| 中文摘要 | 第1-4页 |
| ABSTRACT | 第4-11页 |
| 第一章 绪论 | 第11-20页 |
| ·研究背景 | 第11-14页 |
| ·信息安全的现状 | 第12-13页 |
| ·Rootkit 与信息隐藏技术的发展 | 第13页 |
| ·加解密技术的发展 | 第13-14页 |
| ·国内外研究现状 | 第14-17页 |
| ·隐藏进程检测的研究 | 第14-15页 |
| ·文件加解密的研究 | 第15-17页 |
| ·论文研究内容 | 第17-18页 |
| ·论文结构安排 | 第18-20页 |
| 第二章 相关理论与技术基础 | 第20-35页 |
| ·WINDOWS 进程内核对象 | 第20-22页 |
| ·用户模式下进程隐藏的 HOOK 技术 | 第22-26页 |
| ·IAT HOOK | 第23-24页 |
| ·EAT HOOK | 第24-25页 |
| ·Inline HOOK | 第25-26页 |
| ·内核模式下进程隐藏的 HOOK 技术 | 第26-31页 |
| ·IDT HOOK 技术 | 第26-28页 |
| ·SSDT HOOK 技术 | 第28-31页 |
| ·直接内核对象控制(DKOM)隐藏进程技术 | 第31-33页 |
| ·根据进程名隐藏进程 | 第32-33页 |
| ·根据进程 ID 隐藏进程 | 第33页 |
| ·HOOK 与 DKOM 技术的优点与不足 | 第33-34页 |
| ·本章小结 | 第34-35页 |
| 第三章 隐藏进程检测关键技术的研究与实现 | 第35-58页 |
| ·隐藏进程检测的技术 | 第35-36页 |
| ·用户模式下的隐藏进程检测 | 第36页 |
| ·基于内存扫描的 HOOK 检测 | 第36-39页 |
| ·查找 SSDT 钩子 | 第37-39页 |
| ·查找其它类型钩子 | 第39页 |
| ·HOOK 检测方法的优缺点 | 第39页 |
| ·基于进程链表的隐藏进程检测 | 第39-42页 |
| ·枚举进程链表检测隐藏进程 | 第40-41页 |
| ·进程链表检测优缺点 | 第41-42页 |
| ·基于线程链表的隐藏进程检测 | 第42-46页 |
| ·Windows 线程内核对象 | 第42-43页 |
| ·线程链表检测 | 第43-46页 |
| ·基于线程调度的隐藏进程检测 | 第46-48页 |
| ·Windows 线程调度原理 | 第46-47页 |
| ·钩挂 SwapContext 检测隐藏进程 | 第47-48页 |
| ·远程线程注入与监控 | 第48-52页 |
| ·DLL 注入 | 第48-49页 |
| ·远程线程注入 DLL | 第49-51页 |
| ·内核模式下监视远程线程创建 | 第51-52页 |
| ·隐藏进程检测功能测试 | 第52-57页 |
| ·IAT HOOK 测试 | 第52-55页 |
| ·SSDT HOOK 测试 | 第55页 |
| ·Inline HOOK 测试 | 第55-57页 |
| ·驱动层 HOOK 测试 | 第57页 |
| ·本章小结 | 第57-58页 |
| 第四章 进程行为检测和信息完整性保护技术研究 | 第58-88页 |
| ·进程行为检测和信息完整性保护功能划分 | 第58-60页 |
| ·总体工作流程 | 第59页 |
| ·工作基础 | 第59-60页 |
| ·检测子系统结构 | 第60-70页 |
| ·常见恶意进程行为模型 | 第61-63页 |
| ·关键动作定义 | 第63-64页 |
| ·事实模板定义 | 第64-65页 |
| ·系统中重要对象定义 | 第65-70页 |
| ·进程映象全路径和命令行参数的获取 | 第70页 |
| ·进程行为检测记录 | 第70-74页 |
| ·内存操作 | 第70-71页 |
| ·文件操作 | 第71-72页 |
| ·进程和线程操作 | 第72-74页 |
| ·保护还原方法研究 | 第74-76页 |
| ·术语定义 | 第74页 |
| ·还原子系统结构 | 第74-75页 |
| ·完整性模型 | 第75-76页 |
| ·保护还原记录策略 | 第76-81页 |
| ·不可信进程行为记录策略 | 第76-78页 |
| ·可信进程行为记录策略 | 第78-80页 |
| ·判断操作对象是否可信 | 第80-81页 |
| ·保护还原方法 | 第81-83页 |
| ·访问列表数据的还原 | 第81-82页 |
| ·对.rec 文件数据进行还原 | 第82-83页 |
| ·不可信进程被识别为可信进程之后的操作 | 第83页 |
| ·功能测试 | 第83-87页 |
| ·测试已知恶意软件 | 第83-85页 |
| ·测试未知恶意软件 | 第85-86页 |
| ·实验结果分析 | 第86-87页 |
| ·本章小结 | 第87-88页 |
| 第五章 基于双缓存透明加解密过滤驱动系统关键技术的研究与实现 | 第88-111页 |
| ·系统结构 | 第88-91页 |
| ·问题的提出 | 第88-89页 |
| ·系统总体架构 | 第89-91页 |
| ·双缓存机制 | 第91-95页 |
| ·双缓存 | 第92页 |
| ·双缓存机制管理 | 第92-94页 |
| ·双缓存中密文处理流程 | 第94-95页 |
| ·文件透明加解密过滤驱动的结构及流程 | 第95-96页 |
| ·加解密文件信息的存储方法 | 第96-99页 |
| ·加解密标识 | 第96-97页 |
| ·加解密信息的存储方式 | 第97-98页 |
| ·透明加解密文件信息的存储和转化 | 第98-99页 |
| ·文件过滤驱动 | 第99-103页 |
| ·过滤 IRP_MJ_CREATE 类型的 IRP 请求 | 第99-101页 |
| ·过滤 IRP_MJ_READ 类型的 IRP 请求 | 第101-102页 |
| ·过滤 IRP_MJ_WRITE 类型的 IRP 请求 | 第102-103页 |
| ·IRP 的分组对齐 | 第103-104页 |
| ·分组对齐算法 | 第103页 |
| ·IRP 分组对齐的处理流程 | 第103-104页 |
| ·应用程序与驱动程序之间的通信 | 第104-105页 |
| ·加解密算法与进程-后缀访问控制 | 第105-106页 |
| ·系统性能分析与测试 | 第106-110页 |
| ·功能测试 | 第106-109页 |
| ·性能测试 | 第109-110页 |
| ·稳定性测试 | 第110页 |
| ·本章小结 | 第110-111页 |
| 第六章 总结和展望 | 第111-113页 |
| ·工作总结 | 第111-112页 |
| ·下一步的工作展望 | 第112-113页 |
| 参考文献 | 第113-120页 |
| 发表论文和科研情况说明 | 第120-122页 |
| 附录 1 事实模板和类的定义 | 第122-132页 |
| ·内存操作 | 第122页 |
| ·文件操作 | 第122-123页 |
| ·进程和线程操作 | 第123-124页 |
| ·注册表操作 | 第124-125页 |
| ·端口操作 | 第125页 |
| ·其它操作 | 第125-129页 |
| ·系统中重要对象类定义 | 第129-132页 |
| 附录 2 关键数据结构及函数 | 第132-140页 |
| 致谢 | 第140页 |
