声明
摘要
第一章 绪论
第一节 课题背景和研究意义
第二节 当前主流隐藏技术的发展现状
第三节 本文研究的内容
第四节 本文的结构和组织
第二章 Windows系统简述
第一节 Windows系统的体系综述
2.1.1 Windows系统基本体系结构
2.1.2 win32子系统
2.1.3 Windows动态链接库技术
第二节 Windows系统内部管理机制
2.2.1 内存地址分配机制
2.2.2 用户模式和内核模式
2.2.3 Windows内核对象管理
2.2.4 Windows系统服务
第三节 Windows PE文件结构概述
2.3.1 PE头部
2.3.2 导入表结构分析
2.3.3 导出表结构分析
2.3.4 动态调用技术
第四节 本章小结
第三章 检测分析工具的技术原理
第一节 用户态进程隐藏技术
3.1.1 基于远程线程注入隐藏
3.1.2 基于动态链接库的代码注入
3.1.3 基于Hook技术的隐藏技术
第二节 基于内核数据结构隐藏技术
3.2.1 SSDT Hook技术
3.2.2 Inline Hook SSDT
3.2.3 直接内核对象操作
3.2.4 内核对象搜索
第三节 基于线程调度的进程枚举方法
第四节 基于PspCidTable结构的进程枚举
3.4.1 遍历PspCidTable结构
3.4.2 PsLookupProcessByProcessId嗅探查询
第五节 本章小结
第四章 检测分析工具的设计与实现
第一节 检测分析工具的总体思路与设计
第二节 用户态检测模块
4.2.1 IAT Hook检测模块
4.2.2 基于系统调用检测模块
4.2.3 基于JMP跳转监视模块
第三节 内核态隐藏检测模块
4.3.1 SSDT Hook检测模块
4.3.2 EPROCESS链表遍历模块
4.3.3 内核对象搜索模块
第四节 基于PspCidTable结构的检测模块
4.4.1 系统句柄表遍历模块
4.4.2 PsLookupProcessByProcessId嗅探模块
第五节 本章小结
第五章 实验结果与分析
第一节 跳转地址监视方法有效性测试
第二节 检测分析工具功能测试
第三节 本章小结
第六章 总结与展望
参考文献
致谢
个人简历