Windows环境下木马检测技术的研究
论文摘要
随着互联网的普及,以木马为首的的恶意软件日渐猖獗,利用木马进行计算机犯罪的案件也逐渐攀升。不法分子们将木马植入用户的计算机中,以窃取有价值的信息如银行帐号、密码等。这对广大的网民造成了很大的损失,严重威胁着互联网的安全。而且木马的技术也越来越深入到操作系统内部,它们深深地植入到操作系统内部很难被发现。本文首先分析了当前木马常用的植入技术,如文件捆绑,缓冲区溢出,网页挂载等技术。接着又重点分析了木马在植入系统后是如何利用各种技术来隐藏自己的,这是本文的重点,涉及到很多Windows操作系统内部的结构,由于这些技术中的大部分微软都没有提供相关的技术文档,所以很多结论都是通过反汇编操作系统的代码和微软的符号文件中获取的。最后笔者针对所分析的木马惯用的技术开发了一个检测木马的小工具,该工具通过对系统内核的诊断,然后稍加分析就可判断出系统中是否已植入木马,并可以部分还原已被木马破坏的结构。
论文目录
摘要ABSTRACT第1章 绪论1.1 课题背景及意义1.2 木马简介1.3 研究环境1.4 本文的主要工作及结构第2章 木马的植入2.1 文件捆绑2.1.1 捆绑的原理2.1.2 捆绑的实现2.2 缓冲区溢出2.2.1 栈2.2.2 函数调用约定2.2.3 栈缓冲区溢出的过程2.2.4 缓冲区溢出漏洞的利用2.3 网页植入木马2.3.1 简介2.3.2 原理第3章 木马的隐藏3.1 用户模式和内核模式3.2 用户模式下的隐藏3.2.1 IAT3.2.2 注入目标进程3.2.3 IAT钩子3.2.4 内联钩子3.3 内核模式下的隐藏3.3.1 挂钩SSDT3.3.2 内核模式下的内联钩子3.3.3 DKOM第4章 木马的检测4.1 KerView简介4.1.1 功能4.1.2 组成4.2 所使用的关键技术4.2.1 获取原始SSDT4.2.2 基于句柄表的进程列表获取4.2.3 检测隐藏驱动4.2.4 驱动开发环境配置4.3 行效果演示第5章 总结与展望5.1 总结5.2 展望参考文献致谢
相关论文文献
本文来源: https://www.lw50.cn/article/6edd907cc072ffb71b91632a.html