声明
摘要
1 绪论
1.1 研究背景和意义
1.2 国内外研究现状
1.3 研究内容
1.4 论文的组织结构
2 相关理论与技术基础
2.1 WDM简介
2.2 文件系统驱动
2.2.1 文件系统驱动概念
2.2.2 文件系统驱动工作原理
2.3 过滤驱动
2.3.1 过滤驱动概念
2.3.2 过滤驱动工作过程
2.4 文件系统过滤驱动
2.4.1 文件系统过滤驱动的工作原理
2.4.2 文件系统过滤驱动的应用
2.5 本章小结
3 文件操作监控主要方法分析与比较
3.1 基于Windows API的方法
3.1.1 实现原理
3.1.2 存在的优缺点
3.2 基于API HOOK的方法
3.2.1 实现原理
3.2.2 存在的优缺点
3.3 基于中间层驱动程序的方法
3.3.1 实现原理
3.3.2 存在的优缺点
3.4 几种识别方法的对比分析
3.5 本章小结
4 特征IRP序列提取与分析
4.1 I/O请求包
4.1.1 I/O请求包的结构
4.1.2 IRP的层次传递结构
4.1.3 IRP的处理过程
4.2 特征IRP序列的提取
4.2.1 特征IRP序列
4.2.2 特征IRP序列的提取过程
4.3 特征IRP序列的整合及异步处理
4.3.1 特征IRP序列的整合
4.3.2 特征IRP序列的异步处理
4.4 驱动程序与应用程序之间的通信
4.5 本章小结
5 文件操作识别方法
5.1 特征IRP字母序列
5.1.1 特征IRP字母序列的生
5.1.2 特征IRP字母序列与文件操作的对应关系
5.2 特征IRP字母序列的匹配算法
5.2.1 模式匹配概述
5.2.2 特征IRP字母序列的匹配
5.3 实验结果与分析
5.3.1 实验步骤
5.3.2 实验结果
5.3.3 实验结果分析
5.4 本章小结
6 总结与展望
6.1 研究总结
6.2 研究展望
致谢
参考文献
南京理工大学;