| 摘要 | 第1-11页 |
| ABSTRACT | 第11-13页 |
| 第1章 绪论 | 第13-17页 |
| ·研究背景 | 第13-14页 |
| ·国内外研究现状 | 第14-17页 |
| 第2章 计算机取证概述 | 第17-21页 |
| ·计算机取证相关概念 | 第17-18页 |
| ·离线取证和在线取证 | 第18-21页 |
| ·离线取证 | 第18页 |
| ·在线取证 | 第18-21页 |
| 第3章 Windows XP 日志文件格式研究 | 第21-29页 |
| ·Windows XP 日志概述 | 第21页 |
| ·日志文件的数据结构 | 第21-25页 |
| ·日志文件头结构分析 | 第22-23页 |
| ·日志文件尾结构分析 | 第23页 |
| ·日志事件记录结构分析 | 第23-25页 |
| ·手工删除或者修改事件记录 | 第25-28页 |
| ·删除事件记录 | 第25-27页 |
| ·修改事件日志 | 第27-28页 |
| ·本章总结 | 第28-29页 |
| 第4章 windows 内存管理机制 | 第29-39页 |
| ·windows 内存管理概述 | 第29-30页 |
| ·虚拟地址到物理地址的转换 | 第30-38页 |
| ·页目录 | 第30-31页 |
| ·页表 | 第31-32页 |
| ·页内偏移量 | 第32页 |
| ·Intelx86 系统的32 位虚拟地址的转换过程 | 第32-34页 |
| ·PAE 内存映射模式下虚拟地址的转换 | 第34-38页 |
| ·本章小结 | 第38-39页 |
| 第5章 Windows 物理内存镜像的获取与分析 | 第39-45页 |
| ·物理内存镜像的获取方法 | 第39-42页 |
| ·崩溃转储的方法 | 第39-40页 |
| ·利用DD 工具的方法 | 第40-41页 |
| ·利用虚拟机的方法 | 第41页 |
| ·基于硬件的获取方法 | 第41-42页 |
| ·利用火线接口的方法 | 第42页 |
| ·物理内存镜像分析 | 第42-44页 |
| ·判断操作系统类型 | 第42-43页 |
| ·分析内存池 | 第43-44页 |
| ·获取进程内存 | 第44页 |
| ·本章小结 | 第44-45页 |
| 第6章 Windows rootkit 技术原理 | 第45-63页 |
| ·Rootkit 概述 | 第45-46页 |
| ·Windows 系统中关键内核对象研究 | 第46-50页 |
| ·中断描述符表 | 第46-47页 |
| ·内存描述符表 | 第47页 |
| ·系统服务描述符表 | 第47-50页 |
| ·Windows Rootkit 常用技术分析 | 第50-58页 |
| ·IDT/Sysenter hook 技术 | 第50-51页 |
| ·系统服务描述符表钩子技术(SSDT hook) | 第51-52页 |
| ·IAT hook 技术 | 第52-53页 |
| ·内联函数钩子技术(inline hook) | 第53页 |
| ·直接内核对象操作(DKOM) | 第53-58页 |
| ·Windows Rootkit 实例分析 | 第58-61页 |
| ·FU | 第58-59页 |
| ·Hacker Defender | 第59页 |
| ·NTRootkit | 第59-60页 |
| ·He4Hook | 第60-61页 |
| ·其他 Windows rootkit | 第61页 |
| ·常见检测工具介绍 | 第61-62页 |
| VICE | 第61页 |
| RootkitRevealer | 第61-62页 |
| Klister | 第62页 |
| BlackLight | 第62页 |
| MS Strider GhostBuster | 第62页 |
| ·本章小结 | 第62-63页 |
| 第7章 windows rootkit 检测与实现方法 | 第63-74页 |
| ·常见检测机制概述 | 第63-65页 |
| ·基于签名的检测 | 第63页 |
| ·基于异常行为的检测 | 第63-64页 |
| ·基于交叉视图的检测 | 第64页 |
| ·基于内存完整性的检测 | 第64-65页 |
| ·用户模式rootkit 检测方法分析 | 第65-67页 |
| ·导入地址表检测方法分析 | 第65-66页 |
| ·可执行文件检测方法分析 | 第66页 |
| ·代码区检测方法分析 | 第66-67页 |
| ·内核模式下rootkit 检测方法分析 | 第67-69页 |
| ·IDT 挂钩检测 | 第67页 |
| ·SSDT 挂钩检测 | 第67-68页 |
| ·隐藏进程检测 | 第68-69页 |
| ·通过检测隐藏进程来检测windows rootkit 的实现 | 第69-73页 |
| ·通过遍历句柄表枚举进程列表 | 第69-72页 |
| ·通过遍历进程 EPROCESS 结构链表枚举进程 | 第72-73页 |
| ·通过挂钩函数SwapContext 列举进程 | 第73页 |
| ·本章小结 | 第73-74页 |
| 第8章 总结 | 第74-75页 |
| 参考文献 | 第75-79页 |
| 致谢 | 第79-80页 |
| 在学期间主要研究成果 | 第80页 |
| 一、发表学术论文 | 第80页 |
| 二、其他科研成果 | 第80页 |
