本书首先介绍恶意代码的原理和实现技术，并详细介绍了引导型恶意代码、计算机病毒、特洛伊木马、蠕虫、Rootkit、智能手机恶意代码等，然后结合实例进行深入分析，接着从恶意代码生存对抗入手，详细介绍了特征码定位与免杀、加密与加壳、代码混淆、反动态分析等反检测技术，从实际应用的角度分析了它们的优势与不足，最后介绍了恶意代码防范技术，包括恶意代码检测技术、恶意代码清除、恶意代码预防和数据备份与数据恢复等。
本书结构合理、概念清晰、内容翔实，结合了丰富的实例和代码剖析技术的本质。书中每章末都附有思考题，以方便讲授和开展自学。
本书可作为高等学校网络空间安全、信息安全等专业相关课程的教材，也可作为计算机科学与技术、网络工程等专业相关课程的教学参考书，还可作为信息技术人员、网络安全技术人员的参考用书。

第1章 恶意代码概述
1.1 恶意代码的概念
1.1.1 恶意代码的定义
1.1.2 恶意代码的类型
1.1.3 恶意代码攻击模型
1.2 恶意代码的发展历程
1.2.1 产生阶段
1.2.2 初级发展阶段
1.2.3 互联网爆发阶段
1.2.4 专业综合阶段
1.3 恶意代码的命名
1.3.1 个性化命名方法
1.3.2 三元组命名方法
1.4 恶意代码的传播途径
1.5 恶意代码的发展趋势
1.6 思考题
第2章 引导型恶意代码
2.1 Windows引导过程
2.1.1 固件BIOS引导过程
2.1.2 UEFI的引导过程
2.1.3 Windows操作系统引导过程
2.2 引导型病毒
2.2.1 引导型病毒的原理
2.2.2 引导型病毒的实现
2.3 引导型Bootkit
2.3.1 基于MBR的Bootkit
2.3.2 基于UEFI的Bootkit
2.4 思考题
第3章 计算机病毒
3.1 计算机病毒概述
3.1.1 计算机病毒的基本概念
3.1.2 计算机病毒的原理
3.2 Win32病毒
3.2.1 PE文件的格式
3.2.2 Win32病毒关键技术
3.3 宏病毒
3.3.1 宏病毒概述
3.3.2 宏病毒的原理
3.3.3 宏病毒的防范
3.4 脚本病毒
3.4.1 Windows脚本
3.4.2 PowerShell病毒原理
3.4.3 脚本病毒的防范
3.5 思考题
第4章 特洛伊木马
4.1 木马概述
4.1.1 木马的基本概念
4.1.2 木马的组成与通信架构
4.1.3 木马的工作流程
4.1.4 木马的植入方法
4.2 木马的启动技术
4.2.1 利用系统配置启动
4.2.2 利用注册表启动
4.2.3 利用劫持技术启动
4.2.4 利用计划任务启动
4.2.5 其他方式
4.3 木马的隐藏技术
4.3.1 文件隐藏
4.3.2 进程隐藏
4.3.3 通信隐藏
4.4 思考题
第5章 蠕虫
5.1 蠕虫概述
5.1.1 蠕虫的定义
5.1.2 蠕虫的分类
5.1.3 蠕虫的行为特征
5.2 蠕虫的工作原理
5.2.1 蠕虫的组成与结构
5.2.2 蠕虫的工作流程
5.3 典型蠕虫分析
5.3.1 “震网”蠕虫简介
5.3.2 “震网”蠕虫的工作原理
5.4 蠕虫的防范
5.5 思考题
第6章 Rootkit
6.1 Rootkit概述
6.1.1 Rootkit的定义
6.1.2 Rootkit的特性
6.1.3 Rootkit的分类
6.2 Rootkit技术基础
6.2.1 Windows系统的分层结构
6.2.2 用户层到内核层的转换
6.3 应用层Rootkit
6.3.1 应用层Hooking技术
6.3.2 注入技术
6.3.3 应用层Hooking实例
6.4 内核层Rootkit
6.4.1 内核层Hooking
6.4.2 DKOM技术
6.4.3 内核层Hooking实例
6.5 Rootkit的防范与检测
6.5.1 Rootkit的防范
6.5.2 Rootkit的检测
6.6 思考题
第7章 智能手机恶意代码
7.1 智能手机恶意代码概述
7.1.1 智能手机操作系统
7.1.2 智能手机恶意代码简述
7.1.3 智能手机恶意代码的传播途径
7.2 Android恶意代码
7.2.1 Android概述
7.2.2 Android进程沙箱逃逸技术
7.2.3 Android应用程序签名机制绕过技术
7.2.4 Android恶意代码实例
7.3 iOS恶意代码
7.3.1 iOS概述
7.3.2 iOS代码签名绕过技术
7.3.3 iOS安全启动链劫持技术
7.3.4 iOS沙盒逃逸技术
7.3.5 iOS后台持久化技术
7.3.6 iOS内核地址空间布局随机
化突破技术
7.3.7 iOS恶意代码实例
7.3.8 iOS应用程序插件开发
7.4 智能手机恶意代码防范
7.4.1 防范策略
7.4.2 防范工具
7.5 思考题
第8章 特征码定位与免杀
8.1 恶意代码的特征码
8.1.1 特征码的基本概念
8.1.2 特征码的类型
8.2 特征码定位原理
8.2.1 分块填充定位法
8.2.2 分块保留定位法
8.2.3 特征定位工具应用
8.3 恶意代码免杀技术
8.3.1 PE文件头免杀方法
8.3.2 导入表免杀方法
8.3.3 代码段免杀方法
8.3.4 数据段免杀方法
8.3.5 利用编译器转换的免杀方法
8.4 思考题
第9章 加密技术与加壳技术
9.1 加密技术
9.1.1 加密技术概述
9.1.2 加密算法简介
9.1.3 软件的加密
9.1.4 加密策略
9.2 加壳技术
9.2.1 软件壳概述
9.2.2 软件壳的分类
9.2.3 加壳原理与实现
9.3 虚拟机保护技术
9.3.1 虚拟机保护技术概述
9.3.2 虚拟机保护技术的实现
9.4 思考题
第10章 代码混淆技术
10.1 代码混淆技术概述
10.1.1 代码混淆技术的定义
10.1.2 代码混淆技术的功能
10.1.3 代码混淆技术的优缺点
10.1.4 代码混淆技术的分类
10.2 语法层混淆
10.2.1 填充和压缩
10.2.2 标志符替代
10.2.3 编码混淆
10.2.4 字符串混淆