慕课-英华学堂

计算机病毒分析（慕课版）

课程类型：选修课

主讲教师：王志

课程来源：南开大学

建议学分：3.00分

课程编码：xtzx0962

课程介绍

课程目录

教师团队

第一章、计算机病毒分析概论

s 1.1 计算机病毒的定义和类型（13分钟）

s 1.2 计算机病毒分析的目标（6分钟）

s 1.3 计算机病毒分析技术概述（10分钟）

第二章、静态基础分析技术

s 2.1 杀毒软件（8分钟）

s 2.2 哈希值：恶意代码指纹（4分钟）

s 2.3 特征字符串（7分钟）

s 2.4 加壳与混淆（7分钟）

s 2.5 PE文件格式（6分钟）

s 2.6 链接库与函数（13分钟）

第三章、虚拟机中分析计算机病毒

s 3.1 虚拟机的结构（7分钟）

s 3.2 创建虚拟机（8分钟）

s 3.3 使用虚拟机（7分钟）

第四章、动态基础分析技术

s 4.1 沙箱分析（9分钟）

s 4.2 运行病毒和进程监视（13分钟）

s 4.3 Process Explorer和Regshot （14分钟）

s 4.4 网络模拟（12分钟）

第五章、x86反汇编

s 5.1 逆向工程（7分钟）

s 5.2 x86体系结构（7分钟）

s 5.3 CPU寄存器（6分钟）

s 5.4 汇编指令（11分钟）

s 5.5 栈操作（14分钟）

第六章、IDA Pro

s 6.1 加载可执行文件（5分钟）

s 6.2 IDA Pro窗口（9分钟）

s 6.3 IDA Pro 导航（7分钟）

s 6.4 交叉引用（4分钟）

s 6.5 函数分析（3分钟）

s 6.6 使用图形选项（5分钟）

s 6.7 增强反汇编（9分钟）

第七章、识别汇编中的C语言代码结构

s 7.1 识别汇编中的C语言代码结构（9分钟）

s 7.2 识别if分支结构（6分钟）

s 7.3 识别循环（6分钟）

s 7.4 识别函数调用（9分钟）

s 7.5 识别switch结构（6分钟）

s 7.6 识别数组、结构体、链表（8分钟）

第八章、分析恶意Windows程序

s 8.1 Windows API （12分钟）

s 8.2 Windows 注册表（9分钟）

s 8.3 网络API （8分钟）

s 8.4 跟踪病毒运行（9分钟）

s 8.5 互斥量（19分钟）

s 8.6 异常处理、模式、Native API （20分钟）

第九章、动态调试

s 9.1 调试器介绍（13分钟）

s 9.2使用调试器（11分钟）

s 9.3使用断点暂停执行（8分钟）

s 9.4 断点类型（15分钟）

s 9.5异常（10分钟）

s 9.6调试器修改可执行文件（10分钟）

第十章、Ollydbg

s 10.1 Ollydbg加载恶意代码（7分钟）

s 10.2 Ollydbg的窗口（8分钟）

s 10.3 内存映射（16分钟）

s 10.4 查看线程、栈、代码（15分钟）

s 10.5 断点（22分钟）

s 10.6加载DLL、跟踪（15分钟）

s 10.7异常处理、修补（8分钟）

s 10.8分析shellcode、协助功能（10分钟）

s 10.9插件、脚本调试（15分钟）

第十一章、使用WinDbg调试内核

s 11.1驱动与内核代码（10分钟）

s 11.2使用WinDbg （5分钟）

s 11.3微软符号表（11分钟）

s 11.4内核调试（8分钟）

s 11.5Rootkit （10分钟）

第十二章、恶意代码行为分析

s 12.1下载器、启动器和后门（11分钟）

s 12.2远程控制和僵尸网络（5分钟）

s 12.3登录凭证窃密器（14分钟）

s 12.4存活机制和windows注册表（10分钟）

s 12.5特洛伊木马化二进制文件（7分钟）

s 12.6DLL加载顺序劫持（7分钟）

s 12.7权限提升与用户态Rootkit （6分钟）

第十三章、病毒的隐蔽启动

s 13.1启动器与进程注入（12分钟）

s 13.2进程替换（6分钟）

s 13.3Hook注入（14分钟）

s 13.4Detours与APC注入（15分钟）

第十四章、数据加密

s 14.1加密算法的目的和简单的加密算法（10分钟）

s 14.2简单的加密策略（6分钟）

s 14.3常见的加密算法（8分钟）

s 14.4自定义加密（10分钟）

s 14.5解密（9分钟）