伴隨惡意代碼種類和數量的不斷增加，對惡意代碼分析方法提出更高要求，在傳統的特征碼檢測方法與啟發式檢測方法存在樣本分析成本過高、無法有效檢測未知惡意軟件等問題；新型基於機器學習的惡意軟件檢測方法能夠提高分析效率以及改善未知惡意軟件檢測性能，但存在軟件特征語義信息不明顯、特征數量龐大以及檢測模型過度依賴訓練樣本等缺點。另一方面，對於感染后宿主軟件中惡意注入代碼的局部識別方面，現有技術有較高的惡意代碼分析成本，且無法對未知感染的結果進行有效識別。本文重點以各類操作系統可執行代碼為研究對象，提出的新方法能夠在一定程度上解決惡意代碼分析中所需要的通用化要求，為降低惡意代碼分析成本、提高分析效率以及應對未知惡意代碼提供新的解決方案。

《信息科學技術學術著作叢書》序前言第1章 二進制可執行文件簡介 1.1 Windows PE文件 1.1.1 PE文件結構 1.1.2 PE文件頭結構 1.1.3 PE導入表 1.1.4 PE資源表 1.1.5 PE地址變換 1.1.6 PE重定位機制 1.1.7 PE文件變形機制 1.2 Linux ELF文件 1.2.1 ELF結構 1.2.2 ELF頭結構 1.2.3 ELF節區 1.2.4 ELF字符串表 1.2.5 ELF符號表 1.2.6 ELF重定位機制 1.2.7 ELF動態鏈接機制 1.3 Android DEX文件 1.3.1 Android系統結構 1.3.2 Android DEX結構 1.3.3 Android ODEX結構 1.3.4 Android權限機制 參考文獻第2章 惡意軟件檢測基礎 2.1 惡意軟件抽象理論 2.2 機器學習基礎 2.2.1 機器學習簡介 2.2.2 分類算法 2.2.3 集成學習 2.2.4 特征選擇與特征提取 2.2.5 性能評價 2.2.6 WEKA簡介 2.3 本章小結 參考文獻第3章 加殼技術研究 3.1 引言 3.2 加殼原理 3.2.1 ELF文件的加載過程 3.2.2 加殼的方式 3.2.3 用戶空間下加載器的設計 3.3 反跟蹤技術 3.3.1 反調試技術 3.3.2 代碼混淆技術 3.3.3 抗反匯編技術 3.4 本章小結 參考文獻第4章 加殼檢測研究 4.1 引言 4.2 加殼檢測常用方法 4.2.1 研究現狀 4.2.2 常用方法歸納 4.3 基於機器學習的加殼檢測框架 4.4 PE文件加殼檢測 4.4.1 PE文件特征提取 4.4.2 PE加殼檢測實驗及分析 4.5 ELF文件加殼檢測 4.5.1 ELF文件特征提取 4.5.2 ELF加殼檢測實驗及分析 4.6 本章小結 參考文獻第5章 基於函數調用圖簽名的惡意軟件檢測方法 5.1 引言 5.2 相關工作 5.3 定義第6章 基於挖掘格式信息的惡意軟件檢測方法第7章 基於控制流結構體的惡意軟件檢測方法第8章 基於控制流圖特征的惡意軟件檢測方法第9章 軟件局部惡意代碼識別研究第10章 基於多視集成學習的惡意軟件檢測方法第11章 基於動態變長Native API序列的惡意軟件檢測方法第12章 基於多特征的移動設備惡意代碼檢測方法第13章 基於實際使用的權限組合與系統API的惡意軟件檢測方法第14章 基於敏感權限及其函數調用圖的惡意軟件檢測方法第15章 基於頻繁子圖挖掘的異常入侵檢測新方法