Введение
Глава 1. Задача распознавания объектов 19
1.1 Математическая модель 19
1.2 Задача распознавания объектов 22
1.3 Постановка уточненной задачи распознавания объектов 26
1.4 Предлагаемый подход к решению задачи распознавания 27
1.5 Исследование алгоритма 33
Глава 2. Классификация вредоносного исполнимого кода 38
2.1 Признаки вредоносного исполнимого кода 39
2.1.1 Статические признаки 42
2.1.2 Динамические признаки 50
2.2 Классификация вредоносного исполнимого кода 52
Глава 3. Методы обнаружения вредоносного исполнимого кода 59
3.1 Показатели эффективности методов 60
3.2 Классификация методов обнаружения шеллкодов 61
3.3 Основные методы 65
3.3.1 Статические методы 65
3.3.2 Динамические методы 84
3.3.3 Гибридные методы 88
3.4 Результаты обзора 91
Глава 4. Инструментальная среда обнаружения шеллкодов Demorpheus 99
4.1 Архитектура 99
4.2 Компоненты системы 101
4.2.1 Дизассемблирование входного потока 102
4.2.2 Восстановление служебных структур 103
4.2.3 Библиотека шеллкодов 106
4.2.4 Гибридный классификатор 108
4.3 Испытания прототипа 109
4.3.1 Тестовые наборы данных 109
4.3.2 Результаты экспериментов 111
Глава 5. Заключение 117
Литература
