论文摘要
当今的Internet每时每刻都存在危险,如果用户在使用Internet时不采取任何保护措施,就很容易遭到黑客的攻击。本文对Windows rootkit进行了系统的分析研究,根据现有检测工具的不足,提出了阻止和检测并重的解决方案WinRKAD,以有效地防御各种现有Windows rootkit。WinRKAD系统通过在rootkit常用加载处设置过滤程序,拒绝rootkit的加载行为;对于已运行的rootkit,分别从隐藏进程、钩挂和隐藏服务等方面进行检测,查找可能出现的异常现象,从而判断系统中是否存在Windows rootkit。另外通过对个人防火墙的发展现状和实现技术的研究,本文设计和实现了DFW个人防火墙系统(简称DFW系统)。DFW系统是个人使用的网络安全程序,它根据用户设置的安全规则把守网络,提供强大的访问控制、信息过滤等功能,帮助用户抵挡网络入侵和攻击,防止信息泄露。DFW系统采用用户层/核心层双重过滤机制,在用户模式下采用Winsock SPI技术,在内核模式下采用NDIS中间层驱动程序技术。接着对WinRKAD rootkit检测系统和DFW个人防火墙系统进行了测试,测试表明,这两个系统实现了设计目标,达到了设计要求。WinRKAD解决方案弥补了现有检测方法的不足,可以有效地阻止和检测各种Windows rootkit。最后总结了所做的工作,并指出了下一步的工作方向。
论文目录
表目录图目录摘要ABSTRACT第一章 绪论1.1 研究背景1.2 研究的主要内容1.3 论文的组织结构第二章 Windows rootkit概述和核心技术2.1 Windows rootkit概述2.1.1 Windows rootkit的定义2.1.2 Windows rootkit与其它恶意代码的区别2.1.3 Windows rootkit的分类2.1.4 Windows rootkit的危害2.2 Windows相关概念概述2.2.1 用户空间、内核空间2.2.2 进程和线程2.2.3 系统服务2.2.4 INT 2Eh中断处理程序2.2.5 钩挂和钩挂函数2.3 Windows用户模式rootkit使用技术2.3.1 钩挂输入地址表2.3.2 替换文件2.3.3 修改原始代码2.4 Windows内核模式rootkit使用技术2.4.1 内核级钩挂2.4.3 修改内核代码2.4.4 修改内核数据结构2.5 Windows rootkit其他常用技术2.5.1 通信隐藏技术2.5.2 动态装入技术2.5.3 攻击性rootkit技术2.6 小结第三章 Windows rootkit已有检测方法3.1 检测隐藏进程3.1.1 Klister方法3.1.2 钩挂函数方法3.2 检测钩挂函数3.2.1 VICE方法3.2.2 SDTRestore方法3.3 执行路径分析3.4 检测隐蔽通信3.5 内存完整性检测方法3.6 各种检测方法评述3.7 小结第四章 网络主动防御系统中的rootkit防御系统的设计与实现4.1 设计思想4.2 设计目标4.3 系统体系结构4.4 各系统模块具体实现4.4.1 驱动加载阻止模块4.4.2 检测隐藏进程4.4.3 检测钩挂4.4.4 检测隐藏服务第五章 个人防火墙的发展现状和实现技术5.1 个人防火墙的概念5.2 个人防火墙技术的发展现状和发展趋势5.3 个人防火墙的实现技术5.3.1 用户模式下的数据包拦截技术5.3.2 内核模式下的数据包拦截技术5.4 小结第六章 个人防火墙系统的设计与实现6.1 DFW系统设计思想和设计目标6.2 DFW系统的总体设计6.3 DFW系统具体实现6.3.1 主模块的实现6.3.2 应用程序网络访问控制模块的实现6.3.3 网络数据包拦截与过滤模块的实现6.4 小结第七章 系统测试7.1 测试环境7.1.1 WinRKAD系统测试环境7.1.2 DFW系统测试环境7.2 系统测试7.2.1 WinRKAD系统测试7.2.2 DFW系统测试7.3 小结结束语参考文献作者简历 攻读硕士学位期间完成的主要工作致谢
相关论文文献
标签:检测论文; 隐藏进程论文; 钩挂论文; 系统服务论文; 个人防火墙论文;
网络主动防御系统中的rootkit检测与个人防火墙
下载Doc文档