| 摘要 | 第1-6页 |
| Abstract | 第6-12页 |
| 第1章 绪论 | 第12-17页 |
| ·课题研究背景及意义 | 第12-13页 |
| ·国内外研究现状 | 第13-15页 |
| ·本文的主要工作 | 第15-16页 |
| ·论文结构 | 第16-17页 |
| 第2章 ROOTKIT 的相关基础知识 | 第17-31页 |
| ·LINUX ROOTKIT 概述 | 第17-21页 |
| ·Rootkit 的定义 | 第17页 |
| ·Rootkit 的功能 | 第17-18页 |
| ·Rootkit 的攻击过程 | 第18页 |
| ·Rootkit 的分类 | 第18-21页 |
| ·系统调用的拦截 | 第21-24页 |
| ·系统调用的定义 | 第21-22页 |
| ·系统调用过程 | 第22-23页 |
| ·如何劫持系统调用 | 第23-24页 |
| ·可加载内核模块机制 | 第24-26页 |
| ·LKM 的概念 | 第25页 |
| ·LKM 的加载过程 | 第25-26页 |
| ·模块的隐藏 | 第26页 |
| ·LINUX 的虚拟文件系统 | 第26-30页 |
| ·虚拟文件系统机制 | 第26-27页 |
| ·虚拟文件系统的数据结构 | 第27-29页 |
| ·基于虚拟文件系统的rootkit | 第29-30页 |
| ·小结 | 第30-31页 |
| 第3章 LINUX ROOTKIT 现有的检测方法 | 第31-36页 |
| ·基于签名校验的检测 | 第31-32页 |
| ·特征库扫描检测法 | 第32页 |
| ·可执行路径分析(EPA) | 第32-33页 |
| ·符号执行分析 | 第33-34页 |
| ·数据完整性的检测 | 第34页 |
| ·虚拟机检测方法 | 第34-35页 |
| ·小结 | 第35-36页 |
| 第4章 一种基于内核栈分析的 ROOTKIT 检测算法 | 第36-52页 |
| ·控制流图完整性检测. | 第36-39页 |
| ·控制流图的构造算法 | 第37-38页 |
| ·存在问题 | 第38-39页 |
| ·VTPATH 模型的介绍 | 第39-41页 |
| ·调用栈的概念 | 第39页 |
| ·VtPath 模型的检测方法 | 第39-41页 |
| ·一种基于内核栈分析的 SCPATH 模型 | 第41-46页 |
| ·SCPath 模型的相关定义 | 第41页 |
| ·SCPath 模型的构造算法 | 第41-42页 |
| ·应用实例 | 第42-44页 |
| ·基于 SCPath 模型的挖掘算法 | 第44-46页 |
| ·算法实现及实验结果 | 第46-51页 |
| ·算法实现 | 第46-47页 |
| ·实验结果 | 第47-50页 |
| ·SCPath 模型的优点 | 第50-51页 |
| ·小结 | 第51-52页 |
| 第5章 一种基于差异分析的 ROOTKIT 检测方法与应用 | 第52-63页 |
| ·归纳 ROOTKIT 的内核特征 | 第52-54页 |
| ·修改系统调用表的rootkit | 第53页 |
| ·重定向系统调用表的rootkit | 第53-54页 |
| ·基于差异分析的检测系统的设计 | 第54-58页 |
| ·检测思想 | 第54-55页 |
| ·总体框架 | 第55页 |
| ·检测模块的设计 | 第55-57页 |
| ·恢复模块的设计 | 第57页 |
| ·控制模块的设计 | 第57-58页 |
| ·基于差异分析的检测系统的实现 | 第58-60页 |
| ·系统调用表的检测及恢复 | 第58-59页 |
| ·隐藏进程的检测及终止 | 第59页 |
| ·移除可疑文件 | 第59-60页 |
| ·堵塞可疑的网络流 | 第60页 |
| ·实验结果 | 第60-62页 |
| ·小结 | 第62-63页 |
| 结论 | 第63-65页 |
| 参考文献 | 第65-70页 |
| 致谢 | 第70-71页 |
| 附录 A 攻读学位期间所发表的学术论文目录 | 第71页 |
