学位论文 > 优秀研究生学位论文题录展示

Windows系统内核Rootkit的检测技术研究

作 者: 陈发贵
导 师: 彭冰
学 校: 华中科技大学
专 业: 信息安全
关键词: 系统内核 内核挂钩 直接内核对象操作 模式匹配算法
分类号: TP309
类 型: 硕士论文
年 份: 2011年
下 载: 42次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着计算机技术的快速发展和互联网的迅速普及,计算机系统将会面临越来越多的病毒、木马、蠕虫等恶意代码的威胁,杀毒软件和恶意代码也大量使用一种称之为内核Rootkit的技术,从而使它们之间的对抗也深入到Windows操作系统的内核。对内核函数和内核函数地址表,如系统服务描述符表和中断描述符表,进行完整性检查可以检测内核Rootkit,但是这种方法无法定位内核的执行流程被重定向到哪个函数,并且会产生大量的漏报和误报,导致普通用户无法辨别。Windows系统中一些未公开的内核数据结构也可以用于内核Rootkit检测,但是内核Rootkit也可以使用这些内核数据结构,绕过这种检测方法。针对Windows系统内核Rootkit的特点,在研究现有检测方法和工具的基础上,结合对大量的Rootkit样本和WRK源码的研究,对基于外联挂钩的内核Rootkit、基于内联挂钩的内核Rootkit以及基于直接内核对象操作的Rootkit分别提出对应的检测方法,设计并实现检测程序。为了提高检测的效率,提出一种基于BM算法的改进的模式匹配算法,该算法增大模式串失配时的最大偏移距离,从而提高匹配的效率。利用检测程序对若干个Windows系统内核Rootkit样本进行检测,验证检测效果,并利用Windows系统下的其他Rootkit工具对这些样本进行检测。通过对检测结果的对比,证明新的检测方法不论是准确性还是稳定性,都有比较大的改进。

全文目录


摘要  4-5
Abstract  5-8
1 绪论  8-14
  1.1 研究背景  8-9
  1.2 Rootkit 的定义及发展历史  9-10
  1.3 国内外研究现状  10-12
  1.4 本文的主要工作  12-13
  1.5 本文的组织结构  13-14
2 Windows 系统内核  14-24
  2.1 Windows 系统内核  14-19
  2.2 Windows 系统的内核Rootkit 的分类  19-20
  2.3 Windows 系统的内核Rootkit 的实现机理  20-23
  2.4 本章总结  23-24
3 Windows 系统的内核Rootkit 检测技术  24-35
  3.1 通用的入侵检测技术在Rootkit 检测中的应用  24-25
  3.2 交叉视图在Rootkit 检测中的应用  25
  3.3 一种新的内核Rootkit 检测思路  25-29
  3.4 基于BM 算法的改进的模式匹配算法  29-34
  3.5 本章总结  34-35
4 Windows 系统内核Rootkit 检测技术实现  35-43
  4.1 一种新的Windows 系统内核Rootkit 检测方法  35
  4.2 Windows 系统内核Rootkit 检测的实现  35-42
  4.3 本章总结  42-43
5 检测效果测试和性能分析  43-54
  5.1 实验环境  43
  5.2 Windows 系统内核Rootkit 检测  43-52
  5.3 检测效果分析  52-53
  5.4 本章总结  53-54
6 总结与展望  54-56
  6.1 工作总结  54-55
  6.2 后续研究方向  55-56
致谢  56-57
参考文献  57-59

相似论文

  1. 蜜罐文件系统的智能内核级中间件研究,TP393.08
  2. Rootkit技术在第三方信息安全防护系统中的应用研究,TP309
  3. SAN存储资源管理系统的设计与实现,TP311.52
  4. 基于组态与PLC控制的实时操作系统研究,TP273
  5. 基于Snort的分布式入侵检测系统的研究与应用,TP393.08
  6. 基于免疫机理的入侵检测系统的研究,TP393.08
  7. 基于并行协议分析的网络内容监控技术研究,TP393.08
  8. Linux操作系统内核可靠性评测方法研究,TP316.81
  9. 一种新的实时系统内核调度算法研究设计,TP316.2
  10. 基于进程文件系统的Linux内核辅助调试工具,TP316.81
  11. 热式打码机的嵌入式控制系统优化设计,TP273
  12. 基于嵌入式平台的高清电影播放系统的设计与实现,TN946
  13. 基于snort的入侵检测系统的研究与设计,TP393.08
  14. 基于linux内核驱动的文件系统监控,TP316.81
  15. Linux虚拟调试系统关键技术的研究与实现,TP316.81
  16. 改进的模式匹配算法在入侵检测系统中的应用研究,TP393.08
  17. 入侵检测系统中模式匹配算法的研究,TP393.08
  18. 基于中断响应模型的实时操作系统性能评价技术研究,TP316.2
  19. 入侵检测系统中单模式匹配算法的研究,TP393.08
  20. 基于广义矢量模式匹配算法的ECT系统设计及应用,TP391.41

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com