| 摘要 | 第1-6页 |
| ABSTRACT | 第6-13页 |
| 第一章 引言 | 第13-23页 |
| ·研究背景和意义 | 第13-14页 |
| ·国内外研究现状 | 第14-20页 |
| ·论文主要内容和组织结构 | 第20-23页 |
| ·论文主要内容 | 第20-21页 |
| ·论文组织结构 | 第21-23页 |
| 第二章 Rootkit 检测系统整体框架 | 第23-27页 |
| ·需求分析 | 第23-24页 |
| ·设计目标 | 第24页 |
| ·设计方案 | 第24-25页 |
| ·本章小结 | 第25-27页 |
| 第三章 与Rootkit 检测相关的操作系统机制和对象 | 第27-45页 |
| ·Intel 访问控制机制 | 第27页 |
| ·内存分页机制和寻址方式 | 第27-28页 |
| ·Windows 操作系统总体框架与设备驱动程序 | 第28-31页 |
| ·进程和线程 | 第31-35页 |
| ·系统服务调度表SSDT | 第35-36页 |
| ·中断和中断描述符表IDT | 第36-39页 |
| ·系统信息查询函数 | 第39-41页 |
| ·PE 格式文件 | 第41-43页 |
| ·本章小结 | 第43-45页 |
| 第四章 Rootkit 检测子系统设计 | 第45-68页 |
| ·文件完整性检测 | 第45-48页 |
| ·钩子检测 | 第48-54页 |
| ·用户空间钩子 | 第48-50页 |
| ·内核空间钩子 | 第50-51页 |
| ·钩子函数检测 | 第51-54页 |
| ·隐藏进程和驱动检测 | 第54-58页 |
| ·隐藏文件检测 | 第58-60页 |
| ·隐藏注册表检测 | 第60-63页 |
| ·Rootkit 检测子系统的启动策略 | 第63页 |
| ·用户交互方式的设计 | 第63-64页 |
| ·Rootkit 检测子系统的隐藏 | 第64-66页 |
| ·Rootkit 检测子系统相关文件的隐藏 | 第65页 |
| ·Rootkit 检测子系统内核模块和进程的隐藏 | 第65-66页 |
| ·本章小结 | 第66-68页 |
| 第五章 自检子系统设计 | 第68-74页 |
| ·自检子系统的独立性及其意义 | 第68-69页 |
| ·自检子系统对Rootkit 检测子系统的检测过程 | 第69页 |
| ·自检子系统与Rootkit 检测子系统间的身份认证过程 | 第69-72页 |
| ·自检子系统进入rootkit 检测子系统的方式 | 第72-73页 |
| ·本章小结 | 第73-74页 |
| 第六章 Rootkit 检测系统分析和实验 | 第74-79页 |
| ·实验环境 | 第74页 |
| ·文件完整性检测分析与实验 | 第74-75页 |
| ·自检子系统和Rootkit 检测子系统之间的认证过程实验 | 第75-77页 |
| ·Rootkit 检测子系统的Rootkit 检测分析 | 第77-78页 |
| ·本章小结 | 第78-79页 |
| 第七章 总结 | 第79-81页 |
| ·本文的主要工作 | 第79-80页 |
| ·下一步的工作 | 第80-81页 |
| 致谢 | 第81-82页 |
| 参考文献 | 第82-86页 |
