文摘
英文文摘
第1章 绪论
1.1 选题背景及意义
1.2 木马的概念与技术原理
1.3 木马的危害及分类
1.4 木马与其他攻击程序的区别
1.5 国内外反木马领域的研究现状
1.6 本人在论文中的工作
1.7 本文内容安排
第2章 木马实现技术与检测技术概述
2.1 木马实现技术分析
2.1.1 木马的植入技术
2.1.2 木马的加载与隐藏技术
2.1.3 木马信息获取技术
2.1.4 木马通信技术
2.1.5 木马的反清除技术
2.2 木马检测技术分析
2.2.1 防火墙技术
2.2.2 入侵检测技术
2.2.3 特征码技术
2.2.4 实时监控
2.2.5 虚拟机
2.2.6 启发式技术
2.2.7 沙箱技术
2.2.8 完整性检测
第3章 基于ROOTKIT的主流木马隐藏技术分析
3.1 WINDOWS相关概念介绍
3.1.1 系统服务(SYSTEM SERVICE)
3.1.2 系统服务调度
3.1.3 系统服务描述符表(SDT,Service Descriptor Table)、系统服务表(SST,System Service Table)、系统服务地址表(KiServiceTable)
3.1.4 INT 2Eh系统服务处理例程(System Service Handler)
3.1.5 进程(Process)、线程(Thread)
3.1.6 钩子的原理与概念
3.2 RoOTKIT技术原理分析
3.2.1 修改函数执行路径
3.2.2 修改内核数据结构
3.3 具体隐藏实现分析
3.3.1 进程隐藏
3.3.2 文件隐藏
3.3.3 注册表隐藏
3.3.4 TCP端口隐藏
第4章 木马的行为特征分析
4.1 行为分析方法的原理
4.2 行为特征分析
4.2.1 植入阶段
4.2.2 加载启动阶段
4.2.3 通信阶段
4.2.4 反清除阶段
4.3 行为分析的特点
4.4 行为分析与系统API
4.5 基于差异迭代分析的隐藏行为检测技术
4.5.1 不可信任系统信息获取
4.5.2 可信任系统信息获取
第5章 基于差异迭代技术的检测模型
5.1 ANTI RKU木马检测模型概述
5.2 总体设计
5.2.1 设计目标
5.2.2 总体框架
5.3 详细设计
5.3.1 进程管理实现
5.3.2 文件管理实现
5.3.3 SSDT检测实现
5.3.4 系统监控实现
5.4 关键技术介绍
5.4.1 设备驱动程序开发技术
5.4.2 内存管理机制
5.5 系统测试及结果分析
5.5.1 测试目的
5.5.2 测试环境
5.5.3 测试内容
5.5.4 测试结果
结论
参考文献
附录 攻读学位期间主要研究成果
致谢
湖南大学;