隨著計算機技術和信息技術的飛速發(fā)展,網(wǎng)絡攻擊方式逐漸內存化,網(wǎng)絡犯罪逐漸隱遁化。在短時間內獲得存儲于易失性存儲介質中的關鍵數(shù)字證據(jù),成為打擊網(wǎng)絡犯罪的重要手段,其使用的主要技術為計算機內存取證。當前的內存取證技術存在掃描時間長、效率低的缺陷,達不到生產環(huán)境中應急響應的時間要求。在短時間內有效檢測內核對象和內核Rootkit,對安全研究人員進行應急響應和攻擊溯源具有重要意義。本文對內存池標記快速掃描技術進行了改進和優(yōu)化,開發(fā)了針對Windows內核驅動對象的新型掃描插件,并提出了一種針對Windows內核Rootkit的自動化檢測方案。本文通過對內存池標記快速掃描技術的研究,分析了Windows平臺下內存取證技術待改進之處,縮小了關鍵內存掃描范圍,添加了針對Windows內核驅動對象的約束條件,開發(fā)了針對Windows內核驅動對象的掃描插件qdriverscan。通過在多維度環(huán)境下對qdriverscan插件進行測試,結果表明該插件在保證掃描準確率不變的前提下,大幅度縮短了Windows內核驅動對象掃描花費的時間,提高了掃描效率。通過總結、分析Windows內核Rootkit檢測技術的優(yōu)...

【文章頁數(shù)】：77 頁

【學位級別】：碩士

【文章目錄】：
摘要
Abstract
第1章 緒論
    1.1 課題研究的背景和意義
        1.1.1 研究背景
        1.1.2 研究意義
    1.2 國內外研究現(xiàn)狀
        1.2.1 國內內存取證技術研究現(xiàn)狀
        1.2.2 國外內存取證技術研究現(xiàn)狀
        1.2.3 Windows內存池標記掃描技術研究現(xiàn)狀
        1.2.4 Windows內核驅動攻擊研究現(xiàn)狀
        1.2.5 內核模式Rootkit發(fā)展研究現(xiàn)狀
    1.3 課題研究內容
        1.3.1 內存池標記快速掃描技術改進研究
        1.3.2 對Windows內核Rootkit取證研究
    1.4 論文組織結構
第2章 內存取證技術研究
    2.1 內存取證的相關概念
    2.2 內存取證的流程及相關技術、工具
        2.2.1 內存取證的總體流程
        2.2.2 內存鏡像的獲取
        2.2.3 內存鏡像的分析
    2.3 本章小結
第3章 Windows內存管理機制、內核驅動及Rootkit研究
    3.1 Windows內存管理機制介紹
        3.1.1 內存管理和映射機制
        3.1.2 Windows的換頁內存池與非換頁內存池
    3.2 Windows內存池標記掃描
        3.2.1 內存池標記掃描
        3.2.2 內存池標記快速掃描
    3.3 Windows內核驅動
    3.4 Rootkit
        3.4.1 Rootkit特點和類型
        3.4.2 Rootkit技術的發(fā)展歷程及技術變革
        3.4.3 Rootkit檢測技術
    3.5 本章小結
第4章 基于內存池標記快速掃描技術的Windows內核驅動攻擊研究
    4.1 總體方案和流程
    4.2 針對Windows內核驅動對象的掃描
        4.2.1 方案簡述
        4.2.2 方案流程
        4.2.3 方案詳細描述
    4.3 針對Windows內核Rootkit的檢測
        4.3.1 方案簡述
        4.3.2 方案具體細節(jié)
    4.4 本章小結
第5章 內存取證實驗測試及分析
    5.1 實驗環(huán)境
    5.2 Windows內核驅動對象的掃描實驗
        5.2.1 物理內存掃描測試
        5.2.2 虛擬內存掃描測試
        5.2.3 不同系統(tǒng)版本掃描測試
        5.2.4 大內存掃描測試
        5.2.5 網(wǎng)絡帶寬測試
    5.3 典型Windows內核Rootkit的檢測實驗
        5.3.1 Stuxnet
        5.3.2 Zero Access
        5.3.3 Uroburos
    5.4 本章小結
結論
參考文獻
攻讀碩士學位期間所發(fā)表的學術論文
致謝



本文編號：3848637