学位论文 > 优秀研究生学位论文题录展示

Windows内核级木马架构模型的改进与实现

作 者: 冯先强
导 师: 江荣安
学 校: 大连理工大学
专 业: 计算机应用技术
关键词: 内核级木马 内核Rootkit 木马架构模型 轻量型隐藏模块 纯内核
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 164次
引 用: 1次
阅 读: 论文下载
 

内容摘要


特洛伊木马作为一种网络安全中的技术,被人们广泛的应用与远程控制、网络攻防等领域中。然而,随着安全技术的不断发展,安全软件的检测能力越来越强大,大大压缩了木马的生存空间。内核Rootkit技术作为一种新型的隐藏技术,以其强大的破坏性和隐蔽性,越来越多的受到人们的关注和研究。内核级木马是一种与内核Rootkit技术相结合的特洛伊木马。内核Rootkit通过修改内核重要的数据结构,来实现对整个木马的隐藏。由于内核Rootkit处于系统的底层,安全软件很难对其进行查杀,从而保证了整个木马具有很高的隐蔽性。内核级木马是未来木马发展的趋势。传统架构下的内核级木马采用应用层和内核层相结合的方式。负责隐藏整个木马的隐藏模块采用内核级Rootkit技术实现,而具体完成用户期望功能的模块则是在用户层来实现。这样的优点是实现起来比较容易,系统比较稳定。然而随着安全件检测技术的不断发展,各种新的检测方法不断出现,使得这种混合性的内核级木马越来越容易被检测出来。具体来说,计算机中客体的存在是以其属性来表现出来的,决定木马属性的功能实现主要是在用户层,导致木马整体的敏感属性完全暴露于位于更底层的安全软件。从而需要内核隐藏模块通过修改大量的内核数据结构来实现相关属性的隐藏,导致隐藏模块的体积过大,造成比较大的噪声。这样即使隐藏模块位于较底层也很容易被安全软件检测出来。基于以上分析,本文针对传统内核木马架构模型中隐藏模块体积过大导致容易被安全软件检测的缺陷,对其进行了改进,提出了一种轻量型隐藏模块的纯内核级木马架构模型。该架构中,所有的模块均在内核层来实现,与安全软件位于同一层甚至低于安全软件,这样大大减少了暴露给安全软件的属性,从而简化了子隐藏模块之间的协作关系,使得隐藏模块只需较少的修改系统内核结构就可以完成木马整体的隐藏,大大提高了整个木马的隐蔽性。最后,为了证明改进后架构模型的有效性和高隐蔽性,本文实现了一个基于该架构的内核级木马,并与传统架构下的内核级木马进行了实验对比,结果证明了该架构模型的有效性和高隐蔽性。

全文目录


摘要  4-5
Abstract  5-8
1 绪论  8-12
  1.1 研究背景及意义  8
  1.2 国内外研究现状  8-9
  1.3 目前存在的问题  9-10
  1.4 论文主要工作  10-11
  1.5 论文结构  11-12
2 内核Rootkit技术研究  12-21
  2.1 内核API挂接隐藏  12-17
    2.1.1 监控Native API调用  13-15
    2.1.2 挂接中断向量描述符表  15-17
  2.2 直接内核对象操作  17-19
  2.3 过滤驱动技术  19-21
3 木马协同隐藏技术  21-27
  3.1 Harold Thimble木马模型简介  21-23
  3.2 木马协同隐藏的形式化描述  23-27
    3.2.1 主从型隐藏  23-24
    3.2.2 互助型隐藏  24-25
    3.2.3 复合型隐藏  25-27
4 架构模型的改进  27-34
  4.1 内核级木马功能结构  27-28
  4.2 传统内核级木马架构  28-30
  4.3 改进后的架构模型  30-34
5 改进后框架模型的设计与实现  34-52
  5.1 需求分析  34-36
    5.1.1 开发背景与目的  34
    5.1.2 功能需求  34-35
    5.1.3 性能需求  35-36
    5.1.4 接口需求  36
  5.2 概要设计  36-38
  5.3 详细设计  38-46
    5.3.1 服务器端的详细设计  38-45
    5.3.2 客户端的详细设计  45-46
  5.4 系统实现  46-50
    5.4.1 开发平台  46
    5.4.2 关键模块实现思路  46-48
    5.4.3 系统界面的展示  48-50
  5.5 系统测试  50-52
结论  52-53
参考文献  53-55
攻读硕士学位期间发表学术论文情况  55-56
致谢  56-58

相似论文

  1. 基于Linux内核的Rootkit研究,TP316.81
  2. Linux下内核级Rootkit检测防护机制的研究,TP316.81
  3. 基于硬件虚拟化技术的内存保护研究,TP333.1
  4. Windows内核安全机制中进程多点联合隐藏技术研究,TP309
  5. 基于主动方式的恶意代码检测技术研究,TP393.08
  6. 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
  7. 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
  8. 基于比对技术的非法网站探测系统的实现与研究,TP393.08
  9. 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
  10. 几个电子现金支付方案的分析与改进,TP393.08
  11. 基于USBKey认证的安全网络硬盘系统的设计与实现,TP393.08
  12. 基于VoIP的DDoS攻击源追踪技术的研究,TP393.08
  13. 基于投影寻踪回归的网络异常检测机制研究,TP393.08
  14. 多策略支持下的策略冲突检测与消解研究,TP393.08
  15. 嵌入式Web系统安全性的研究与实现,TP393.08
  16. 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
  17. 基于硬件防火墙的辅助管理系统服务器设计与实现,TP393.08
  18. 终端可信接入与远程证明技术研究,TP393.08
  19. 基于人工免疫的病毒检测技术研究,TP393.08
  20. 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
  21. 移动代理电子商务环境下的安全迁移模型研究,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com