包邮软件安全技术

**部分软件安全引论

第1章软件安全概述31.1软件安全的重要性3

1.1.1软件的作用与软件安全3

1.1.2安全威胁的形势与软件安全4

1.1.3对软件安全的重视6

1.2软件安全的概念6

1.2.1软件安全的定义6

1.2.2软件的安全属性7

1.3软件安全问题9

1.3.1软件漏洞9

1.3.2恶意软件10

1.3.3软件侵权12

1.3.4软件后门13

1.4软件安全技术与标准14

1.4.1软件安全开发技术14

1.4.2软件安全防护技术15

1.4.3软件安全的相关标准15

1.5白帽子与黑帽子16

1.5.1黑白有别16

1.5.2白帽子的重要性17

1.6实例分析18

罗宾汉勒索软件事件实例18

1.7本章小结19

【思考与实践】19第二部分软件安全开发

第2章软件安全开发周期232.1软件安全开发过程23

2.2软件安全开发模型25

2.2.1微软公司的SDL模型25

2.2.2OWASP的SAMM模型29

2.2.3McGraw的BSI模型33

2.2.4SEI的TSPSecure模型36

2.3实例分析37

某医疗行业软件安全开发方案实例37

2.4本章小结38

【思考与实践】38

〖3〗软件安全技术目录〖3〗第3章软件安全分析与设计40

3.1软件安全需求分析40

3.1.1安全需求分析的方法40

3.1.2攻击用例42

3.2软件安全设计44

3.2.1安全设计的内容与原则44

3.2.2安全设计的方法与模式48

3.2.3威胁建模51

3.3实例分析53

3.3.1软件安全需求分析实例53

3.3.2软件威胁建模实例56

3.4本章小结60

【思考与实践】60

第4章安全编程61

4.1安全编程概述61

4.1.1安全编程原则61

4.1.2安全编程环境62

4.1.3编程语言安全性65

4.2基本安全编程67

4.2.1输入安全67

4.2.2异常处理安全70

4.2.3内存安全73

4.2.4线程与进程安全76

4.3数据安全编程82

4.3.1加密算法安全82

4.3.2密钥安全86

4.4应用安全编程88

4.4.1权限控制安全88

4.4.2远程调用安全89

4.4.3面向对象应用的安全编程92

4.4.4Web应用的安全编程93

4.5实例分析95

4.5.1Web应用登录模块的安全编程实例95

4.5.2某教务管理系统权限管理的安全编程实例96

4.6本章小结98

【思考与实践】99

第5章软件安全测试101

5.1软件安全测试的内容101

5.2软件安全测试的方法103

5.3静态的软件安全测试104

5.3.1代码安全审查104

5.3.2静态代码分析105

5.4渗透测试106

5.4.1渗透测试过程106

5.4.2渗透测试工具108

5.4.3渗透测试与法律道德109

5.5模糊测试110

5.5.1模糊测试原理110

5.5.2模糊测试技术112

5.5.3模糊测试工具114

5.6实例分析115

某投资咨询公司系统的渗透测试实例115

5.7本章小结116

【思考与实践】116

第三部分软件漏洞问题及防治

第6章软件漏洞概述1196.1软件漏洞的定义119

6.2软件漏洞的成因与后果120

6.2.1软件漏洞的成因120

6.2.2软件漏洞被利用的后果122

6.3软件漏洞的分类与分级123

6.3.1软件漏洞的分类123

6.3.2软件漏洞的分级125

6.4软件漏洞的管控126

6.4.1软件漏洞管控的必要性126

6.4.2软件漏洞管理的标准126

6.5实例分析127

6.5.1区块链API鉴权漏洞事件实例127

6.5.2Zerologon高危漏洞事件实例129

6.6本章小结129

【思考与实践】130

第7章软件漏洞机理131

7.1内存漏洞131

7.1.1内存漏洞概述131

7.1.2栈溢出漏洞机理131

7.1.3堆溢出漏洞机理134

7.1.4格式化串漏洞机理136

7.1.5释放后重用漏洞机理138

7.2Web应用程序漏洞139

7.2.1Web应用程序漏洞概述139

7.2.2SQL注入漏洞机理140

7.2.3跨站脚本漏洞机理143

7.2.4跨站请求伪造漏洞机理146

7.3操作系统内核漏洞148

7.3.1操作系统内核概述148

7.3.2提权漏洞机理148

7.3.3验证绕过漏洞机理149

7.4实例分析150

7.4.1内存漏洞源码实例150

7.4.2某设备管控系统的漏洞检测实例153

7.4.3Windows本地提权漏洞实例155

7.4.4Android签名验证绕过漏洞实例158

7.5本章小结161

【思考与实践】161

第8章软件漏洞防治163

8.1软件漏洞防范概述163

8.2软件漏洞防护机制164

8.2.1数据执行保护164

8.2.2地址空间布局随机化165

8.2.3安全结构化异常处理166

8.2.4栈溢出检测的编译选项167

8.3漏洞挖掘168

8.3.1漏洞挖掘概述168

8.3.2基于源码的静态漏洞分析169

8.3.3基于二进制码的静态漏洞分析171

8.3.4基于二进制码的动态漏洞分析174

8.4实例分析177

8.4.1Windows漏洞防护技术应用实例177

8.4.2基于模糊测试的二进制码漏洞检测实例178

8.5本章小结181

【思考与实践】181

第四部分恶意软件问题及防治

第9章恶意代码概述1859.1恶意代码的定义185

9.2恶意代码的类型及特征185

9.2.1病毒185

9.2.2蠕虫190

9.2.3木马192

9.2.4勒索软件194

9.2.5Rootkit196

9.2.6发展趋势197

9.3恶意代码的管控199

9.3.1恶意代码的相关法律法规199

9.3.2恶意代码的防治管理201

9.4实例分析201

9.4.1GandCrab勒索软件实例201

9.4.2Scranos Rootkit实例202

9.5本章小结204

【思考与实践】204

第10章恶意软件的机理206

10.1可执行文件206

10.1.1可执行文件的类型206

10.1.2PE文件格式207

10.1.3可执行文件的生成210

10.1.4系统引导与应用程序执行212

10.2PE病毒的机理213

10.2.1PE病毒的基本结构213

10.2.2PE病毒的工作机制214

10.3蠕虫的机理216

10.3.1蠕虫的基本结构216

10.3.2蠕虫的工作机制217

10.4木马的机理217

10.4.1木马的基本结构217

10.4.2木马的工作机制217

10.5Rootkit的机理218

10.5.1Rootkit的基本结构218

10.5.2Rootkit的工作机制219

10.6实例分析220

10.6.1构造可执行PE文件实例220

10.6.2灰鸽子木马机理实例223

10.7本章小结225

【思考与实践】225

第11章恶意代码防治227

11.1恶意代码逆向分析技术227

11.1.1静态逆向分析技术227

11.1.2静态逆向分析工具IDA228

11.1.3动态逆向分析技术230

11.1.4动态调试工具OD232

11.2基本的恶意代码检测技术235

11.2.1特征值检测235

11.2.2校验和检测237

11.2.3基于虚拟机的检测238

11.3基于人工智能的恶意代码检测240

11.3.1恶意代码智能检测技术概述240

11.3.2主流平台上的恶意代码智能检测技术241

11.4实例分析244

11.4.1基于IDA工具的静态逆向分析实例244

11.4.2基于OD工具的动态逆向分析实例246

11.5本章小结249

【思考与实践】249

第五部分软件侵权问题及权益保护

第12章软件侵权问题25312.1软件知识产权与法律253

12.1.1软件知识产权253

12.1.2开源软件许可证254

12.1.3开源软件与知识产权保护256

12.1.4软件知识产权的相关法律257

12.2软件侵权问题概述260

12.3实例分析261

Oracle公司诉Google公司Java侵权案实例261

12.4本章小结262

【思考与实践】262

第13章软件权益保护技术264

13.1软件权益保护概述264

13.2软件版权保护技术265

13.2.1用户合法性验证265

13.2.2软件校验271

13.2.3演示版限制使用272

13.2.4云计算SaaS模式下的软件版权保护273

13.3软件防破解技术274

13.3.1软件破解与防破解274

13.3.2代码混淆276

13.3.3程序加壳281

13.3.4软件水印281

13.3.5防调试282

13.4实例分析284

13.4.1微信云开发模式下的软件版权保护实例284

13.4.2Android App防破解实例285

13.5本章小结288

【思考与实践】289

参考文献290