| 中文摘要 | 第1-4页 |
| ABSTRACT | 第4-7页 |
| 第一章 绪论 | 第7-10页 |
| ·引言 | 第7-8页 |
| ·国内外研究现状 | 第8页 |
| ·论文安排和研究结果 | 第8-10页 |
| ·论文的安排 | 第8-9页 |
| ·主要研究成果 | 第9-10页 |
| 第二章 计算机病毒和木马概述 | 第10-18页 |
| ·计算机病毒和木马的定义 | 第10页 |
| ·典型病毒剖析 | 第10-14页 |
| ·“红色代码”病毒 | 第11-12页 |
| ·Win32.Troj.ADNavihelper(广告木马) | 第12页 |
| ·冲击波病毒 | 第12-13页 |
| ·He4Hook | 第13页 |
| ·冰河木马 | 第13-14页 |
| ·病毒的加载运行技术 | 第14-17页 |
| ·本章小结 | 第17-18页 |
| 第三章 基于行为的入侵防护体系模型 | 第18-28页 |
| ·PPDR安全理论模型 | 第18-20页 |
| ·基于行为的入侵防护体系模型 | 第20-24页 |
| ·模型的结构和组成 | 第20-23页 |
| ·IGBOB模型的优缺点 | 第23-24页 |
| ·IGBOB模型的工作流程 | 第24-26页 |
| ·“控制进程创建”的工作流程 | 第24-25页 |
| ·“控制进程终止”的工作流程 | 第25-26页 |
| ·本章总结 | 第26-28页 |
| 第四章 进程行为的拦截技术 | 第28-42页 |
| ·保护模式的权限级别 | 第28-34页 |
| ·保护模式的权限级别 | 第28-29页 |
| ·系统服务(System Service) | 第29页 |
| ·系统服务调度 | 第29-31页 |
| ·系统服务描述符表、系统服务表和系统服务地址表 | 第31-32页 |
| ·进程与线程 | 第32-33页 |
| ·挂钩和钩子函数 | 第33页 |
| ·用户空间和内核空间 | 第33-34页 |
| ·内核修补技术 | 第34-37页 |
| ·挂钩SDT/SST/KiServiceTable | 第34-36页 |
| ·挂钩2Eh号中断处理程序 | 第36-37页 |
| ·进程的攻击行为 | 第37-39页 |
| ·进程行为的拦截技术 | 第39-41页 |
| ·获取系统服务号 | 第39-40页 |
| ·挂钩系统服务地址表 | 第40-41页 |
| ·本章总结 | 第41-42页 |
| 第五章 进程监测器和决策中心的技术实现 | 第42-54页 |
| ·进程监测器的总体结构 | 第42-43页 |
| ·控制进程的创建 | 第43-46页 |
| ·进程创建的主要阶段 | 第43-45页 |
| ·挂钩NtCreateThread控制进程的创建 | 第45-46页 |
| ·控制进程的终止 | 第46-48页 |
| ·访问物理内存的方法 | 第47-48页 |
| ·控制对物理内存的访问 | 第48页 |
| ·控制安装驱动程序 | 第48-50页 |
| ·入侵防护体系的自身安全 | 第50-51页 |
| ·决策中心的技术实现 | 第51-53页 |
| ·映像加载规则库的设计 | 第51-52页 |
| ·控制进程创建的决策过程 | 第52-53页 |
| ·本章小结 | 第53-54页 |
| 第六章 结束语 | 第54-55页 |
| 参考文献 | 第55-57页 |
| 致谢 | 第57页 |