学位论文 > 优秀研究生学位论文题录展示
Windows系统内核Rootkit的检测技术研究
作 者: 陈发贵
导 师: 彭冰
学 校: 华中科技大学
专 业: 信息安全
关键词: 系统内核 内核挂钩 直接内核对象操作 模式匹配算法
分类号: TP309
类 型: 硕士论文
年 份: 2011年
下 载: 42次
引 用: 0次
阅 读: 论文下载
内容摘要
随着计算机技术的快速发展和互联网的迅速普及,计算机系统将会面临越来越多的病毒、木马、蠕虫等恶意代码的威胁,杀毒软件和恶意代码也大量使用一种称之为内核Rootkit的技术,从而使它们之间的对抗也深入到Windows操作系统的内核。对内核函数和内核函数地址表,如系统服务描述符表和中断描述符表,进行完整性检查可以检测内核Rootkit,但是这种方法无法定位内核的执行流程被重定向到哪个函数,并且会产生大量的漏报和误报,导致普通用户无法辨别。Windows系统中一些未公开的内核数据结构也可以用于内核Rootkit检测,但是内核Rootkit也可以使用这些内核数据结构,绕过这种检测方法。针对Windows系统内核Rootkit的特点,在研究现有检测方法和工具的基础上,结合对大量的Rootkit样本和WRK源码的研究,对基于外联挂钩的内核Rootkit、基于内联挂钩的内核Rootkit以及基于直接内核对象操作的Rootkit分别提出对应的检测方法,设计并实现检测程序。为了提高检测的效率,提出一种基于BM算法的改进的模式匹配算法,该算法增大模式串失配时的最大偏移距离,从而提高匹配的效率。利用检测程序对若干个Windows系统内核Rootkit样本进行检测,验证检测效果,并利用Windows系统下的其他Rootkit工具对这些样本进行检测。通过对检测结果的对比,证明新的检测方法不论是准确性还是稳定性,都有比较大的改进。
|
全文目录
摘要 4-5 Abstract 5-8 1 绪论 8-14 1.1 研究背景 8-9 1.2 Rootkit 的定义及发展历史 9-10 1.3 国内外研究现状 10-12 1.4 本文的主要工作 12-13 1.5 本文的组织结构 13-14 2 Windows 系统内核 14-24 2.1 Windows 系统内核 14-19 2.2 Windows 系统的内核Rootkit 的分类 19-20 2.3 Windows 系统的内核Rootkit 的实现机理 20-23 2.4 本章总结 23-24 3 Windows 系统的内核Rootkit 检测技术 24-35 3.1 通用的入侵检测技术在Rootkit 检测中的应用 24-25 3.2 交叉视图在Rootkit 检测中的应用 25 3.3 一种新的内核Rootkit 检测思路 25-29 3.4 基于BM 算法的改进的模式匹配算法 29-34 3.5 本章总结 34-35 4 Windows 系统内核Rootkit 检测技术实现 35-43 4.1 一种新的Windows 系统内核Rootkit 检测方法 35 4.2 Windows 系统内核Rootkit 检测的实现 35-42 4.3 本章总结 42-43 5 检测效果测试和性能分析 43-54 5.1 实验环境 43 5.2 Windows 系统内核Rootkit 检测 43-52 5.3 检测效果分析 52-53 5.4 本章总结 53-54 6 总结与展望 54-56 6.1 工作总结 54-55 6.2 后续研究方向 55-56 致谢 56-57 参考文献 57-59
|
相似论文
- 蜜罐文件系统的智能内核级中间件研究,TP393.08
- Rootkit技术在第三方信息安全防护系统中的应用研究,TP309
- SAN存储资源管理系统的设计与实现,TP311.52
- 基于组态与PLC控制的实时操作系统研究,TP273
- 基于Snort的分布式入侵检测系统的研究与应用,TP393.08
- 基于免疫机理的入侵检测系统的研究,TP393.08
- 基于并行协议分析的网络内容监控技术研究,TP393.08
- Linux操作系统内核可靠性评测方法研究,TP316.81
- 一种新的实时系统内核调度算法研究设计,TP316.2
- 基于进程文件系统的Linux内核辅助调试工具,TP316.81
- 热式打码机的嵌入式控制系统优化设计,TP273
- 基于嵌入式平台的高清电影播放系统的设计与实现,TN946
- 基于snort的入侵检测系统的研究与设计,TP393.08
- 基于linux内核驱动的文件系统监控,TP316.81
- Linux虚拟调试系统关键技术的研究与实现,TP316.81
- 改进的模式匹配算法在入侵检测系统中的应用研究,TP393.08
- 入侵检测系统中模式匹配算法的研究,TP393.08
- 基于中断响应模型的实时操作系统性能评价技术研究,TP316.2
- 入侵检测系统中单模式匹配算法的研究,TP393.08
- 基于广义矢量模式匹配算法的ECT系统设计及应用,TP391.41
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com
|