3 脚本病毒的防范49 3.5 思考题49 第4章 特洛伊木马51 4.1 木马概述51 4.1.1 木马的基本概念51 4.1.2 木马的组成与通信架构55 4.1.3 木马的工作流程57 4.1.4 木马的植入方法58 4.2 木马的启动技术60 4.2.1 利用系统配置启动60 4.2.2 利用注册表启动61 4.2.3 利用劫持技术启动62 4.2.4 利用计划任务启动65 4.2.5 其他方式66 4.3 木马的隐藏技术66 4.3.1 文件隐藏66 4.3.2 进程隐藏69 4.3.3 通信隐藏70 4.4 思考题73 第5章 蠕虫74 5.1 蠕虫概述74 5.1.1 蠕虫的定义74 5.1.2 蠕虫的分类75 5.1.3 蠕虫的行为特征76 5.2 蠕虫的工作原理77 5.2.1 蠕虫的组成与结构77 5.2.2 蠕虫的工作流程78 5.3 典型蠕虫分析79 5.3.1 “震网”蠕虫简介79 5.3.2 “震网”蠕虫的工作原理79 5.4 蠕虫的防范82 5.5 思考题83 第6章 Rootkit84 6.1 Rootkit概述84 6.1.1 Rootkit的定义84 6.1.2 Rootkit的特性84 6.1.3 Rootkit的分类85 6.2 Rootkit技术基础85 6.2.1 Windows系统的分层结构85 6.2.2 用户层到内核层的转换87 6.3 应用层Rootkit88 6.3.1 应用层Hooking技术88 6.3.2 注入技术90 6.3.3 应用层Hooking实例92 6.4 内核层Rootkit93 6.4.1 内核层Hooking94 6.4.2 DKOM技术95 6.4.3 内核层Hooking实例97 6.5 Rootkit的防范与检测101 6.5.1 Rootkit的防范101 6.5.2 Rootkit的检测102 6.6 思考题103 第7章 智能手机恶意代码104 7.1 智能手机恶意代码概述104 7.1.1 智能手机操作系统104 7.1.2 智能手机恶意代码简述105 7.1.3 智能手机恶意代码的传播途径106 7.2 Android恶意代码107 7.2.1 Android概述107 7.2.2 Android进程沙箱逃逸技术107 7.2.3 Android应用程序签名机制绕过技术107 7.2.4 Android恶意代码实例108 7.3 iOS恶意代码110 7.3.1 iOS概述110 7.3.2 iOS代码签名绕过技术110 7.3.3 iOS**启动链劫持技术111 7.3.4 iOS沙盒逃逸技术112 7.3.5 iOS后台持久化技术112 7.3.6 iOS内核地址空间布局随机化突破技术113 7.3.7 iOS恶意代码实例113 7.3.8 iOS应用程序插件开发115 7.4 智能手机恶意代码防范117 7.4.1 防范策略117 7.4.2 防范工具118 7.5 思考题120 第8章 特征码定位与免杀121 8.1 恶意代码的特征码121 8.1.1 特征码的基本概念121 8.1.2 特征码的类型122 8.2 特征码定位原理122 8.2.1 分块填充定位法122 8.2.2 分块保留定位法124 8.2.3 特征定位工具应用127 8.3 恶意代码免杀技术130 8.3.1 PE文件头免杀方法130 8.3.2 导入表免杀方法131 8.3.3 代码段免杀方法133 8.3.4 数据段免杀方法137 8.3.5 利用编译器转换的免杀方法138 8.4 思考题138 第9章 加密技术与加壳技术139 9.1 加密技术139 9.1.1 加密技术概述139 9.1.2 加密算法简介139 9.1.3 软件的加密143 9.1.4 加密策略146 9.2 加壳技术147 9.2.1 软件壳概述147 9.2.2 软件壳的分类148 9.2.3 加壳原理与实现151 9.3 虚拟机保护技术156 9.3.1 虚拟机保护技术概述156 9.3.2 虚拟机保护技术的实现157 9.4 思考题159 第10章 代码混淆技术160 10.1 代码混淆技术概述160 10.1.1 代码混淆技术的定义160 10.1.2 代码混淆技术的功能160 10.1.3 代码混淆技术的优缺点161 10.1.4 代码混淆技术的分类161 10.2 语法层混淆162 10.2.1 填充和压缩162 10.2.2 标志符替代162 10.2.3 编码混淆163 10.2.4 字符串混淆163 10.2.5 函数参数混淆163 10.2.6 语法层混淆的缺陷164 10.3 控制流混淆165 10.3.1 控制流压扁法165 10.3.2 分支引入法167 10.3.3 利用异常处理隐藏条件分支169 10.4 数据混淆171 10.4.1 整型混淆171 10.4.2 布尔混淆172 10.4.3 常量混淆173 10.4.4 数组混淆173 10.4.5 结构混淆174 10.5 思考题175 第11章 反动态分析技术176 11.1 反动态分析技术概述176 11.1.1 反动态分析技术的分类176 11.1.2 反动态分析技术的依赖性177 11.2 反调试技术177 11.2.1 探测调试器177 11.2.2 识别调试器行为184 11.2.3 干扰调试器189 11.3 虚拟机检测技术193 11.3.1 检测虚拟机痕迹194 11.3.2 从内存中检测虚拟机195 11.3.3 检测通信I/O端口198 11.4 思考题199 第12章 恶意代码防范技术200 12.1 恶意代码防范技术概述200 12.1.1 恶意代码防范技术的发展200 12.1.2 恶意代码的防范思路200 12.2 恶意代码检测技术201 12.2.1 恶意代码检测技术概述201 12.2.2 特征码检测技术205 12.2.3 动态检测技术210 12.2.4 其他检测技术212 12.3 恶意代码清除214 12.3.1 清除恶意代码的一般原则214 12.3.2 清除恶意代码的原理215 12.3.3 清除恶意代码的方法216 12.4 恶意代码预防217 12.4.1 恶意代码查杀软件217 12.4.2 系统监控技术219 12.4.3 系统免疫技术219 12.4.4 系统加固技术221 12.5 数据备份与数据恢复221 12.5.1 数据备份222 12.5.2 数据恢复223 12.6 思考题225 参考文献226