文摘
英文文摘
论文说明:图表目录
声明
第一章引言
1.1. 研究背景
1.2. 论文研究内容
1.3. 论文组织
第二章Windows RootKit简介
2.1. 什么是Windows RootKit
2.2. Windows RootKit产生的原因
2.3. Windows RootKit的攻击原理
2.4. RootKit的发展和研究现状
2.5. Windovs RootKit的分类
第三章Windows RtootKit常用核心技术
3.1. Windows相关概念与原理
3.1.1. Windows系统的内存空间
3.1.2. 系统服务(System Service)
3.1.3. 系统服务的调用
3.1.4. 系统服务描述符表(ServiceDescriptorTable,SDT)
3.1.5. 进程与线程
3.1.6. 驱动程序
3.2. 挂钩技术
3.3. 内核修补技术
3.3.1. 内核代码补丁
3.3.2. 直接内核对象修改
3.4. 用户空间动态注入技术
3.5. 内核模块动态加载技术
3.5.1. 注册表加载
3.5.2. SystemLoadAndCallImage加载
3.5.3. \Device\PhysicalMemory加载
第四章WindOWS RootKit现有检测技术和方法
4.1. 交叉观测检测
4.2. 静态表检测
4.3. 执行路径检测
4.3.1. 执行路径分析
4.3.2. 指令记数的实现
4.4. 完整性检测
4.4.1. 文件完整性检测
4.4.2. 内存完整性检测
4.5. 指令跳转分析检测
4.6. 隐藏进程检测
4.6.1. 检索调度程序(scheduler)中的线程列表
4.6.2. 挂钩SwapContext内核函数
第五章Windows RootKit实例和检测工具的分析
5.1. Windows RootKit实例
5.1.1.Hacker Defender
5.1.2. 灰鸽子
5.1.3. Agony RingO RootKit
5.1.4. Ntrootkit
5.1.5.FU
5.1.6. Windows RootKit总结
5.2. Windows RootKit检测工具
5.2.1. 基于签名的检测工具
5.2.2. 基于行为的检测工具
5.2.3. 基于交叉观察的检测
5.2.4. 基于完整性的检测
5.2.5. 关于检测方法的思考
第六章Windows RootKit安全监测系统的设计与实现
6.1. 总体设计方案
6.2. 采集校验码检查数据的完整性
6.3. 用户空间检测
6.3.1. 系统文件完整性检测
6.3.2. 代码区完整性检测
6.3.3. 输入地址表修改检测
6.4. 内核空间检测
6.4.1. 内核空间与用户空间的通信
6.4.2. 隐藏进程检测
6.4.3. 系统服务调度表挂钩检测
6.4.4. 内联挂钩检测
6.4.5. 特定驱动的IRP检测
6.5. 监控Windows RootKit
6.5.1. 监控文件系统
6.5.2. 监控用户空间的代码动态注入
6.5.3. 监控内核的动态加载
6.6. 保护Anti-RootKit
6.6.1. Anti-RootKit模块文件完整性保护
6.6.2. 隐藏Anti-RootKit模块
6.7. 综合试验
6.7.1. 测试实验
6.7.2. 总体评价
第七章结论
7.1. 本文工作总结
7.2. 进一步研究工作
致谢
参考文献
在学期间的研究成果
电子科技大学;
