本书系统介绍了恶意软件分析的理论与研究现状，重点介绍了新型恶意软件检测方法中的各类模型和关键技术，内容涵盖恶意软件分析与检测所需的基础知识、软件加壳及检测技术、基于机器学习的恶意软件静态检测方法以及恶意软件动态检测方法等内容。本书对恶意软件检测方法的构造原理、实施过程、实验环境和检测性能等多方面进行了全面的分析，以便读者能够更加深刻地理解这些方法的实现原理与应用特点。本书部分反映了当前恶意软件分析领域的最新研究成果，并提供了详尽的参考文献。
本书结构清晰，内容丰富，论述详细，可作为信息安全或计算机相关专业研究生和高年级本科生相关课程的教材，也可供恶意软件分析领域的研发和管理人员参考。

《信息科学技术学术著作丛书》序
前言
第1章 二进制可执行文件简介
1.1 Windows PE文件
1.1.1 PE文件结构
1.1.2 PE文件头结构
1.1.3 PE导入表
1.1.4 PE资源表
1.1.5 PE地址变换
1.1.6 PE重定位机制
1.1.7 PE文件变形机制
1.2 Linux ELF文件
1.2.1 ELF结构
1.2.2 ELF头结构
1.2.3 ELF节区
1.2.4 ELF字符串表
1.2.5 ELF符号表
1.2.6 ELF重定位机制
1.2.7 ELF动态链接机制
1.3 Android DEX文件
1.3.1 Android系统结构
1.3.2 Android DEX结构
1.3.3 Android ODEX结构
1.3.4 Android权限机制
参考文献
第2章 恶意软件检测基础
2.1 恶意软件抽象理论
2.2 机器学习基础
2.2.1 机器学习简介
2.2.2 分类算法
2.2.3 集成学习
2.2.4 特征选择与特征提取
2.2.5 性能评价
2.2.6 WEKA简介
2.3 本章小结
参考文献
第3章 加壳技术研究
3.1 引言
3.2 加壳原理
3.2.1 ELF文件的加载过程
3.2.2 加壳的方式
3.2.3 用户空间下加载器的设计
3.3 反跟踪技术
3.3.1 反调试技术
3.3.2 代码混淆技术
3.3.3 抗反汇编技术
3.4 本章小结
参考文献
第4章 加壳检测研究
4.1 引言
4.2 加壳检测常用方法
4.2.1 研究现状
4.2.2 常用方法归纳
4.3 基于机器学习的加壳检测框架
4.4 PE文件加壳检测
4.4.1 PE文件特征提取
4.4.2 PE加壳检测实验及分析
4.5 ELF文件加壳检测
4.5.1 ELF文件特征提取
4.5.2 ELF加壳检测实验及分析
4.6 本章小结
参考文献
第5章 基于函数调用图签名的恶意软件检测方法
5.1 引言
5.2 相关工作
5.3 定义
5.4 图同构算法
5.4.1 基于矩阵变换的图同构算法
5.4.2 Ullmann图同构算法
5.4.3 VF2图同构算法
5.4.4 FCGiso图同构算法
5.5 检测方法框架
5.5.1 检测方法概览
5.5.2 检测方法详细描述
5.6 实验
5.6.1 已知恶意软件检测
5.6.2 加壳变种检测
5.6.3 恶意软件变种检测
5.6.4 恶意软件大样本归类
5.6.5 与图编辑距离方法的对比
5.7 实验结果与分析
5.8 本章小结
参考文献
第6章 基于挖掘格式信息的恶意软件检测方法
6.1 引言
6.2 相关工作
6.3 检测架构
6.4 实验
6.4.1 实验样本
6.4.2 特征提取
6.4.3 特征选择
6.4.4 分类学习
6.5 实验结果与分析
6.5.1 实验1结果
6.5.2 实验2结果
6.5.3 结果分析
6.5.4 特征分析
6.6 基于ELF格式结构信息的恶意软件检测方法
6.6.1 实验样本
6.6.2 提取特征
6.6.3 特征选择
6.6.4 实验结果
6.7 与现有静态方法对比
6.8 本章小结
参考文献
第7章 基于控制流结构体的恶意软件检测方法
7.1 引言
7.2 相关工作
7.3 操作码序列构造原理
7.3.1 操作码信息描述
7.3.2 操作码序列划分
7.4 特征选 择
7.5 恶意软件检测模型
7.6 实验结果与分析
7.6.1 实验环境介绍
7.6.2 特征数量比较
7.6.3 恶意软件检测性能比较
7.7 本章小结
参考文献
第8章 基于控制流图特征的恶意软件检测方法
8.1 引言
8.2 相关工作
8.3 软件控制流图
8.3.1 基于单条指令的控制流图
8.3.2 基于指令序列的控制流图
8.3.3 基于函数的控制流图
8.3.4 基于系统调用的控制流图
8.4 基于函数调用图的软件特征
8.4.1 函数调用图构造
8.4.2 特征选择
8.4.3 特征分析
8.5 语义特征和语法特征的比较
8.6 实验结果与分析
8.6.1 函数调用图中软件特征评价
8.6.2 分类器交叉验证
8.6.3 独立验证
8.7 本章小结
参考文献
第9章 软件局部恶意代码识别研究
9.1 引言
9.2 相关工作
9.3 恶意代码感染技术
9.3.1 修改程序控制流
9.3.2 恶意注入代码存储位置
9.4 恶意代码段识别
9.4.1 控制流结构异常表现
9.4.2 控制流基本结构BasicBlock识别
9.4.3 BasicBlock之间的联系
9.4.4 控制流基本结构合并
9.4.5 恶意代码边界识别
9.5 实验结果与分析
9.5.1 添加代码型感染方式的检测
9.5.2 覆盖代码型感染方式的检测
9.6 本章小结
参考文献
第10章 基于多视集成学习的恶意软件检测方法
10.1 引言
10.2 相关工作
10.3 实验概览
10.4 实验与结果
10.4.1 实验样本
10.4.2 单视特征提取
10.4.3 集成方案一
10.4.4 集成方案二
10.4.5 泛化性能对比
10.5 实验结果对比分析
10.6 本章小