文摘
英文文摘
论文说明:缩略语对照表
声明
第一章绪论
1.1进程行为监控技术的发展
1.2论文研究内容
1.3论文结构安排
第二章进程行为监控系统概述
2.1什么是进程
2.2什么是进程行为
2.3当前主流的进程行为监控工具
2.3.1文件操作监控
2.3.2进程操作监控
2.3.3注册表操作监控
2.3.4API监控
2.4本章小结
第三章WindowsXP内核研究
3.1内核框架
3.1.1 Ring的概念
3.1.2内核框架
3.1.3API的封装和系统服务表
3.2内存管理
3.2.1PDE/PTE二级管理结构
3.2.2Copy-On-Write
3.2.3VAD
3.3进程管理
3.3.1Windows创建进程的流程
3.3.2如何在目标进程中执行代码
3.4 Windows PE文件结构
3.4.1基本结构
3.4.2导入地址表
3.5本章小结
第四章当前主流进程行为监控技术的研究
4.1Ring3 IAT Hook
4.2Ring3 API Hook
4.3调试API
4.4SSDT Hook
4.5RingO API Hook
4.6SYSENTE Hook
4.7Driver I/O Dispatcher Hook
4.8 Layer Driver
4.9本章小结
第五章基于APC和SystemCall替换的进程行为监控系统的实现
5.1APC和SystemCall替换的基本原理
5.1.1选择监控目标进程的关键挂钩点
5.1.2Systcm Call Hook的实现
5.1.3如何在目标进程中加载监控代码
5.2监控功能模块mon.dll的设计
5.2.1定位SharexlUscrData.SystemCallStub的地址
5.2.2修改关键系统指针
5.2.3监控处理函数
5.3内核驱动程序mon.sys的设计
5.3.1创建内核设备、驱动对象
5.3.2初始化驱动对象IRP分派函数表
5.3.3IRP_MJ_CREATE和IRP_MJ_CLOSE分派例程的实现
5.3.4DrivcrUnload例程的实现
5.3.5RP_MJ_DEVICE_CONTROL的分派过程
5.3.6修改内存PTE属性子程序的实现
5.4主监控程序run.exe的设计
5.4.1创建CREATE_SUSPENDED状态的监控进程
5.4.2加载内核驱动程序mon.sys
5.4.3计算虚拟地址的PTE
5.4.4修改内存页属性
5.4.5向目标进程注册APC例程以加载mon.dll
5.4.6恢复进程触发APC
5.4.7显示监控数据
5.4.8退出时停止监控
5.5本章小结
第六章结论
参考文献
致谢
北京邮电大学;
