Win32平台下对抗HIPS技术的研究与实现

摘要	第3-5页
ABSTRACT	第5-6页
第一章引言	第10-15页
1.1 背景	第10页
1.2 HIPS 的定义	第10-11页
1.3 HIPS 与传统反病毒软件的区别	第11页
1.4 HIPS 的类型	第11-12页
1.4.1 典型HIPS 机制	第11-12页
1.4.2 特殊HIPS 机制	第12页
1.5 HIPS 的系统结构	第12-13页
1.6 本文的组织结构	第13-15页
第二章 HIPS 的底层工作机制和原理	第15-23页
2.1 环0 级、环3 级	第15-16页
2.2 系统服务调用表	第16-17页
2.3 系统服务分发过程	第17-20页
2.3.1 传统系统调用	第17-18页
2.3.2 快速系统调用	第18-20页
2.4 中断处理机制	第20-22页
2.5 本章小结	第22-23页
第三章显式对抗HIPS 机制	第23-35页
3.1 进程的打开和结束	第23-24页
3.2 AD 防御体系的单级进程守护	第24-27页
3.2.1 单级进程守护原理	第25页
3.2.2 破解360 安全卫士单级进程守护	第25-26页
3.2.3 实验结果	第26-27页
3.3 AD 防御体系的两级进程守护	第27-32页
3.3.1 恢复SSDT	第28-29页
3.3.2 截获新进程生成的消息	第29-30页
3.3.3 PspTerminateThreadByPointer 函数的查找	第30-31页
3.3.4 实验结果	第31-32页
3.4 利用安全软件本身的各种缺陷	第32-34页
3.4.1 江民软件程序扩展名缺陷	第32-33页
3.4.2 manifest 资源配置文件缺陷	第33-34页
3.5 本章小结	第34-35页
第四章隐式对抗HIPS 机制	第35-56页
4.1 利用Shadow SSDT 实现用户层木马模块	第35-38页
4.1.1 Shadow SSDT 的查找及恢复	第35-36页
4.1.2 常见木马模块——用户层键盘记录的实验	第36-38页
4.2 利用过滤驱动机制实现隐式对抗	第38-39页
4.2.1 过滤驱动机制	第38页
4.2.2 键盘过滤驱动实现机制	第38-39页
4.3 利用底层未导出函数实现隐式对抗	第39-44页
4.3.1 键盘过滤驱动的不足	第40页
4.3.2 键盘驱动的消息传送机制	第40-41页
4.3.3 inline hook 回调函数实现键盘记录	第41-43页
4.3.4 Shadow SSDT 与未导出函数两种技术的结合	第43-44页
4.4 驱动加载守护技术	第44-55页
4.4.1 常规驱动安装手段	第45页
4.4.2 两级驱动加载突破安全软件	第45-48页
4.4.3 发送窗口消息绕过驱动加载监控	第48-51页
4.4.4 利用可信任驱动绕过驱动加载监控	第51-53页
4.4.5 利用混音驱动绕过驱动加载监控	第53-55页
4.5 本章小结	第55-56页
第五章 HIPS 的改进技术研究	第56-67页
5.1 SSDT 监控的改进	第56-61页
5.1.1 inline hook 技术	第56-58页
5.1.2 sysenter Hook 技术	第58页
5.1.3 多级hook 技术	第58-59页
5.1.4 多类hook 技术	第59-60页
5.1.5 deep hook 技术	第60-61页
5.2 驱动加载监控的改进	第61-64页
5.2.1 常规驱动加载监控	第61页
5.2.2 两级驱动加载监控	第61-62页
5.2.3 窗口机制的保护	第62页
5.2.4 可信任驱动的保护	第62-64页
5.3 FD 防御体系的加强	第64-65页
5.3.1 FD 防御系统的重要性	第64页
5.3.2 FD 防御系统的改进	第64-65页
5.4 多种技术结合加强HIPS	第65-66页
5.5 本章小结	第66-67页
第六章总结和展望	第67-69页
6.1 本文工作总结	第67-68页
6.2 研究展望	第68-69页
参考文献	第69-72页
致谢	第72-73页
攻读学位期间发表的学术论文	第73-76页
上海交通大学硕士学位论文答辩决议书	第76页