| 表目录 | 第1-8页 |
| 图目录 | 第8-9页 |
| 摘要 | 第9-10页 |
| ABSTRACT | 第10-11页 |
| 第一章 绪论 | 第11-14页 |
| ·研究背景 | 第11-12页 |
| ·研究的主要内容 | 第12页 |
| ·论文的组织结构 | 第12-14页 |
| 第二章 Windows rootkit概述和核心技术 | 第14-29页 |
| ·Windows rootkit概述 | 第14-15页 |
| ·Windows rootkit的定义 | 第14页 |
| ·Windows rootkit与其它恶意代码的区别 | 第14-15页 |
| ·Windows rootkit的分类 | 第15页 |
| ·Windows rootkit的危害 | 第15页 |
| ·Windows相关概念概述 | 第15-20页 |
| ·用户空间、内核空间 | 第15-16页 |
| ·进程和线程 | 第16页 |
| ·系统服务 | 第16-19页 |
| ·INT 2Eh中断处理程序 | 第19-20页 |
| ·钩挂和钩挂函数 | 第20页 |
| ·Windows用户模式rootkit使用技术 | 第20-22页 |
| ·钩挂输入地址表 | 第20-21页 |
| ·替换文件 | 第21页 |
| ·修改原始代码 | 第21-22页 |
| ·Windows内核模式rootkit使用技术 | 第22-26页 |
| ·内核级钩挂 | 第22-25页 |
| ·修改内核代码 | 第25页 |
| ·修改内核数据结构 | 第25-26页 |
| ·Windows rootkit其他常用技术 | 第26-28页 |
| ·通信隐藏技术 | 第26页 |
| ·动态装入技术 | 第26-28页 |
| ·攻击性rootkit技术 | 第28页 |
| ·小结 | 第28-29页 |
| 第三章 Windows rootkit已有检测方法 | 第29-34页 |
| ·检测隐藏进程 | 第29-30页 |
| ·Klister方法 | 第29-30页 |
| ·钩挂函数方法 | 第30页 |
| ·检测钩挂函数 | 第30-31页 |
| ·VICE方法 | 第30页 |
| ·SDTRestore方法 | 第30-31页 |
| ·执行路径分析 | 第31-32页 |
| ·检测隐蔽通信 | 第32页 |
| ·内存完整性检测方法 | 第32页 |
| ·各种检测方法评述 | 第32-33页 |
| ·小结 | 第33-34页 |
| 第四章 网络主动防御系统中的rootkit防御系统的设计与实现 | 第34-52页 |
| ·设计思想 | 第34页 |
| ·设计目标 | 第34-35页 |
| ·系统体系结构 | 第35页 |
| ·各系统模块具体实现 | 第35-52页 |
| ·驱动加载阻止模块 | 第35-36页 |
| ·检测隐藏进程 | 第36-45页 |
| ·检测钩挂 | 第45-48页 |
| ·检测隐藏服务 | 第48-52页 |
| 第五章 个人防火墙的发展现状和实现技术 | 第52-59页 |
| ·个人防火墙的概念 | 第52-53页 |
| ·个人防火墙技术的发展现状和发展趋势 | 第53页 |
| ·个人防火墙的实现技术 | 第53-58页 |
| ·用户模式下的数据包拦截技术 | 第54-55页 |
| ·内核模式下的数据包拦截技术 | 第55-58页 |
| ·小结 | 第58-59页 |
| 第六章 个人防火墙系统的设计与实现 | 第59-70页 |
| ·DFW系统设计思想和设计目标 | 第59-60页 |
| ·DFW系统的总体设计 | 第60-61页 |
| ·DFW系统具体实现 | 第61-69页 |
| ·主模块的实现 | 第61页 |
| ·应用程序网络访问控制模块的实现 | 第61-66页 |
| ·网络数据包拦截与过滤模块的实现 | 第66-69页 |
| ·小结 | 第69-70页 |
| 第七章 系统测试 | 第70-76页 |
| ·测试环境 | 第70页 |
| ·WinRKAD系统测试环境 | 第70页 |
| ·DFW系统测试环境 | 第70页 |
| ·系统测试 | 第70-75页 |
| ·WinRKAD系统测试 | 第70-72页 |
| ·DFW系统测试 | 第72-75页 |
| ·小结 | 第75-76页 |
| 结束语 | 第76-78页 |
| 参考文献 | 第78-80页 |
| 作者简历 攻读硕士学位期间完成的主要工作 | 第80-81页 |
| 致谢 | 第81页 |
