学位论文 > 优秀研究生学位论文题录展示

主流操作系统隐藏程序的检测关键技术研究

作　者: 黄文超
导　师: 陈晓苏
学　校: 华中科技大学
专　业: 计算机系统结构
关键词: 交叉视图恶意程序隐藏程序隐藏程序检测挂钩
分类号: TP393.08
类　型: 硕士论文
年　份: 2007年
下　载: 93次
引　用: 1次
阅　读: 论文下载

内容摘要

在网络攻击中,隐藏技术被越来越多地应用于恶意程序的保护。由于程序隐藏使用的技术通常都比较复杂,常规检测工具一般难以检测出来,所以针对当前恶意程序所采用的主流隐藏技术,研究隐藏程序检测技术具有非常重要的意义。针对一类特定应用需求,在对主流程序隐藏技术和检测技术分析的基础上,给出了一个基于交叉视图的Windows隐藏程序检测系统CVBHDS(Cross View Based Windows Hidden Program Detection System)的设计思想以及需要关注的问题。阐述了CVBHDS的功能需求,给出了其总体架构以及功能模块划分。基于CVBHDS的总体设计,重点阐述了其中关键功能模块的实现,包括进程检测、系统已加载驱动模块检测、文件检测、端口检测以及系统内核对象检测等功能模块。围绕各检测模块的实现,针对不同隐藏技术,从不同角度探索了能有效检测出绝大多数隐藏行为的可靠途径。基于所找出的可靠途径,通过比较常规途径和可靠途径所获取系统信息的差异,来检测出那些试图在常规检测工具中实现隐藏的程序的痕迹。实际测试结果表明,CVBHDS不仅能够有效地检测出被多种主流隐藏程序隐藏的进程、进程内模块、系统已加载驱动模块、文件和端口等信息,而且能够通过分析系统服务描述表SSDT(System Service Descriptor Table)和中断描述表IDT(Interrupt Descriptor Table)来检测出被挂钩的表项,从而给分析隐藏程序的行为提供重要的参考依据。换言之,CVBHDS不仅能够有效地检测绝大多数用户态隐藏程序,而且能够分析出多个内核态隐藏程序的痕迹。

全文目录

摘要  4-5
Abstract  5-8
1 绪论  8-12
  1.1 课题背景  8-10
  1.2 国内外概况  10-11
  1.3 本课题研究的意义、主要内容及目标  11-12
2 Windows 程序隐藏与检测技术  12-21
  2.1 概述  12-13
  2.2 Windows 程序隐藏技术  13-18
  2.3 Windows 程序检测技术  18-20
  2.4 小结  20-21
3 CVBHDS 设计  21-27
  3.1 基本功能  21-22
  3.2 总体设计  22-24
  3.3 系统主要组成模块  24-26
  3.4 小结  26-27
4 CVBHDS 的实现  27-49
  4.1 进程检测模块的实现  27-35
  4.2 系统已加载驱动模块检测模块的实现  35-37
  4.3 文件检测模块的实现  37-40
  4.4 端口检测模块的实现  40-42
  4.5 系统内核对象检测模块的实现  42-46
  4.6 系统测试  46-48
  4.7 小结  48-49
5 结束语  49-51
  5.1 已完成的工作  49
  5.2 下一步的工作  49-51
致谢  51-52
参考文献  52-56
附录1 攻读学位期间发表论文  56-57
附录2 英文缩写词  57-58

主流操作系统隐藏程序的检测关键技术研究

内容摘要

全文目录

相似论文