| 目录 | 第1-6页 |
| 摘要 | 第6-7页 |
| Abstract | 第7-8页 |
| 第一章 引言 | 第8-10页 |
| ·研究背景 | 第8页 |
| ·论文研究内容 | 第8-9页 |
| ·论文结构安排 | 第9-10页 |
| 第二章 Windows rootkit概述 | 第10-16页 |
| ·Windows rootkit的定义 | 第10-12页 |
| ·Windows rootkit的分类 | 第12-13页 |
| ·Windows rootkit与普通木马的区别 | 第13-14页 |
| ·Windows rootkit与病毒的区别 | 第14-15页 |
| ·Windows rootkit与普通黑客程序的区别 | 第15-16页 |
| 第三章 Windows rootkit核心技术 | 第16-34页 |
| ·Windows相关概念介绍 | 第16-23页 |
| ·系统服务(System Service) | 第16页 |
| ·系统服务调度 | 第16-17页 |
| ·系统服务描述符表(SDT,Service Descriptor Table)、系统服务表(SST,System Service Table)、系统服务地址表(KiServiceTable) | 第17-20页 |
| ·INT 2Eh中断处理程序 | 第20-21页 |
| ·进程(Process)、线程(Thread) | 第21-22页 |
| ·挂钩(Hook)和钩子函数(Hook Function) | 第22页 |
| ·用户空间、内核空间 | 第22-23页 |
| ·内核修补(patch)技术 | 第23-30页 |
| ·更改函数执行路径 | 第23-29页 |
| ·修改内核数据结构 | 第29-30页 |
| ·动态装入技术 | 第30-33页 |
| ·使用SCM函数装入 | 第30-31页 |
| ·使用\device\physicalmemory方法 | 第31-32页 |
| ·使用SystemLoadAndCallImage系统调用 | 第32-33页 |
| ·通信隐藏技术 | 第33-34页 |
| 第四章 Windows rootkit现有检测方法 | 第34-47页 |
| ·隐藏进程检测 | 第34-39页 |
| ·Klister方法 | 第34-36页 |
| ·挂钩SwapContext方法 | 第36-39页 |
| ·挂钩函数检测 | 第39-42页 |
| ·VICE方法 | 第39-40页 |
| ·SDTrestore方法 | 第40-42页 |
| ·执行路径分析 | 第42-46页 |
| ·介绍 | 第42页 |
| ·执行路径分析 | 第42页 |
| ·指令计数的实现 | 第42-46页 |
| ·性能评价 | 第46页 |
| ·隐蔽通信检测 | 第46-47页 |
| 第五章 Windows rootkit实例分析 | 第47-58页 |
| ·Hacker Defender1.0.0 | 第47-49页 |
| ·介绍 | 第47页 |
| ·实现技术 | 第47-49页 |
| ·检测方法 | 第49页 |
| ·yyt_hac's Ntrootkit1.2.2 | 第49-51页 |
| ·介绍 | 第49-50页 |
| ·实现技术 | 第50-51页 |
| ·检测方法 | 第51页 |
| ·He4Hook | 第51-54页 |
| ·介绍 | 第51-52页 |
| ·重要技术 | 第52-53页 |
| ·检测方法 | 第53-54页 |
| ·Ntrootkit 0.4.4 | 第54-55页 |
| ·介绍 | 第54页 |
| ·实现技术 | 第54页 |
| ·检测方法 | 第54-55页 |
| ·Fu | 第55-56页 |
| ·介绍 | 第55页 |
| ·重要技术 | 第55页 |
| ·检测方法 | 第55-56页 |
| ·现有检测方法评述 | 第56-58页 |
| ·现有检测方法的缺点 | 第56-57页 |
| ·需要解决的问题 | 第57-58页 |
| 第六章 Windows rootkit内存完整性检测方法与应用 | 第58-74页 |
| ·总体设计方案 | 第59-60页 |
| ·检测用户地址空间 | 第60-66页 |
| ·代码区块完整性检测(CheckMem.dll) | 第60-62页 |
| ·输入地址表完整性检测(CheckIAT.dll) | 第62-66页 |
| ·检测内核地址空间 | 第66-72页 |
| ·系统服务地址表完整性检测(CheckSST.sys) | 第67-69页 |
| ·输出函数表完整性检测(CheckKET.sys) | 第69-71页 |
| ·其它内核地址空间的检测 | 第71-72页 |
| ·综合检测试验 | 第72-74页 |
| ·检测hxdef | 第72-73页 |
| ·检测He4Hook | 第73页 |
| ·检测Fu | 第73页 |
| ·总体评价 | 第73-74页 |
| 第七章 结束语 | 第74-76页 |
| ·工作总结 | 第74页 |
| ·进一步的工作 | 第74-76页 |
| 致谢 | 第76-78页 |
| 参考文献 | 第78-80页 |
| 附录 读研期间发表论文和科研经历 | 第80页 |
