学位论文 > 优秀研究生学位论文题录展示

Windows环境下针对Rootkit隐藏技术的木马检测技术

作 者: 吴昆
导 师: 李丽娟;张忠怀
学 校: 湖南大学
专 业: 软件工程
关键词: 木马 木马检测 网络安全 Rootkit 行为分析
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 218次
引 用: 1次
阅 读: 论文下载
 

内容摘要


近年来,随着互联网应用的迅猛发展和互联网用户的快速增加,网络安全问题也日益突出。用户在享受网络所带来的便利与快捷时,也在承受着诸如病毒、木马等恶意程序的威胁。虽然世界各国对给予网络安全严重威胁的病毒、木马等恶意程序高度的重视,但对隐藏在巨大灰色经济利益下的恶意程序来说,仍然显得力不从心。互联网面临的危险根源在于其开放式的体系结构,不可靠的网络协议以及运行在各种网络设备上漏洞百出的操作系统。面对木马程序,互联网用户的机器时刻暴露于黑客的控制监控之下,黑客可以非常方便的获取用户的账号信息,私人资料或商业秘密,也可能会将用户的机器作为攻击其它机器的终端。相比传统病毒而言,木马程序具有更大的破坏性和危险性。因此,反木马领域的研究一直是信息安全领域的重点和热点。目前木马检测技术大多为特征码扫描、完整性检测和虚拟机检测。三种检测技术的原理及优缺点:特征码扫描检测速度快,误报率低,但需要庞大的特征库支撑,无法检测变形和未知的木马软件;完整性检测能够有效检测到木马软件对文件的修改,但完整性检测是假设装入系统中的文件没有被木马软件恶意修改,因此完整性检测无法发现装入系统前已被木马修改的文件;虚拟机检测技术可以有效对付加密变形的木马软件,但木马软件仍然会有多种方式绕过其检测,如使用特殊指令,使用结构化异常等。随着新的Rootkit技术在木马软件中的广泛应用,使得现有的木马检测软件面临前所未有的挑战。采用Rootkit技术的木马能够实现深度隐藏,包括进程、木马原文件、通信方式、注册表等。根据网络统计与用户反馈,现有的商业木马检测软件对采用Rootkit技术的木马软件的检测结果仍不是很理想。在对现有的木马攻击技术和反木马技术研究分析的基础上,尤其是采用Rootkit技术进行隐藏的木马软件新技术,针对Windows操作系统平台,提出了基于系统阻断结合差异迭代分析技术的木马检测机制,在此基础上设计并实现了一个简单的木马检测模型。本文最后讨论了该检测模型的局限性,并提出了改进的方向。

全文目录


摘要  5-6
ABSTRACT  6-11
第1章 绪论  11-20
  1.1 选题背景及意义  11-12
  1.2 木马的概念与技术原理  12-14
  1.3 木马的危害及分类  14-15
  1.4 木马与其他攻击程序的区别  15-16
  1.5 国内外反木马领域的研究现状  16-18
  1.6 本人在论文中的工作  18
  1.7 本文内容安排  18-20
第2章 木马实现技术与检测技术概述  20-35
  2.1 木马实现技术分析  20-26
    2.1.1 木马的植入技术  20-21
    2.1.2 木马的加载与隐藏技术  21-24
    2.1.3 木马信息获取技术  24
    2.1.4 木马通信技术  24-25
    2.1.5 木马的反清除技术  25-26
  2.2 木马检测技术分析  26-35
    2.2.1 防火墙技术  26-27
    2.2.2 入侵检测技术  27-29
    2.2.3 特征码技术  29-30
    2.2.4 实时监控  30-31
    2.2.5 虚拟机  31
    2.2.6 启发式技术  31-33
    2.2.7 沙箱技术  33-34
    2.2.8 完整性检测  34-35
第3章 基于ROOTKIT的主流木马隐藏技术分析  35-49
  3.1 WINDOWS 相关概念介绍  35-42
    3.1.1 系统服务(SYSTEM SERVICE)  35-36
    3.1.2 系统服务调度  36
    3.1.3 系统服务描述符表(SDT,Service Descriptor Table)、系统服务表(SST,System Service Table)、系统服务地址表(KiServiceTable)  36-39
    3.1.4 INT 2Eh 系统服务处理例程(System Service Handler)  39
    3.1.5 进程(Process)、线程(Thread)  39-40
    3.1.6 钩子的原理与概念  40-42
  3.2 ROOTKIT 技术原理分析  42-45
    3.2.1 修改函数执行路径  42-44
    3.2.2 修改内核数据结构  44-45
  3.3 具体隐藏实现分析  45-49
    3.3.1 进程隐藏  45-46
    3.3.2 文件隐藏  46
    3.3.3 注册表隐藏  46
    3.3.4 TCP 端口隐藏  46-49
第4章 木马的行为特征分析  49-60
  4.1 行为分析方法的原理  49
  4.2 行为特征分析  49-54
    4.2.1 植入阶段  49-50
    4.2.2 加载启动阶段  50-52
    4.2.3 通信阶段  52-54
    4.2.4 反清除阶段  54
  4.3 行为分析的特点  54-55
  4.4 行为分析与系统API  55-57
  4.5 基于差异迭代分析的隐藏行为检测技术  57-60
    4.5.1 不可信任系统信息获取  59
    4.5.2 可信任系统信息获取  59-60
第5章 基于差异迭代技术的检测模型  60-77
  5.1 ANTI_RKU 木马检测模型概述  60
  5.2 总体设计  60-62
    5.2.1 设计目标  60
    5.2.2 总体框架  60-62
  5.3 详细设计  62-69
    5.3.1 进程管理实现  62-65
    5.3.2 文件管理实现  65-67
    5.3.3 SSDT 检测实现  67-68
    5.3.4 系统监控实现  68-69
  5.4 关键技术介绍  69-72
    5.4.1 设备驱动程序开发技术  69-71
    5.4.2 内存管理机制  71-72
  5.5 系统测试及结果分析  72-77
    5.5.1 测试目的  72
    5.5.2 测试环境  72
    5.5.3 测试内容  72-75
    5.5.4 测试结果  75-77
结论  77-79
参考文献  79-83
附录 攻读学位期间主要研究成果  83-84
致谢  84

相似论文

  1. 基于主动方式的恶意代码检测技术研究,TP393.08
  2. 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
  3. 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
  4. 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
  5. 基于比对技术的非法网站探测系统的实现与研究,TP393.08
  6. 基于区域的无线传感器网络密钥管理方案研究,TP212.9
  7. 我国保险公司保险网络营销研究,F724.6
  8. 驱动级木马传输和加密算法设计与实现,TP393.08
  9. 基于VoIP的DDoS攻击源追踪技术的研究,TP393.08
  10. 动态关联规则的研究,TP311.13
  11. 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
  12. 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
  13. 无线传感器网络安全问题的研究,TN915.08
  14. 光盘授权播放系统安全通信研究与设计,TP309
  15. 基于无线传感器网络的智能家居安全监测系统的研究与应用,TP273.5
  16. 基于DPI的即时通信软件监测系统的研究与实现,TN915.09
  17. 基于多分辨率聚类的安全定位算法研究,TN929.5
  18. 一种全新旁路攻击的分析与防御策略的研究,TP309
  19. QH软件公司服务营销战略研究,F426.672
  20. 基于防火墙的快速协议识别系统的设计与实现,TP393.08
  21. 基于IPsec的企业网络远程访问系统的设计与实现,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com