Win32平台下内核Rootkit检测技术的研究与应用
| 摘要 | 第1-4页 |
| ABSTRACT | 第4-9页 |
| 第一章 绪论 | 第9-12页 |
| ·研究背景 | 第9页 |
| ·课题目标 | 第9-10页 |
| ·论文结构 | 第10页 |
| ·课题成果 | 第10-12页 |
| 第二章 WINDOWS ROOTKIT 核心技术 | 第12-33页 |
| ·ROOTKIT 相关操作系统原理 | 第12-28页 |
| ·环0 级 | 第12-13页 |
| ·操作系统模型 | 第13-14页 |
| ·CPU 表和系统表 | 第14-18页 |
| ·文件系统 | 第18-22页 |
| ·网络系统 | 第22-25页 |
| ·构建Windows 设备驱动程序 | 第25-28页 |
| ·ROOTKIT 技术原理 | 第28-32页 |
| ·挂钩SSDT 技术 | 第28-29页 |
| ·IDT/Sysenter hook 技术 | 第29页 |
| ·过滤驱动技术 | 第29-30页 |
| ·inline hook 技术 | 第30-31页 |
| ·IAT/EAT hook 技术 | 第31页 |
| ·修改内核对象技术 | 第31-32页 |
| ·本章小结 | 第32-33页 |
| 第三章 ROOTKIT 检测方法分类 | 第33-48页 |
| ·基于签名的检测 | 第33页 |
| ·基于交叉视图的检测 | 第33-40页 |
| ·隐藏进程的检测 | 第34-39页 |
| ·隐藏网络通信的检测 | 第39-40页 |
| ·基于异常行为的检测 | 第40-47页 |
| ·静态表检测技术 | 第40-45页 |
| ·EPA 技术 | 第45-47页 |
| ·基于内存完整性的检测 | 第47页 |
| ·本章小结 | 第47-48页 |
| 第四章 现有ROOTKIT 检测技术的改进 | 第48-68页 |
| ·KLISTER 技术的改进 | 第48-58页 |
| ·Klister 改进具体设计 | 第48-54页 |
| ·实验 | 第54-58页 |
| ·内存暴力搜索的实现 | 第58-67页 |
| ·检测流程图 | 第58-59页 |
| ·具体设计 | 第59-62页 |
| ·实验 | 第62-67页 |
| ·本章小结 | 第67-68页 |
| 第五章 新型ROOTKIT 技术的研究 | 第68-76页 |
| ·ROOTKIT 技术发展的趋势 | 第68-69页 |
| ·BOOTKIT 技术 | 第69-74页 |
| ·Windows 引导原理 | 第69-72页 |
| ·Bootkit 实现原理 | 第72-74页 |
| ·变种的Bootkit | 第74页 |
| ·BOOTKIT 检测技术 | 第74-75页 |
| ·本章小结 | 第75-76页 |
| 第六章 总结与展望 | 第76-78页 |
| ·本文工作总结 | 第76-77页 |
| ·下一步研究方向 | 第77-78页 |
| 参考文献 | 第78-80页 |
| 致谢 | 第80-81页 |
| 攻读学位期间发表的学术论文 | 第81-84页 |
