| 摘要 | 第5-6页 |
| ABSTRACT | 第6-7页 |
| 目录 | 第8-10页 |
| 第一章 绪论 | 第10-15页 |
| 1.1 选题的依据和意义 | 第10-11页 |
| 1.2 Rootkit 概述与背景 | 第11-12页 |
| 1.2.1 Rookit 的概念 | 第11页 |
| 1.2.2 Rootkit 起源 | 第11页 |
| 1.2.3 Rookit 检测研究的方法和手段 | 第11-12页 |
| 1.3 国内外研究现状 | 第12-13页 |
| 1.4 本文的主要工作 | 第13-14页 |
| 1.5 论文的组织结构 | 第14-15页 |
| 第二章 Rootkit 检测的技术研究 | 第15-27页 |
| 2.1 UserMode Rootkit 技术 | 第15-19页 |
| 2.2 DKOM--基于链数据结构的 Rootkit 技术 | 第19-20页 |
| 2.3 DKOM--基于 Table 数据结构的 Rootkit 技术 | 第20-21页 |
| 2.4 基于 KernelMode hook 的 Rootkit 技术 | 第21-25页 |
| 2.5 基于标准驱动模型的 Rootkit 技术 | 第25页 |
| 2.6 本章小结 | 第25-27页 |
| 第三章 Rootkit 检测的总体设计 | 第27-35页 |
| 3.1 Multi-way based 检测思想的需求与其实现考虑 | 第27-32页 |
| 3.1.1 基于单一检测方法的工具与薄弱性 | 第27-28页 |
| 3.1.2 Muti-way based 的概念 | 第28-31页 |
| 3.1.3 Muti-way based 的实现考虑 | 第31-32页 |
| 3.2 Rootkit 检测的方案设计思路 | 第32-33页 |
| 3.3 本文的总体检测技术方案 | 第33-34页 |
| 3.4 本章小结 | 第34-35页 |
| 第四章 Rootkit 检测技术的研究与实现 | 第35-73页 |
| 4.1 Rootkit 易失性数据检测的研究与实现 | 第35-58页 |
| 4.1.1 易失性数据检测的技术细化框架 | 第35-36页 |
| 4.1.2 Rootkit 检测方案进程分支的研究与实现 | 第36-53页 |
| 4.1.3 Rootkit 检测方案驱动分支的研究与实现 | 第53-54页 |
| 4.1.4 Rootkit 检测方案端口分支的研究与实现 | 第54-58页 |
| 4.2 Rootkit 非易失性数据检测的研究与实现 | 第58-72页 |
| 4.2.1 非易失性数据检测的技术细化框架 | 第58-59页 |
| 4.2.2 Rootkit 检测方案文件分支的研究与实现 | 第59-66页 |
| 4.2.3 Rootkit 检测方案注册表分支的研究与实现 | 第66-72页 |
| 4.3 本章小结 | 第72-73页 |
| 第五章 Rootkit 检测原型的测试与分析 | 第73-77页 |
| 5.1 本文 Rootkit 检测原型的功能构成与运行截图 | 第73-74页 |
| 5.2 Rootkit 检测原型的测试结果 | 第74-76页 |
| 5.3 Rootkit 检测原型的测试结果分析 | 第76页 |
| 5.4 本章小结 | 第76-77页 |
| 第六章 结论 | 第77-79页 |
| 6.1 选题背景与意义 | 第77页 |
| 6.2 本文工作与特色 | 第77页 |
| 6.3 下一步工作 | 第77-79页 |
| 致谢 | 第79-80页 |
| 参考文献 | 第80-83页 |
