| 摘要 | 第1-5页 |
| Abstract | 第5-7页 |
| 目录 | 第7-9页 |
| 第1章 绪论 | 第9-12页 |
| ·研究背景 | 第9页 |
| ·ROOTKIT 的产生和发展 | 第9-10页 |
| ·现存问题及研究意义 | 第10-11页 |
| ·本文主要工作 | 第11-12页 |
| 第2章 ROOTKIT 技术的原理 | 第12-20页 |
| ·环 0 级 | 第12页 |
| ·WINDOWS 内核结构 | 第12-14页 |
| ·用户模式组件 | 第13-14页 |
| ·NT核模式组件 | 第14页 |
| ·CPU 和系统表 | 第14-15页 |
| ·Global Descriptor Table,GDT(全局描述符表) | 第14-15页 |
| ·Local Descriptor Table,LDT(本地描述符表) | 第15页 |
| ·Page Directory(页目录) | 第15页 |
| ·Interrupt Descriptor Table,IDT(中断描述符表) | 第15页 |
| ·System Service Dispatch Table,SSDT(系统服务调用表) | 第15页 |
| ·文件系统 | 第15-17页 |
| ·FAT(File Allocation Table)文件系统 | 第16页 |
| ·NTFS (New Technology File System)文件系统 | 第16-17页 |
| ·网络系统 | 第17-19页 |
| ·TDI编程规范 | 第17页 |
| ·NDIS编程规范 | 第17-18页 |
| ·NT系统网络结构 | 第18-19页 |
| ·Windows设备驱动程序 | 第19-20页 |
| 第3章 ROOTKIT 技术实践 | 第20-25页 |
| ·挂钩 SSDT 技术 | 第20-22页 |
| ·调用内核机制解析 | 第20-21页 |
| ·SSDT内核挂钩调用和进程隐藏 | 第21-22页 |
| ·内核挂钩调用结果 | 第22页 |
| ·IDT(INTERRUPT DESCRIPTOR TABLE) 挂钩技术 | 第22-25页 |
| ·IDT机制概述 | 第22页 |
| ·IDT结构解析 | 第22-23页 |
| ·IDT 地址获取 | 第23-25页 |
| 第4章 SCDETECTIVE 功能实现 | 第25-48页 |
| ·操作系统以及环境架构 | 第25-27页 |
| ·操作系统 | 第25-26页 |
| ·编程环境 | 第26-27页 |
| ·底层驱动编写 | 第27-31页 |
| ·KerHook、SSDT、IDT 驱动文档结构图 | 第27页 |
| ·XDE反汇编引擎的引用 | 第27页 |
| ·驱动系统函数定义 | 第27-29页 |
| ·SSDT、IDT、ShadowSSDT 检测以及恢复驱动层定义 | 第29-31页 |
| ·驱动入口功能实现 | 第31页 |
| ·KERNEL HOOK、IDT、SSDT 和 SSDT SHADOW 检测与恢复模块 | 第31-37页 |
| ·Kernel Hook 检测与恢复 | 第31-32页 |
| ·SSDT、SSDT Shadow 检测与恢复 | 第32-36页 |
| ·IDT检测与恢复 | 第36-37页 |
| ·内核钩子检测与修复 | 第37-40页 |
| ·驱动检测功能的实现 | 第40-42页 |
| ·进程检测功能实现 | 第42-44页 |
| ·ActiveProcessLinks枚举进程 | 第42-43页 |
| ·通过 Handletablelisthead 枚举进程 | 第43页 |
| ·通过 csrss 的 handletable 枚举进程 | 第43-44页 |
| ·文件解析及操作功能 | 第44-48页 |
| ·生成控制设备卷和控制设备 | 第44页 |
| ·解析与操作功能实现 | 第44-46页 |
| ·创建回调函数 | 第46-48页 |
| 第5章 总结与展望 | 第48-50页 |
| ·本文总结 | 第48页 |
| ·SCDETECTIVE 软件存在的不足 | 第48-49页 |
| ·下一步研究方向 | 第49-50页 |
| 参考文献 | 第50-51页 |
| 作者简介及在学期间所取得的科研成果 | 第51-52页 |
| 致谢 | 第52页 |
