本文選題：計算機(jī)取證　切入點：rootkit檢測　出處：《山東輕工業(yè)學(xué)院》2011年碩士論文

【摘要】：信息技術(shù)極大地促進(jìn)了人類社會的進(jìn)步,同時也帶來了計算機(jī)犯罪問題。黑客入侵、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)色情等案件的出現(xiàn)影響了互聯(lián)網(wǎng)的健康發(fā)展,更是破壞了正常的經(jīng)濟(jì)發(fā)展和社會生活秩序。計算機(jī)取證(Computer Forensics)是打擊計算機(jī)犯罪所使用的主要技術(shù)手段,是目前法律工作者和信息技術(shù)工作者共同研究重點內(nèi)容。 本文針對傳統(tǒng)的rootkit查找方法的缺陷,根據(jù)物理內(nèi)存分析技術(shù)的發(fā)展提出的。通過分析物理內(nèi)存,得到所需的目標(biāo)機(jī)器上存在rootkit木馬或者不存在的證據(jù)。首先深入研究和分析了計算機(jī)物理內(nèi)存鏡像獲取技術(shù)和Rootkit的攻擊原理。在文中還介紹當(dāng)今流行的Windows Rootkit。 經(jīng)過分析windows rootkit原理可知,rootkit用于隱藏的技術(shù)比較多,如在中斷描述符表(IDT)和系統(tǒng)服務(wù)描述符表(SSDT)等地方設(shè)置鉤子或直接修改某些內(nèi)核數(shù)據(jù)結(jié)構(gòu)。本文中詳細(xì)的分析了幾種rootkit的隱藏技術(shù)的原理,分析了幾種常用的windows rootkit檢測工具。 無論Windows Rootkit是通過修改中斷描述符表、驅(qū)動函數(shù)還是系統(tǒng)服務(wù)調(diào)度表等地方來實現(xiàn)欺騙系統(tǒng),讓系統(tǒng)執(zhí)行其非法代碼,實現(xiàn)其非法目的,都要把它的進(jìn)程隱藏起來。為了不讓系統(tǒng)或者反Rootkit程序發(fā)現(xiàn)而隱藏自身的進(jìn)程是Windows Rootkit必須做的工作。根據(jù)這個原理,在檢測Windows rootkit的時候,我們就以檢測隱藏的進(jìn)程為主要依據(jù)來檢測當(dāng)時的系統(tǒng)中是否存在rootkit。 文章中利用基于交叉視圖(Cross-View)的方法來來檢測rootkit。在這個方法中獲得真實的進(jìn)程列表是一個難點,在實驗的過程中通過Windbg調(diào)試內(nèi)核來得到EPROCESS,HADLE_TABLE等重要的內(nèi)核數(shù)據(jù)結(jié)構(gòu)。通過對這些重要的內(nèi)核數(shù)據(jù)結(jié)構(gòu)的研究掌握了通過進(jìn)程句柄表來列舉當(dāng)前系統(tǒng)進(jìn)程列表的方法。 論文主要研究內(nèi)容如下: 1、對計算機(jī)取證的相關(guān)概念,背景及國內(nèi)外的發(fā)展現(xiàn)狀進(jìn)行了詳細(xì)介紹。 2、對Windows XP系統(tǒng)下的日志文件的格式進(jìn)行了詳細(xì)的分析。 3、詳細(xì)的闡述windows系統(tǒng)下常用的幾種獲取物理內(nèi)存鏡像的方法,還介紹了內(nèi)存鏡像的分析方法。 4、概述了windows物理內(nèi)存的管理機(jī)制,并且結(jié)合實例詳細(xì)的介紹了虛擬地址到物理地址的轉(zhuǎn)換方式。 5、對rootkit所使用的幾種技術(shù)原理(如掛鉤系統(tǒng)服務(wù)描述符表,直接內(nèi)核操作法等)進(jìn)行了詳細(xì)的介紹。 6、給出了傳統(tǒng)的rootkit檢測的方法,并且在基于交叉視圖(cross-view)的檢測的基礎(chǔ)上,提出了一種檢測效果比較明顯的檢測方法,且給出了主要的代碼。
[Abstract]:Information technology has greatly promoted the progress of human society, but also brought about computer crime.Hacking, network fraud, network pornography and other cases affect the healthy development of the Internet, but also undermine the normal economic development and social order.Computer Forensic Science (computer Forensic) is the main technical means to combat computer crime.Aiming at the defects of traditional rootkit lookup method, this paper puts forward a new method based on the development of physical memory analysis technology.By analyzing physical memory, evidence that rootkit Trojan exists or does not exist on the target machine is obtained.Firstly, the computer physical memory image acquisition technology and the attack principle of Rootkit are deeply studied and analyzed.This paper also introduces the popular Windows Rootkit.By analyzing the principle of windows rootkit, we know that rootkit is used to hide many techniques, such as setting hooks or modifying some kernel data structures directly in places such as interrupt descriptor table (IDT) and system service descriptor table (SSDT).In this paper, the principle of several rootkit hiding techniques is analyzed in detail, and several commonly used windows rootkit detection tools are analyzed.Hiding a process from being discovered by a system or anti-Rootkit program is a must for Windows Rootkit.According to this principle, when detecting Windows rootkit, we use the hidden process as the main basis to detect the existence of rootkits in the system at that time.In this paper, a cross-view based approach is used to detect rootkits.Through the study of these important kernel data structures, the method of listing the current system process list through the process handle table is discussed.The main contents of this thesis are as follows:1. The related concepts, background and development status of computer forensics are introduced in detail.2. The format of log files in Windows XP system is analyzed in detail.3. Several methods of obtaining physical memory image in windows system are described in detail, and the analysis method of memory mirror is also introduced.4. The management mechanism of windows physical memory is summarized, and the transformation from virtual address to physical address is introduced in detail with an example.5. Several technical principles used in rootkit are introduced in detail, such as linked system service descriptor table, direct kernel operation and so on.6. The traditional method of rootkit detection is given, and based on the cross-view detection, a detection method with obvious effect is proposed, and the main code is given.
【學(xué)位授予單位】：山東輕工業(yè)學(xué)院
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2011
【分類號】：TP393.08;D918.2

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ;內(nèi)存占用與殺毒軟件卡機(jī)原因詳解[J];計算機(jī)與網(wǎng)絡(luò);2010年01期

2 尹亮;文偉平;;Windows 7 SP1下DKOM防攻擊技術(shù)研究[J];信息網(wǎng)絡(luò)安全;2011年07期

3 張登銀;陳召國;;Windows平臺下Rootkit進(jìn)程檢測[J];計算機(jī)技術(shù)與發(fā)展;2011年07期

4 寇應(yīng)展;楊素敏;陳利軍;王紀(jì)增;;基于Libpcap網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)的改進(jìn)[J];軍械工程學(xué)院學(xué)報;2011年03期

5 段芳;徐亮;;對ORACLE在醫(yī)院信息管理中保持?jǐn)?shù)據(jù)庫性能的探討[J];九江學(xué)院學(xué)報(自然科學(xué)版);2011年02期

6 劉鐵武;李峰;;請求分頁式系統(tǒng)設(shè)計的性能保證[J];湖南工程學(xué)院學(xué)報(自然科學(xué)版);2011年02期

7 楊曉亮;吳俊敏;欒蘭;鞏哲;;μC/OS-Ⅱ虛擬化設(shè)計與實現(xiàn)[J];計算機(jī)工程;2011年16期

8 李艷;;電子取證中的隱形數(shù)據(jù)及其相關(guān)處理技術(shù)探究[J];警察技術(shù);2011年04期

9 董靜薇;穆英華;侯濤;孫博凱;;RISC嵌入式系統(tǒng)存儲器管理的軟件優(yōu)化[J];哈爾濱理工大學(xué)學(xué)報;2011年03期

10 劉潭江;;淺談企業(yè)ERP數(shù)據(jù)庫的維護(hù)與優(yōu)化[J];網(wǎng)絡(luò)與信息;2011年08期

相關(guān)會議論文 前10條

1 ;A Method for Rootkit Detection Based on Cross-View[A];2011年全國通信安全學(xué)術(shù)會議論文集[C];2011年

2 莊h，

本文編號：1685180