隨著信息網(wǎng)絡(luò)的發(fā)展，越來越多的網(wǎng)絡(luò)攻擊發(fā)生在身邊，如本地網(wǎng)絡(luò)滲透，隱私信息被盜等。除此之外，在信息安全領(lǐng)域，攻擊和防御技術(shù)正在加速對方的發(fā)展。黑客利用Rootkit技術(shù)，保持電腦的持續(xù)控制，同時還可以幫助黑客隱藏后門軟件。Rootkit是一種具有隱蔽性的、極度危險的黑客技術(shù)。與此同時，隨著軍事信息化程度的提升，未來戰(zhàn)爭對于信息的依賴性將會達到一個前所未有的高度，爭奪與保持信息優(yōu)勢已經(jīng)成為戰(zhàn)爭或戰(zhàn)役的首要任務，信息優(yōu)勢爭奪成為奪取戰(zhàn)役勝利的關(guān)鍵所在。反觀目前軍隊的信息化發(fā)展趨勢，在對于戰(zhàn)場信息的快速傳遞、聯(lián)合共享方面已經(jīng)取得了長足的進步，而對于軍隊內(nèi)部信息網(wǎng)絡(luò)的安全性和抗沖擊性方面還有很多的方面需要加強。尤其是在內(nèi)核級的系統(tǒng)防御方面，軍隊的絕大多數(shù)作戰(zhàn)平臺目前還大多部署在Windows XP操作系統(tǒng)上面，而眾所周知，Windows XP系統(tǒng)是一個極度不安全的操作平臺，在目前已知的系統(tǒng)入侵手段中，大多數(shù)都對WindowsXP操作系統(tǒng)有效，像rootkit這種通過攻擊操作系統(tǒng)內(nèi)核而保持對電腦的持續(xù)控制和信息的獲取的攻擊手段對于軍隊的信息系統(tǒng)而言是極度危險的。本文旨在通過對Rootkit技術(shù)的... 

【文章來源】：吉林大學吉林省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：52 頁

【學位級別】：碩士

【文章目錄】：
摘要
Abstract
目錄
第1章 緒論
    1.1 研究背景
    1.2 ROOTKIT 的產(chǎn)生和發(fā)展
    1.3 現(xiàn)存問題及研究意義
    1.4 本文主要工作
第2章 ROOTKIT 技術(shù)的原理
    2.1 環(huán) 0 級
    2.2 WINDOWS 內(nèi)核結(jié)構(gòu)
        2.2.1 用戶模式組件
        2.2.2 NT核模式組件
    2.3 CPU 和系統(tǒng)表
        2.3.1 Global Descriptor Table,GDT（全局描述符表）
        2.3.2 Local Descriptor Table,LDT（本地描述符表）
        2.3.3 Page Directory（頁目錄）
        2.3.4 Interrupt Descriptor Table,IDT（中斷描述符表）
        2.3.5 System Service Dispatch Table,SSDT（系統(tǒng)服務調(diào)用表）
    2.4 文件系統(tǒng)
        2.4.1 FAT（File Allocation Table）文件系統(tǒng)
        2.4.2 NTFS (New Technology File System)文件系統(tǒng)
    2.5 網(wǎng)絡(luò)系統(tǒng)
        2.5.1 TDI編程規(guī)范
        2.5.2 NDIS編程規(guī)范
        2.5.3 NT系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)
    2.6 Windows設(shè)備驅(qū)動程序
第3章 ROOTKIT 技術(shù)實踐
    3.1 掛鉤 SSDT 技術(shù)
        3.1.1 調(diào)用內(nèi)核機制解析
        3.1.2 SSDT內(nèi)核掛鉤調(diào)用和進程隱藏
        3.1.3 內(nèi)核掛鉤調(diào)用結(jié)果
    3.2 IDT（INTERRUPT DESCRIPTOR TABLE） 掛鉤技術(shù)
        3.2.1 IDT機制概述
        3.2.2 IDT結(jié)構(gòu)解析
        3.2.3 IDT 地址獲取
第4章 SCDETECTIVE 功能實現(xiàn)
    4.1 操作系統(tǒng)以及環(huán)境架構(gòu)
        4.1.1 操作系統(tǒng)
        4.1.2 編程環(huán)境
    4.2 底層驅(qū)動編寫
        4.2.1 KerHook、SSDT、IDT 驅(qū)動文檔結(jié)構(gòu)圖
        4.2.2 XDE反匯編引擎的引用
        4.2.3 驅(qū)動系統(tǒng)函數(shù)定義
        4.2.4 SSDT、IDT、ShadowSSDT 檢測以及恢復驅(qū)動層定義
        4.2.5 驅(qū)動入口功能實現(xiàn)
    4.3 KERNEL HOOK、IDT、SSDT 和 SSDT SHADOW 檢測與恢復模塊
        4.3.1 Kernel Hook 檢測與恢復
        4.3.2 SSDT、SSDT Shadow 檢測與恢復
        4.3.3 IDT檢測與恢復
    4.4 內(nèi)核鉤子檢測與修復
    4.5 驅(qū)動檢測功能的實現(xiàn)
    4.6 進程檢測功能實現(xiàn)
        4.6.1 ActiveProcessLinks枚舉進程
        4.6.2 通過 Handletablelisthead 枚舉進程
        4.6.3 通過 csrss 的 handletable 枚舉進程
    4.7 文件解析及操作功能
        4.7.1 生成控制設(shè)備卷和控制設(shè)備
        4.7.2 解析與操作功能實現(xiàn)
        4.7.3 創(chuàng)建回調(diào)函數(shù)
第5章 總結(jié)與展望
    5.1 本文總結(jié)
    5.2 SCDETECTIVE 軟件存在的不足
    5.3 下一步研究方向
參考文獻
作者簡介及在學期間所取得的科研成果
致謝



本文編號：3202883