| 摘要 | 第1-6页 |
| ABSTRACT | 第6-11页 |
| 第一章 引言 | 第11-15页 |
| ·背景 | 第11页 |
| ·ROOTKIT 的定义 | 第11页 |
| ·ROOTKIT 产生的原因 | 第11-12页 |
| ·ROOTKIT 的发展历史 | 第12页 |
| ·ROOTKIT 的功能 | 第12-13页 |
| ·ROOTKIT 的类型 | 第13-14页 |
| ·应用级Rootkit | 第13页 |
| ·内核级Rootkit | 第13-14页 |
| ·ROOTKIT 的研究现状 | 第14页 |
| ·本文的组织 | 第14-15页 |
| 第二章 ROOTKIT 相关操作系统原理 | 第15-33页 |
| ·环0 级 | 第15-16页 |
| ·操作系统模型 | 第16-17页 |
| ·CPU 表和系统表 | 第17-21页 |
| ·全局描述符表(Global Descriptor Table, GDT) | 第18页 |
| ·本地描述符表(Local Descriptor Table, LDT) | 第18页 |
| ·页目录(Page Directory) | 第18页 |
| ·中断描述符表(Interrupt Descriptor Table, IDT) | 第18-19页 |
| ·系统服务调用表(System Service Dispatch Table, SSDT) | 第19-21页 |
| ·文件系统 | 第21-26页 |
| ·基本概念 | 第21-22页 |
| ·Windows 文件系统格式 | 第22-23页 |
| ·文件系统驱动程序结构 | 第23-25页 |
| ·文件系统操作 | 第25-26页 |
| ·网络系统 | 第26-30页 |
| ·Windows 的网络总体结构 | 第26-28页 |
| ·协议驱动程序 | 第28-29页 |
| ·NDIS 驱动程序 | 第29-30页 |
| ·编写WINDOWS 设备驱动程序 | 第30-33页 |
| 第三章 ROOTKIT 技术原理与实践 | 第33-51页 |
| ·挂钩SSDT 技术 | 第33-39页 |
| ·技术原理 | 第33-35页 |
| ·通过挂钩SSDT 隐藏进程 | 第35-38页 |
| ·实验结果 | 第38-39页 |
| ·过滤驱动技术 | 第39-46页 |
| ·技术原理 | 第39-40页 |
| ·使用过滤驱动技术隐藏网络通信 | 第40-45页 |
| ·实验结果 | 第45-46页 |
| ·修改内核对象技术 | 第46-51页 |
| ·技术原理 | 第46-47页 |
| ·通过修改内核对象隐藏设备驱动程序 | 第47-50页 |
| ·实验结果 | 第50-51页 |
| 第四章 对抗HIPS 技术 | 第51-60页 |
| ·HIPS 技术介绍 | 第51-52页 |
| ·HIPS 技术原理分析 | 第52-54页 |
| ·对抗HIPS 的ROOTKIT 技术 | 第54-58页 |
| ·技术原理 | 第54页 |
| ·隐蔽加载驱动 | 第54-56页 |
| ·恢复SSDT 表 | 第56-58页 |
| ·实验结果 | 第58-60页 |
| 第五章 VISTA 系统下的ROOTKIT 技术 | 第60-65页 |
| ·VISTA 系统的保护技术 | 第60-61页 |
| ·UAC(User Account Control)机制 | 第60-61页 |
| ·驱动签名(Driver Signing)技术 | 第61页 |
| ·KPP(Kernel Path Protection)技术 | 第61页 |
| ·ROOTKIT 的对抗策略 | 第61-65页 |
| ·感染PE 文件 | 第61-62页 |
| ·替换快捷方式进行欺骗 | 第62-65页 |
| 第六章 总结 | 第65-67页 |
| ·本文工作总结 | 第65-66页 |
| ·下一步研究方向 | 第66-67页 |
| 参考文献 | 第67-69页 |
| 致谢 | 第69-70页 |
| 攻读学位期间发表的学术论文 | 第70页 |
