文摘
英文文摘
声明
第1章绪 论
1.1网络安全现状
1.2安全的含义及目标
1.3传统的安全模型与技术
1.3.1传统的安全模型
1.3.2传统的安全技术
1.4 Rootkit相关介绍
1.4.1什么是Rootkit
1.4.2 Rootkit的工作原理
1.4.3 Rootkit 常用的进程隐藏技术
1.5主要研究内容及研究方案
第2章Rootkit检测技术与检测工具
2.1 Rootkit检测技术
2.1.1 Cross-view技术
2.1.2启发式的方法
2.1.3利用统计的方法
2.2典型Rootkit检测工具
2.2.1基于Gross-view的GhostBuster
2.2.2基于启发式的PatchFinder
2.3本章小结
第3章可执行路径分析的设计
3.1 EPA设计思想
3.2记录系统调用指令数
3.3 EPA的改进
3.4 EPA技术的不足
3.5本章小结
第4章EPA技术实现
4.1 EFLAGS寄存器
4.2 Windows系统中断和陷阱机制
4.2.1中断处理及其流程
4.2.2中断相关数据结构
4.2.3创建软件中断钩子
4.2.4指令计数的实现
4.3本章小结
第5章Rootkit检测子系统的设计与实现
5.1数据源
5.1.1文件系统函数
5.1.2进程与注册表相关函数
5.1.3系统服务与端口相关函数
5.2检测流程图
5.2.1预处理
5.2.2处理流程
5.2.3系统构架设计
5.2.4对部分模块改进
5.3系统实验与分析
5.3.1对典型服务指令数测试实验
5.3.2不同负载环境下进行测试
5.4本章小结
结 论
参考文献
附录
攻读硕士学位期间取得的研究成果
致 谢
北京工业大学;