本书是一本主要面向高校网络空间安全等相关专业本科生的专业教材。本书介绍和讨论了恶意代码分析的概念、工具、技术与方法，旨在为读者提供一本全面、系统的恶意代码分析指南。从恶意代码的基本概念入手，详细介绍了恶意软件的分类、特点及其潜在威胁，涵盖了恶意代码的动态分析和静态分析技术，为读者详细揭示了如何从取证、分析、撰写报告到持续监测恶意代码在其生命周期内的活动和目的。作者结合多年实践经验，通过实际案例分析，让读者能够从实践中学习到宝贵经验。书中提供了真实的恶意代码分析实践题，鼓励读者动手实践，通过实际操作来巩固知识和技能。普通高校计算机科学与技术、信息安全等相关专业的学生可以通过本书深化对恶意代码分析的理解。

肖新光，安天科技集团首席技术架构师、教授级高级工程师。研究方向为反病毒引擎、恶意代码分析、高级威胁检测等。中国计算机学会计算机安全专业委员会常务委员，全国信息安全标准化技术委员会（SAC/TC260）委员，哈尔滨工业大学、国防科学技术大学等高校兼职教授。曾获2016年第一届全国网络安全优秀人才奖，2018年中华国际科学交流基金会“杰出工程师青年奖”、2019年中国计算机学会“CCF 杰出工程师奖”等。

前言 威胁分析能力在网络安全工作者的必备技能频谱中有很高的占比。威胁分析是针对网络攻击活动及与之相关对象的认知过程，恶意代码无疑是威胁分析工作中最需要被重点关注的对象。 回望整个威胁对抗发展历程，恶意代码分析在每个历史阶段都起到了重要的支撑和推动作用——1986年，首个IBM PC架构下的计算机病毒诞生后，查杀感染式病毒成为当时安全工作的主要频谱，基于对不断出现的病毒样本的持续分析，研究对抗规律和最佳解决方案，反病毒工作避免陷入“银弹”式的设想中，走上了通过反病毒引擎持续更新迭代实现对抗的正途；在2000年后暴发的蠕虫浪潮中，安全工作者在原有的代码分析维度上扩展了关联的网络分析，推动了检测能力在网络侧和网关上的完善和构建，推动了反病毒网关、UTM、VDS等新兴产品的产生；2005年后，在特洛伊木马呈现几何级数的增长膨胀的情况下，安全分析工作已不可能靠人力穷尽，依托人的分析工作的范式化提炼，大规模提升了自动化分析水平；2010年，以“震网”为代表的APT（高级持续型威胁）攻击活动浮出水面，也正是依赖着长期、细腻的分析工作，才能够揭开“A”的谜底，把握“P”的脉搏，从而把一系列APT攻击的内幕呈现在公众面前。 上述工作贯穿了我的学生时代以及工作和创业历程。但随着时间推移，我感到了一种隐忧，那就是网络安全从业者的基础分析能力（特别是面向二进制对象的分析能力）有持续退化的倾向。 一方面，恶意代码分析所需的能力较为综合，恶意代码分析者需要具备的素质包括但不限于：对系统底层运行逻辑的深入认识、对攻击技术的了解、在熟练应用逆向及调试等相关技能的同时也具备正向的软件工程思维...