| 摘要 | 第1-5页 |
| Abstract | 第5-10页 |
| 第一章 绪论 | 第10-14页 |
| ·研究背景 | 第10-11页 |
| ·木马危害的严重性 | 第10-11页 |
| ·木马检测技术研究现状 | 第11页 |
| ·研究内容 | 第11-12页 |
| ·论文结构 | 第12-14页 |
| 第二章 国内外木马检测技术研究现状概述 | 第14-21页 |
| ·特征码检测技术 | 第14页 |
| ·实时监控技术 | 第14-15页 |
| ·虚拟机检测技术 | 第15页 |
| ·校验和检测技术 | 第15-16页 |
| ·逆向工程检测技术 | 第16-17页 |
| ·数据挖掘检测技术 | 第17页 |
| ·人工免疫技术 | 第17-18页 |
| ·启发式检测技术 | 第18页 |
| ·主动防御技术 | 第18-19页 |
| ·基于木马行为特征检测技术 | 第19-21页 |
| 第三章 木马行为特征分析 | 第21-36页 |
| ·基于木马行为特征检测技术原理 | 第21页 |
| ·木马行为特征分析 | 第21-28页 |
| ·植入阶段的行为特征分析 | 第22-23页 |
| ·安装阶段的行为特征分析 | 第23-26页 |
| ·运行阶段的行为特征分析 | 第26-27页 |
| ·网络通信阶段的行为特征分析 | 第27-28页 |
| ·构建木马行为特征库 | 第28-29页 |
| ·模糊模式识别在木马行为特征检测中的应用 | 第29-36页 |
| ·模糊模式识别算法概述 | 第29-31页 |
| ·模糊模式识别算法在判定木马行为特征中的应用 | 第31-33页 |
| ·模糊模式识别算法应用于判定木马行为特征的实验过程及分析结果 | 第33-36页 |
| 第四章 基于木马行为特征检测系统的设计 | 第36-42页 |
| ·系统总体结构设计 | 第36-37页 |
| ·系统功能模块设计 | 第37-42页 |
| ·控制中心模块 | 第37-38页 |
| ·网络通信检测模块 | 第38-40页 |
| ·进程检测模块 | 第40-41页 |
| ·文件检测模块 | 第41页 |
| ·注册表检测模块 | 第41页 |
| ·基于木马行为特征库设计 | 第41-42页 |
| 第五章 部分关键技术研究与实现 | 第42-64页 |
| ·Winsock2 SPI 技术研究 | 第42-51页 |
| ·Winsock2 SPI 基础 | 第42-44页 |
| ·Winsock SPI 与API 的对应关系 | 第44-45页 |
| ·Winsock2 SPI 传输服务提供者 | 第45-50页 |
| ·Winsock SPI 技术的特点 | 第50-51页 |
| ·NDIS HOOK 技术研究 | 第51-54页 |
| ·NDIS 介绍 | 第51-52页 |
| ·NDIS HOOK 技术原理 | 第52-53页 |
| ·NDIS HOOK 技术的特点 | 第53-54页 |
| ·基于SPI HOOK 模块的实现 | 第54-59页 |
| ·基于SPI HOOK 模块实现原理 | 第54-55页 |
| ·基于SPI HOOK 的模块实现 | 第55-59页 |
| ·基于NDIS HOOK 模块的实现 | 第59-64页 |
| ·基于NDIS HOOK 模块实现原理 | 第59-60页 |
| ·基于NDIS HOOK 模块的实现 | 第60-64页 |
| 第六章 原型系统测试 | 第64-69页 |
| ·测试环境 | 第64页 |
| ·稳定性测试 | 第64页 |
| ·功能模块测试 | 第64-66页 |
| ·部分关键测试结果展示 | 第66-68页 |
| ·测试小结 | 第68-69页 |
| 第七章 总结与展望 | 第69-70页 |
| ·总结 | 第69页 |
| ·展望 | 第69-70页 |
| 参考文献 | 第70-72页 |
| 致谢 | 第72-73页 |
| 在校期间的科研成果 | 第73页 |