| 摘要 | 第1-5页 |
| Abstract | 第5-8页 |
| 1 绪论 | 第8-12页 |
| ·课题研究的来源背景 | 第8-9页 |
| ·Rootkit 基本概念 | 第8页 |
| ·课题背景 | 第8-9页 |
| ·Rootkit 的发展历史和现状 | 第9页 |
| ·Rootkit 的功能 | 第9-10页 |
| ·Rootkit 的类型 | 第10页 |
| ·本文的组织 | 第10-12页 |
| 2 深入分析和理解 Linux 内核 | 第12-23页 |
| ·Linux 操作系统内核发展 | 第12-13页 |
| ·Linux 操作系统体系结构 | 第13-15页 |
| ·Linux 内核组成 | 第13-14页 |
| ·依赖关系 | 第14-15页 |
| ·系统启动过程 | 第15-18页 |
| ·系统启动概述 | 第15页 |
| ·引导装入程序 | 第15-17页 |
| ·系统初始化 | 第17-18页 |
| ·进程管理与调度机制 | 第18-21页 |
| ·重要的数据结构与宏 | 第18-21页 |
| ·进程调度策略 | 第21页 |
| ·本章小结 | 第21-23页 |
| 3 Rootkit 相关原理分析 | 第23-47页 |
| ·Linux 系统调用机制 | 第23-35页 |
| ·什么是系统调用 | 第23页 |
| ·系统调用的作用 | 第23-24页 |
| ·系统调用的实现机制 | 第24-35页 |
| ·可加载内核模块机制 | 第35-39页 |
| ·可加载内核模块的结构 | 第36-37页 |
| ·可加载内核模块的编译 | 第37-38页 |
| ·加载内核模块的流程 | 第38页 |
| ·加载内核模块时的版本检查 | 第38-39页 |
| ·Rootkit 的攻击原理 | 第39-46页 |
| ·攻击系统调用函数 | 第39-40页 |
| ·攻击系统调用表 | 第40-46页 |
| ·小结 | 第46-47页 |
| 4 当前 Rootkit 的检测方法 | 第47-51页 |
| ·用现有的 GPL 工具检测 Rootkit | 第47-49页 |
| ·黑盒分析法检测 Rootkit | 第49-50页 |
| ·小结 | 第50-51页 |
| 5 一种新型的 rootkit 模型 | 第51-61页 |
| ·rootkit 的要求和功能 | 第51-52页 |
| ·内核Rootkit 需满足下列要求 | 第51页 |
| ·系统的功能 | 第51-52页 |
| ·笔者对 rootkit 的研究和看法 | 第52-55页 |
| ·proc rootkit | 第52-54页 |
| ·非/proc rootkit | 第54-55页 |
| ·一种新型的非/proc 型内核级 rootkit | 第55-58页 |
| ·linux 内核定时器的工作方式 | 第55页 |
| ·Linux 的工作队列 | 第55-56页 |
| ·基于定时器和工作队列的rootkit 工作方式 | 第56-58页 |
| ·新型 rootkit 的检测 | 第58-60页 |
| ·小结 | 第60-61页 |
| 结论 | 第61-62页 |
| 参考文献 | 第62-64页 |
| 致谢 | 第64-65页 |
| 攻读学位期间已发表的学术论文及科研成果 | 第65页 |