۴-۱۰-۱- آسیب های سرآیند ۸۲
۴-۱۰-۲-آسیب output debug string 85
۴-۱۱- نتیجه گیری ۸۵
فصل ۵ : مترسک
۵-۱- مقدمه ۸۸
۵-۲- مترسک چیست؟ ۸۸
۵-۳- نمودار کلی کار ۹۰
۵-۴- استفاده از رابط برنامه نویسی کاربردی ۹۱
۵-۳- استفاده از مسیر دستی ساختارها ۹۱
۵-۳-۱- الگورینم مترسک با کمک نشانه‌ها ۹۲
۵-۳-۲- نمودار الگوریتم قبلی ۹۳
۵-۴- پیاده سازی عملی مترسک ۹۴
۵-۴-۲- تابع Get tick count 94
۵-۴-۳- الگوریتم ساخت مترسک به کمک تابع Get tick count 95
۵-۴-۳- نمودار ساخت مترسک به کمک تابع Get tick count 95
۵-۴-۴- نمودار الگوریتم ساخت مترسک به کمک تابع Get tick count 96
۵-۴-۵-ساخت فایل ها ۹۸
۵-۴-۳- ساخت مترسک با تابع NtGlobalFlag 101
فصل ۶ : نتیجه گیری
۶-۱- مقدمه ۱۰۴
۶-۲-آنالیز بدافزارها ۱۰۵
۶-۲-۱– پویا ۱۰۵
۶-۲-۲– ایستا ۱۰۶
۶-۲-۳- مطالعه روش های ضد تحلیل ۱۰۷
۶-۳-روش­های مطرح در این پژوهش ۱۰۸
۶-۴- نتیجه پایانی ۱۰۹
منابع و مأخذ
منابع و مأخذ ۱۱۱
چکیده انگلیسی ۱۱۴
فهرست جداول
عنوان صفحه
جدول ۲-۱ لیستی از DLL ها ۱۸
جدول ۲-۲ زمینه های بلوک محیطی فرایند که توسط مایکروسافت مستند شده است ۳۰
جدول ۲-۳ زمینه هایی از PEB که از متغیرهای جهانی هسته شروع شده اند ۳۱
جدول ۲-۴ ساختار فایل پرونده اجرایی قابل حمل ۳۴
جدول ۴-۱ بررسی دستی نشانه BeingDebugged 67
جدول ۵-۱ واکنش توابع ۹۱
فهرست شکل­ها
عنوان صفحه
شکل۳-۱ یک نمونه از جهش ته ۴۷
شکل۳-۲ بایت های دستور نگهداری شده در نقطه ورودی اصلی پیش از اینکه برنامه اصلی باز شود. ۴۸
شکل ۳-۳ برنامه قابل اجرا را‌‌ زمان بارگذاری در حافظه است نشان می‌دهد ۴۸
شکل۳-۴ یک تابع ورودی را فرا می خواند ۵۲
شکل۳-۵: جهش ته برای یک برنامه بسته شده با Upack 56

شکل۴-۱: تکنیک ضداشکال زداییoutputdebugstring 65
شکل۴-۲: ساختار بلاک محیط پردازش بلوک شده ثبت شده ۶۷
شکل۴-۳: بررسی دستی نشانه ProcessHeap 69
شکل۴-۴ بررسی NTGlobalFlag 70