基于Windows平台的Rootkit技术研究与应用
| 摘要 | 第1-4页 |
| ABSTRACT | 第4-8页 |
| 第一章 绪论 | 第8-12页 |
| ·Rootkit 简介 | 第8-9页 |
| ·Rootkit 发展历史 | 第9页 |
| ·Rootkit 的主要功能 | 第9-10页 |
| ·Rootkit 类型 | 第10-11页 |
| ·用户级Rootkit | 第10页 |
| ·内核级Rootkit | 第10-11页 |
| ·论文的组织结构 | 第11-12页 |
| 第二章 Rootkit 技术原理 | 第12-29页 |
| ·用户级Rootkit 技术原理 | 第12-19页 |
| ·DLL 基础 | 第12-14页 |
| ·函数指针 | 第14-15页 |
| ·实时进程数据注入技术 | 第15-19页 |
| ·内核级Rootkit 技术原理 | 第19-28页 |
| ·各类重要系统表 | 第19-22页 |
| ·PE 结构 | 第22-24页 |
| ·链表结构和相关函数 | 第24-26页 |
| ·构建Windows 设备驱动程序 | 第26-28页 |
| ·本章小结 | 第28-29页 |
| 第三章 Rootkit 核心技术 | 第29-45页 |
| ·用户级Rootkit 核心技术 | 第29-35页 |
| ·导出地址表重定向 | 第30-31页 |
| ·导入地址表重定向 | 第31-33页 |
| ·改写API 代码 | 第33-35页 |
| ·内核级Rootkit 核心技术 | 第35-44页 |
| ·IDT 表挂钩 | 第36-38页 |
| ·SSDT 表挂钩 | 第38-39页 |
| ·inline hook | 第39-41页 |
| ·过滤驱动技术 | 第41-42页 |
| ·修改内核对象技术 | 第42-44页 |
| ·本章小结 | 第44-45页 |
| 第四章 Rootkit 检测技术 | 第45-56页 |
| ·基于行为的Rootkit 检测技术 | 第45-51页 |
| ·检测IAT 钩子 | 第46-47页 |
| ·检测SSDT 钩子 | 第47-49页 |
| ·检测内联钩子 | 第49-50页 |
| ·检测IRP 处理程序钩子 | 第50-51页 |
| ·基于交叉视图的Rootkit 检测技术 | 第51-55页 |
| ·Klister 技术 | 第51-52页 |
| ·挂钩Swap Context 技术 | 第52-53页 |
| ·遍历句柄表技术 | 第53-54页 |
| ·直接内存搜索技术 | 第54-55页 |
| ·本章小结 | 第55-56页 |
| 第五章 基于SSDT 挂钩的Rootkit 应用 | 第56-70页 |
| ·SSDT 挂钩中的重要环节 | 第56-58页 |
| ·UNICODE_STRING 结构 | 第56页 |
| ·挂钩的查询类函数 | 第56-57页 |
| ·关于SSDT 表的细节 | 第57-58页 |
| ·功能隐藏的具体实现 | 第58-61页 |
| ·进程隐藏 | 第58-60页 |
| ·文件隐藏 | 第60页 |
| ·端口隐藏 | 第60-61页 |
| ·注册表键隐藏 | 第61页 |
| ·规避主动防御技术 | 第61-69页 |
| ·Windows 命令方法 | 第62-67页 |
| ·替换执行方式 | 第67-68页 |
| ·规避云查杀 | 第68-69页 |
| ·本章小结 | 第69-70页 |
| 第六章 结束语 | 第70-71页 |
| ·全文总结 | 第70页 |
| ·研究展望 | 第70-71页 |
| 参考文献 | 第71-73页 |
| 致谢 | 第73-74页 |
| 攻读学位期间发表的学术论文 | 第74页 |
| 攻读学位期间参与的科研项目 | 第74-76页 |
