Print

Windows环境下木马检测技术的研究

论文摘要

随着互联网的普及,以木马为首的的恶意软件日渐猖獗,利用木马进行计算机犯罪的案件也逐渐攀升。不法分子们将木马植入用户的计算机中,以窃取有价值的信息如银行帐号、密码等。这对广大的网民造成了很大的损失,严重威胁着互联网的安全。而且木马的技术也越来越深入到操作系统内部,它们深深地植入到操作系统内部很难被发现。本文首先分析了当前木马常用的植入技术,如文件捆绑,缓冲区溢出,网页挂载等技术。接着又重点分析了木马在植入系统后是如何利用各种技术来隐藏自己的,这是本文的重点,涉及到很多Windows操作系统内部的结构,由于这些技术中的大部分微软都没有提供相关的技术文档,所以很多结论都是通过反汇编操作系统的代码和微软的符号文件中获取的。最后笔者针对所分析的木马惯用的技术开发了一个检测木马的小工具,该工具通过对系统内核的诊断,然后稍加分析就可判断出系统中是否已植入木马,并可以部分还原已被木马破坏的结构。

论文目录

  • 摘要
  • ABSTRACT
  • 第1章 绪论
  • 1.1 课题背景及意义
  • 1.2 木马简介
  • 1.3 研究环境
  • 1.4 本文的主要工作及结构
  • 第2章 木马的植入
  • 2.1 文件捆绑
  • 2.1.1 捆绑的原理
  • 2.1.2 捆绑的实现
  • 2.2 缓冲区溢出
  • 2.2.1 栈
  • 2.2.2 函数调用约定
  • 2.2.3 栈缓冲区溢出的过程
  • 2.2.4 缓冲区溢出漏洞的利用
  • 2.3 网页植入木马
  • 2.3.1 简介
  • 2.3.2 原理
  • 第3章 木马的隐藏
  • 3.1 用户模式和内核模式
  • 3.2 用户模式下的隐藏
  • 3.2.1 IAT
  • 3.2.2 注入目标进程
  • 3.2.3 IAT钩子
  • 3.2.4 内联钩子
  • 3.3 内核模式下的隐藏
  • 3.3.1 挂钩SSDT
  • 3.3.2 内核模式下的内联钩子
  • 3.3.3 DKOM
  • 第4章 木马的检测
  • 4.1 KerView简介
  • 4.1.1 功能
  • 4.1.2 组成
  • 4.2 所使用的关键技术
  • 4.2.1 获取原始SSDT
  • 4.2.2 基于句柄表的进程列表获取
  • 4.2.3 检测隐藏驱动
  • 4.2.4 驱动开发环境配置
  • 4.3 行效果演示
  • 第5章 总结与展望
  • 5.1 总结
  • 5.2 展望
  • 参考文献
  • 致谢
  • 相关论文文献

    本文来源: https://www.lw50.cn/article/6edd907cc072ffb71b91632a.html