DLL木马隐藏技术研究
| 摘要 | 第1-4页 |
| Abstract | 第4-7页 |
| 第一章 绪论 | 第7-15页 |
| ·研究背景 | 第7页 |
| ·木马相关原理及其发展 | 第7-11页 |
| ·木马功能分类 | 第8页 |
| ·木马隐藏方式分析 | 第8-10页 |
| ·木马技术的发展及趋势 | 第10-11页 |
| ·Rootkit 相关知识 | 第11-13页 |
| ·Ring0 与Ring3 | 第11-12页 |
| ·Rootkit 木马 | 第12-13页 |
| ·本文的主要工作及章节安排 | 第13-15页 |
| 第二章 进程中注入DLL 木马 | 第15-29页 |
| ·DLL 与木马 | 第15页 |
| ·DLL 与进程的地址空间 | 第15-16页 |
| ·DLL 模块的建立 | 第16页 |
| ·DLL 模块的加载 | 第16-17页 |
| ·DLL 注入方法 | 第17-22页 |
| ·使用注册表注入DLL | 第17-19页 |
| ·使用Windows 钩子注入DLL | 第19-20页 |
| ·使用特洛伊DLL 来注入DLL | 第20页 |
| ·使用远程线程来注入DLL | 第20-22页 |
| ·DLL 的执行顺序 | 第22-23页 |
| ·DLL 木马注入的实现及结果分析 | 第23-27页 |
| ·本章小结 | 第27-29页 |
| 第三章 隐藏DLL 模块 | 第29-43页 |
| ·断开模块链表 | 第29-31页 |
| ·断开模块链表的实现及结果分析 | 第31-35页 |
| ·修改VAD 隐藏模块 | 第35-37页 |
| ·修改VAD 的实现及结果分析 | 第37-41页 |
| ·本章小结 | 第41-43页 |
| 第四章 隐藏DLL 木马的宿主进程 | 第43-68页 |
| ·Windows 内存管理 | 第43-46页 |
| ·物理内存地址和虚拟内存地址 | 第43-44页 |
| ·用户模式地址和内核模式地址 | 第44-45页 |
| ·内存保护 | 第45-46页 |
| ·使用HOOK 技术隐藏进程 | 第46-55页 |
| ·内核函数系列 | 第47-48页 |
| ·HOOK 技术 | 第48-49页 |
| ·用HOOK 技术隐藏进程的实现及结果分析 | 第49-55页 |
| ·使用DKOM 技术隐藏进程 | 第55-65页 |
| ·EPROCESS 结构及其查找 | 第56-57页 |
| ·从进程链表中摘除宿主进程 | 第57-58页 |
| ·恢复进程至活动进程链表 | 第58-59页 |
| ·用DKOM 技术隐藏进程的实现及结果分析 | 第59-65页 |
| ·隐藏托盘图标 | 第65-67页 |
| ·本章小结 | 第67-68页 |
| 结论 | 第68-69页 |
| 致谢 | 第69-70页 |
| 参考文献 | 第70-72页 |
| 在读期间的研究成果 | 第72-73页 |
| 附录A:EPROCESS 结构 | 第73-77页 |
| 附录B:TEB 结构 | 第77-79页 |
| 附录C:PEB 结构 | 第79-81页 |
