本文關(guān)鍵詞：Rootkit的改進(jìn)型實(shí)現(xiàn)與檢測(cè)技術(shù)研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著計(jì)算機(jī)互聯(lián)網(wǎng)應(yīng)用技術(shù)的發(fā)展,基于互聯(lián)網(wǎng)商業(yè)模式的普及,導(dǎo)致了計(jì)算機(jī)病毒、木馬等惡意程序的爆炸式的增長(zhǎng),嚴(yán)重威脅了計(jì)算機(jī)網(wǎng)絡(luò)的安全。由于微軟Windows系統(tǒng)的廣泛使用率,近年來針對(duì)Windows平臺(tái)的惡意軟件與木馬病毒得到了廣泛的關(guān)注與研究。作為以能夠持久可靠地、無法檢測(cè)地存在計(jì)算機(jī)為目的的Rootkit技術(shù)成為了主機(jī)檢測(cè)技術(shù)研究的熱點(diǎn)。本文首先介紹分析了Windows系統(tǒng)中與Rootkit有關(guān)的知識(shí),包括系統(tǒng)Ring0級(jí)和Ring3級(jí)介紹,系統(tǒng)中內(nèi)核內(nèi)存的布局和內(nèi)存的保護(hù)、常用突破寫保護(hù)內(nèi)存的方法闡述了內(nèi)核驅(qū)動(dòng)模式及PE文件格式。總結(jié)了Rootkit常用的技術(shù)原理。在深入理解Rootkit相關(guān)技術(shù)原理的基礎(chǔ)之上,提出了針對(duì)傳統(tǒng)SSDT掛鉤的改進(jìn)型方案。并針對(duì)目前主流殺毒軟件對(duì)KiFastCallEntry掛鉤提出了躲避方案,同時(shí)給出了具體的實(shí)現(xiàn)原理、設(shè)計(jì)思路以及實(shí)驗(yàn)測(cè)試。針對(duì)傳統(tǒng)的Rootkit檢測(cè)技術(shù)的不足提出了改進(jìn),設(shè)計(jì)實(shí)現(xiàn)了Rootkit檢測(cè)框架模型,對(duì)基于傳統(tǒng)系統(tǒng)調(diào)用的異常檢測(cè)模型:短序列(N-gram)模型,有窮自動(dòng)機(jī)模型,基于頻率的KNN(K-Nearest Neighbor)模型進(jìn)行了對(duì)比分析。在原有的系統(tǒng)調(diào)用序列算法的基礎(chǔ)之上,提出了利用Rootkit的典型特征行為來表征程序行為,增加了系統(tǒng)調(diào)用參數(shù)因素對(duì)系統(tǒng)調(diào)用權(quán)重的影響,通過層次分析法中對(duì)比矩陣來精確量化個(gè)系統(tǒng)調(diào)用的權(quán)重,最后通過模糊識(shí)別的方法來對(duì)待檢測(cè)程序進(jìn)行分類,該改進(jìn)減少了傳統(tǒng)異常檢測(cè)模型的時(shí)間開銷,進(jìn)一步提升了檢測(cè)模型的精確度。
【關(guān)鍵詞】：Rootkit 技術(shù) 系統(tǒng)調(diào)用 異常檢測(cè) 模糊識(shí)別
【學(xué)位授予單位】：江西師范大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08;TP316.7
【目錄】：

• 摘要3-4
• Abstract4-7
• 第一章 緒論7-10
• 1.1 研究背景及意義7
• 1.2 國內(nèi)外研究現(xiàn)狀7-8
• 1.3 本文研究?jī)?nèi)容8-9
• 1.4 論文組織結(jié)構(gòu)9-10
• 第二章 Rootkit相關(guān)的操作系統(tǒng)原理10-19
• 2.1 環(huán)0結(jié)構(gòu)10-11
• 2.2 系統(tǒng)內(nèi)存空間11-14
• 2.2.1 內(nèi)存空間布局11-12
• 2.2.2 內(nèi)存保護(hù)12-14
• 2.3 內(nèi)核模式驅(qū)動(dòng)程序14-16
• 2.3.1 內(nèi)核模式驅(qū)動(dòng)程序介紹14
• 2.3.2 內(nèi)核模式驅(qū)動(dòng)程序與用戶模式通信14-16
• 2.4 PE文件介紹16-18
• 2.5 本章小結(jié)18-19
• 第三章 Windows Rootkit隱藏與檢測(cè)技術(shù)19-31
• 3.1 執(zhí)行路徑掛鉤19-24
• 3.1.1 用戶空間掛鉤20-21
• 3.1.2 內(nèi)核空間鉤子21-24
• 3.2 更改內(nèi)核對(duì)象24-26
• 3.3 內(nèi)核模式驅(qū)動(dòng)簡(jiǎn)介26-27
• 3.4 常用Rootkit檢測(cè)方法分析27-30
• 3.4.1 交叉視圖檢測(cè)27
• 3.4.2 完整性校驗(yàn)27-28
• 3.4.3 跳轉(zhuǎn)指令檢測(cè)28
• 3.4.4 基于系統(tǒng)調(diào)用分析的檢測(cè)方法28-30
• 3.5 本章小結(jié)30-31
• 第四章 改進(jìn)型Rootkit技術(shù)研究與設(shè)計(jì)31-40
• 4.1 SSDT掛鉤的改進(jìn)31-35
• 4.1.1 傳統(tǒng)SSDT掛鉤與檢測(cè)方法31-33
• 4.1.2 SSDT掛鉤的改進(jìn)33-35
• 4.2 改進(jìn)型SSDT掛鉤分析35
• 4.3 KiFastCallEntry掛鉤的改進(jìn)35-39
• 4.3.1 改進(jìn)型KiFastCallEntry掛鉤的原理35-37
• 4.3.2 改進(jìn)型KiFastCallEntry掛鉤的實(shí)現(xiàn)關(guān)鍵點(diǎn)37-39
• 4.4 KiFastCallEntry掛鉤改進(jìn)的分析39
• 4.5 本章小結(jié)39-40
• 第五章 Rootkit檢測(cè)框架的設(shè)計(jì)與建立40-52
• 5.1 IA32_SYSENTER_EIP、0x2E掛鉤檢測(cè)42-44
• 5.2 SSDT掛鉤檢測(cè)44-45
• 5.3 進(jìn)程隱藏的檢測(cè)45-48
• 5.4 基于模糊識(shí)別的異常檢測(cè)模型的建立48
• 5.5 關(guān)鍵模塊和關(guān)鍵技術(shù)48-51
• 5.5.1 特征提取48-49
• 5.5.2 特征權(quán)重的獲取49-51
• 5.5.3 基于模糊識(shí)別的異常行為檢測(cè)51
• 5.6 本章小結(jié)51-52
• 第六章 實(shí)驗(yàn)結(jié)果及分析52-58
• 6.1 改進(jìn)型SSDT掛鉤實(shí)驗(yàn)52-54
• 6.2 模糊識(shí)別檢測(cè)模型實(shí)驗(yàn)54-57
• 6.2.0 實(shí)驗(yàn)測(cè)試環(huán)境54
• 6.2.1 實(shí)驗(yàn)樣本與流程54
• 6.2.2 檢測(cè)結(jié)果與性能分析54-57
• 6.3 本章小結(jié)57-58
• 第七章 總結(jié)與展望58-60
• 7.1 總結(jié)58
• 7.2 展望58-60
• 致謝60-61
• 參考文獻(xiàn)61-63

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前3條

1 楊宏宇;朱丹;謝豐;謝麗霞;;入侵異常檢測(cè)研究綜述[J];電子科技大學(xué)學(xué)報(bào);2009年05期

2 徐思明;薛質(zhì);;Windows進(jìn)程信息注入與API掛鉤技術(shù)研究[J];信息安全與通信保密;2010年10期

3 張亞航;劉波;韓嘯;姜電波;靳遠(yuǎn)游;;Windows系統(tǒng)下多種Rootkit隱藏方式分析以及探測(cè)方法研究[J];信息網(wǎng)絡(luò)安全;2009年05期

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 彭榮輝;基于過濾驅(qū)動(dòng)的安全文件系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];北京交通大學(xué);2011年

  本文關(guān)鍵詞：Rootkit的改進(jìn)型實(shí)現(xiàn)與檢測(cè)技術(shù)研究，，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：354690