学位论文 > 优秀研究生学位论文题录展示
Windows环境下针对Rootkit隐藏技术的木马检测技术
作 者: 吴昆
导 师: 李丽娟;张忠怀
学 校: 湖南大学
专 业: 软件工程
关键词: 木马 木马检测 网络安全 Rootkit 行为分析
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 218次
引 用: 1次
阅 读: 论文下载
内容摘要
近年来,随着互联网应用的迅猛发展和互联网用户的快速增加,网络安全问题也日益突出。用户在享受网络所带来的便利与快捷时,也在承受着诸如病毒、木马等恶意程序的威胁。虽然世界各国对给予网络安全严重威胁的病毒、木马等恶意程序高度的重视,但对隐藏在巨大灰色经济利益下的恶意程序来说,仍然显得力不从心。互联网面临的危险根源在于其开放式的体系结构,不可靠的网络协议以及运行在各种网络设备上漏洞百出的操作系统。面对木马程序,互联网用户的机器时刻暴露于黑客的控制监控之下,黑客可以非常方便的获取用户的账号信息,私人资料或商业秘密,也可能会将用户的机器作为攻击其它机器的终端。相比传统病毒而言,木马程序具有更大的破坏性和危险性。因此,反木马领域的研究一直是信息安全领域的重点和热点。目前木马检测技术大多为特征码扫描、完整性检测和虚拟机检测。三种检测技术的原理及优缺点:特征码扫描检测速度快,误报率低,但需要庞大的特征库支撑,无法检测变形和未知的木马软件;完整性检测能够有效检测到木马软件对文件的修改,但完整性检测是假设装入系统中的文件没有被木马软件恶意修改,因此完整性检测无法发现装入系统前已被木马修改的文件;虚拟机检测技术可以有效对付加密变形的木马软件,但木马软件仍然会有多种方式绕过其检测,如使用特殊指令,使用结构化异常等。随着新的Rootkit技术在木马软件中的广泛应用,使得现有的木马检测软件面临前所未有的挑战。采用Rootkit技术的木马能够实现深度隐藏,包括进程、木马原文件、通信方式、注册表等。根据网络统计与用户反馈,现有的商业木马检测软件对采用Rootkit技术的木马软件的检测结果仍不是很理想。在对现有的木马攻击技术和反木马技术研究分析的基础上,尤其是采用Rootkit技术进行隐藏的木马软件新技术,针对Windows操作系统平台,提出了基于系统阻断结合差异迭代分析技术的木马检测机制,在此基础上设计并实现了一个简单的木马检测模型。本文最后讨论了该检测模型的局限性,并提出了改进的方向。
|
全文目录
摘要 5-6 ABSTRACT 6-11 第1章 绪论 11-20 1.1 选题背景及意义 11-12 1.2 木马的概念与技术原理 12-14 1.3 木马的危害及分类 14-15 1.4 木马与其他攻击程序的区别 15-16 1.5 国内外反木马领域的研究现状 16-18 1.6 本人在论文中的工作 18 1.7 本文内容安排 18-20 第2章 木马实现技术与检测技术概述 20-35 2.1 木马实现技术分析 20-26 2.1.1 木马的植入技术 20-21 2.1.2 木马的加载与隐藏技术 21-24 2.1.3 木马信息获取技术 24 2.1.4 木马通信技术 24-25 2.1.5 木马的反清除技术 25-26 2.2 木马检测技术分析 26-35 2.2.1 防火墙技术 26-27 2.2.2 入侵检测技术 27-29 2.2.3 特征码技术 29-30 2.2.4 实时监控 30-31 2.2.5 虚拟机 31 2.2.6 启发式技术 31-33 2.2.7 沙箱技术 33-34 2.2.8 完整性检测 34-35 第3章 基于ROOTKIT的主流木马隐藏技术分析 35-49 3.1 WINDOWS 相关概念介绍 35-42 3.1.1 系统服务(SYSTEM SERVICE) 35-36 3.1.2 系统服务调度 36 3.1.3 系统服务描述符表(SDT,Service Descriptor Table)、系统服务表(SST,System Service Table)、系统服务地址表(KiServiceTable) 36-39 3.1.4 INT 2Eh 系统服务处理例程(System Service Handler) 39 3.1.5 进程(Process)、线程(Thread) 39-40 3.1.6 钩子的原理与概念 40-42 3.2 ROOTKIT 技术原理分析 42-45 3.2.1 修改函数执行路径 42-44 3.2.2 修改内核数据结构 44-45 3.3 具体隐藏实现分析 45-49 3.3.1 进程隐藏 45-46 3.3.2 文件隐藏 46 3.3.3 注册表隐藏 46 3.3.4 TCP 端口隐藏 46-49 第4章 木马的行为特征分析 49-60 4.1 行为分析方法的原理 49 4.2 行为特征分析 49-54 4.2.1 植入阶段 49-50 4.2.2 加载启动阶段 50-52 4.2.3 通信阶段 52-54 4.2.4 反清除阶段 54 4.3 行为分析的特点 54-55 4.4 行为分析与系统API 55-57 4.5 基于差异迭代分析的隐藏行为检测技术 57-60 4.5.1 不可信任系统信息获取 59 4.5.2 可信任系统信息获取 59-60 第5章 基于差异迭代技术的检测模型 60-77 5.1 ANTI_RKU 木马检测模型概述 60 5.2 总体设计 60-62 5.2.1 设计目标 60 5.2.2 总体框架 60-62 5.3 详细设计 62-69 5.3.1 进程管理实现 62-65 5.3.2 文件管理实现 65-67 5.3.3 SSDT 检测实现 67-68 5.3.4 系统监控实现 68-69 5.4 关键技术介绍 69-72 5.4.1 设备驱动程序开发技术 69-71 5.4.2 内存管理机制 71-72 5.5 系统测试及结果分析 72-77 5.5.1 测试目的 72 5.5.2 测试环境 72 5.5.3 测试内容 72-75 5.5.4 测试结果 75-77 结论 77-79 参考文献 79-83 附录 攻读学位期间主要研究成果 83-84 致谢 84
|
相似论文
- 基于主动方式的恶意代码检测技术研究,TP393.08
- 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
- 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
- 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
- 基于比对技术的非法网站探测系统的实现与研究,TP393.08
- 基于区域的无线传感器网络密钥管理方案研究,TP212.9
- 我国保险公司保险网络营销研究,F724.6
- 驱动级木马传输和加密算法设计与实现,TP393.08
- 基于VoIP的DDoS攻击源追踪技术的研究,TP393.08
- 动态关联规则的研究,TP311.13
- 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
- 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
- 无线传感器网络安全问题的研究,TN915.08
- 光盘授权播放系统安全通信研究与设计,TP309
- 基于无线传感器网络的智能家居安全监测系统的研究与应用,TP273.5
- 基于DPI的即时通信软件监测系统的研究与实现,TN915.09
- 基于多分辨率聚类的安全定位算法研究,TN929.5
- 一种全新旁路攻击的分析与防御策略的研究,TP309
- QH软件公司服务营销战略研究,F426.672
- 基于防火墙的快速协议识别系统的设计与实现,TP393.08
- 基于IPsec的企业网络远程访问系统的设计与实现,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|