文摘
英文文摘
第一章 绪论
1.1 研究背景
1.2 木马相关原理及其发展
1.2.1 木马功能分类
1.2.2 木马隐藏方式分析
1.2.3 木马技术的发展及趋势
1.3 Rootkit相关知识
1.3.1 Ring0与Ring3
1.3.2 Rootkit木马
1.4 本文的主要工作及章节安排
第二章 进程中注入DLL木马
2.1 DLL与木马
2.2 DLL与进程的地址空间
2.3 DLL模块的建立
2.4 DLL模块的加载
2.5 DLL注入方法
2.5.1 使用注册表注入DLL
2.5.2 使用Windows钩子注入DLL
2.5.3 使用特洛伊DLL来注入DLL
2.5.4 使用远程线程来注入DLL
2.6 DLL的执行顺序
2.7 DLL木马注入的实现及结果分析
2.8 本章小结
第三章 隐藏DLL模块
3.1 断开模块链表
3.2 断开模块链表的实现及结果分析
3.3 修改VAD隐藏模块
3.4 修改VAD的实现及结果分析
3.5 本章小结
第四章 隐藏DLL木马的宿主进程
4.1 Windows内存管理
4.1.1 物理内存地址和虚拟内存地址
4.1.2 用户模式地址和内核模式地址
4.1.3 内存保护
4.2 使用HOOK技术隐藏进程
4.2.1 内核函数系列
4.2.2 HOOK技术
4.2.3 用HOOK技术隐藏进程的实现及结果分析
4.3 使用DKOM技术隐藏进程
4.3.1 EPROCESS结构及其查找
4.3.2 从进程链表中摘除宿主进程
4.3.3 恢复进程至活动进程链表
4.3.4 用DKOM技术隐藏进程的实现及结果分析
4.4 隐藏托盘图标
4.5 本章小结
结论
致谢
参考文献
在读期间的研究成果
附录 A:EPROCESS结构
附录 B:TEB结构
附录 C:PEB结构