64位Windows操作系统内核监控研究

摘要	第4-5页
Abstract	第5-6页
第1章绪论	第10-13页
1.1 研究背景及研究意义	第10-11页
1.2 国内外研究现状	第11-12页
1.3 本文主要研究内容	第12-13页
第2章背景技术介绍	第13-20页
2.1 Windows操作系统原理	第13-14页
2.1.1 用户模式和内核模式	第13页
2.1.2 Windows操作系统总体架构	第13-14页
2.2 恶意软件检测技术	第14-15页
2.2.1 静态分析法	第14-15页
2.2.2 动态分析法	第15页
2.3 钩子技术	第15-16页
2.3.1 钩子的实现方式	第15-16页
2.4 硬件虚拟化技术	第16-17页
2.5 64位Windows内核保护机制	第17-19页
2.5.1 保护关键内核模块代码	第17-18页
2.5.2 保护GDT/IDT	第18页
2.5.3 保护SSDT	第18页
2.5.4 保护MSR寄存器	第18-19页
2.5.5 保护调试例程	第19页
2.6 本章小结	第19-20页
第3章痕迹隐藏与检测	第20-35页
3.1 隐藏注入模块	第20-28页
3.1.1 现有隐藏技术分析	第20-22页
3.1.2 新思路	第22页
3.1.3 实现步骤	第22-23页
3.1.4 对抗暴力枚举	第23-24页
3.1.5 释放DLL同时保留DLL的资源	第24页
3.1.6 保持模块“活性”	第24-25页
3.1.7 线程伪装	第25-26页
3.1.8 实验结果与分析	第26-28页
3.2 通过WMI隐藏入侵痕迹	第28-34页
3.2.1 WMI介绍	第28页
3.2.2 WMI的体系结构	第28-29页
3.2.3 WMI攻击	第29-30页
3.2.4 防御WMI攻击	第30页
3.2.5 WMI绕过监控原理	第30-31页
3.2.6 防御WMI绕过	第31-32页
3.2.7 实验结果	第32-34页
3.3 本章小结	第34-35页
第4章 64位Windows操作系统的监控技术	第35-44页
4.1 已有的行为监控技术	第35-37页
4.1.1 基于系统回调的监控技术	第35页
4.1.2 过滤驱动	第35页
4.1.3 应用层的HOOK技术	第35-36页
4.1.4 内核层的HOOK技术	第36-37页
4.1.5 基于硬件虚拟化的监控技术	第37页
4.2 破解64位Windows系统内核	第37-40页
4.2.1 静态破解	第37-38页
4.2.2 动态破解	第38页
4.2.3 基于硬件虚拟化绕过	第38-40页
4.3 X64平台的钩子引擎	第40-43页
4.3.1 拦截位置的确定	第40页
4.3.2 二进制拦截库	第40-41页
4.3.3 指令长度限制	第41页
4.3.4 相对寻址指令处理	第41-43页
4.3.5 多线程安全	第43页
4.4 本章小结	第43-44页
第5章系统实现方案	第44-48页
5.1 总体设计	第44-45页
5.1.1 简介	第44页
5.1.2 设计方法	第44页
5.1.3 软件结构	第44-45页
5.2 应用层程序设计	第45-46页
5.2.1 通信模块	第45-46页
5.2.2 数据处理模块	第46页
5.2.3 数据显示模块	第46页
5.3 驱动层程序设计	第46-48页
5.3.1 通信模块	第46-47页
5.3.2 监控拦截模块	第47-48页
第6章实验结果与讨论	第48-53页
6.1 现有分析系统的不足	第48-51页
6.2 实验结果	第51-52页
6.3 实验结果分析	第52页
6.4 本章小结	第52-53页
第7章总结与展望	第53-55页
7.1 全文总结与创新	第53-54页
7.2 未来工作展望	第54-55页
参考文献	第55-58页
致谢	第58-59页
附录A 攻读硕士学位期间发表的论文	第59页