本文關(guān)鍵詞：鏈表導(dǎo)向的指向圖內(nèi)核數(shù)據(jù)結(jié)構(gòu)取證技術(shù)

  更多相關(guān)文章： 內(nèi)存分析 數(shù)據(jù)結(jié)構(gòu) 安全 操作系統(tǒng) 內(nèi)存取證 逆向工程

【摘要】：內(nèi)核數(shù)據(jù)結(jié)構(gòu)取證技術(shù)就是在已知內(nèi)核數(shù)據(jù)結(jié)構(gòu)的定義下,依據(jù)目標(biāo)數(shù)據(jù)結(jié)構(gòu)的先驗(yàn)知識(shí)構(gòu)造出對(duì)應(yīng)的Signatures,然后依靠Signatures從內(nèi)存鏡像中識(shí)別出目標(biāo)數(shù)據(jù)結(jié)構(gòu)在內(nèi)存中的實(shí)例。該技術(shù)在安全領(lǐng)域具有非常重要的價(jià)值,廣泛應(yīng)用于各種安全和取證應(yīng)用中。通常情況下,目標(biāo)數(shù)據(jù)結(jié)構(gòu)實(shí)例識(shí)別結(jié)果依賴于Signatures的選擇。如果Signatures能夠恰當(dāng)?shù)貥?biāo)示目標(biāo)數(shù)據(jù)結(jié)構(gòu)的特征,與目標(biāo)數(shù)據(jù)結(jié)構(gòu)在內(nèi)存中的實(shí)例集合具有良好的匹配度,并且不易被內(nèi)核模式rootkit繞過(guò),那么識(shí)別的結(jié)果將具有很高的可信度。 內(nèi)核數(shù)據(jù)結(jié)構(gòu)取證技術(shù)已廣泛被安全研究者研究,當(dāng)前存在的技術(shù)根據(jù)Signatures的特點(diǎn)大致分為兩類。第一類是基于域值不變量作為Signatures的取證技術(shù),而第二類是基于指針指向拓?fù)浣Y(jié)構(gòu)圖作為Signatures的取證技術(shù)。雖然這些技術(shù)在一定范圍內(nèi)能夠有效識(shí)別內(nèi)核數(shù)據(jù)結(jié)構(gòu),但仍然存在一些不足之處。比如,域值不變量取證方法存在誤報(bào)率高、魯棒性差等缺陷,指針指向拓?fù)浣Y(jié)構(gòu)圖取證技術(shù)由于難于準(zhǔn)確區(qū)分指針變量與類指針變,存在void指針、NULL指針等問(wèn)題,影響識(shí)別結(jié)果的準(zhǔn)確性。另外指針域也易于被攻擊者竄改,魯棒性也不是很好。 本文針對(duì)現(xiàn)有取證技術(shù)的不足,提出了一種鏈表導(dǎo)向的指向圖內(nèi)核數(shù)據(jù)結(jié)構(gòu)取證技術(shù)。我們的取證技術(shù)的核心是使用了一種新的內(nèi)核數(shù)據(jù)結(jié)構(gòu)Signatures,選擇該Signatures源于Linux內(nèi)核鏈表對(duì)象的先驗(yàn)知識(shí),即鏈表對(duì)象對(duì)應(yīng)的實(shí)例在內(nèi)存中易于識(shí)別,并且廣泛存在和難以被竄改,非常適合生成良好的Signatures�？傮w上看,我們選擇的新Signatures分為兩類,一類是以鏈表域偏移值序列作為Signatures,另一類是以數(shù)據(jù)結(jié)構(gòu)中的鏈表域和指針域兩種特征生成的指向圖作為Signatures。如果數(shù)據(jù)結(jié)構(gòu)的鏈表域偏移值序列能夠充分標(biāo)示其實(shí)例的特征,則優(yōu)先選擇這類Signatures。否則的話,為其構(gòu)造包含盡可能多的鏈表對(duì)象、盡可能少的其他類型指針的指向圖Signatures。由于在構(gòu)造數(shù)據(jù)結(jié)構(gòu)的Signatures中充充分利用了具有良好特性的鏈表對(duì)象,因此與以前的工作相比,基于這種新的Signatures的取證技術(shù)具有識(shí)別正確性高、魯棒性強(qiáng)、識(shí)別速度快等優(yōu)點(diǎn)。
【關(guān)鍵詞】：內(nèi)存分析 數(shù)據(jù)結(jié)構(gòu) 安全 操作系統(tǒng) 內(nèi)存取證 逆向工程
【學(xué)位授予單位】：南京大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2012
【分類號(hào)】：D918;TP311.12
【目錄】：

• 摘要4-6
• Abstract6-8
• 目錄8-10
• 第一章 引言10-19
• 1.1 研究背景10-14
• 1.2 研究現(xiàn)狀14-16
• 1.2.1 域值不變量取證技術(shù)14-15
• 1.2.2 指針指向圖取證技術(shù)15-16
• 1.3 主要工作和論文組織16-19
• 1.3.1 主要工作16-17
• 1.3.2 論文組織17-19
• 第二章 相關(guān)工作19-31
• 2.1 域值不變量取證技術(shù)19-21
• 2.2 指針指向關(guān)系圖取證技術(shù)21-27
• 2.2.1 內(nèi)核對(duì)象定位技術(shù)KOP22-23
• 2.2.2 指向圖依賴的暴力識(shí)別技術(shù)Siggraph23-27
• 2.3 數(shù)據(jù)結(jié)構(gòu)類型推斷27-28
• 2.4 依靠Signatures的惡意軟件檢測(cè)28-29
• 2.5 數(shù)字取證29-31
• 第三章 鏈表導(dǎo)向的指向圖內(nèi)核數(shù)據(jù)結(jié)構(gòu)取證技術(shù)31-55
• 3.1 基本思想32-39
• 3.1.1 技術(shù)出發(fā)點(diǎn)32-35
• 3.1.2 LSignatures的含義35-39
• 3.2 總體結(jié)構(gòu)39-41
• 3.3 LSignatures生成41-51
• 3.3.1 鏈表域LSignatures生成41-45
• 3.3.2 指向圖LSignatures生成45-51
• 3.4 識(shí)別器構(gòu)造與內(nèi)存鏡像分析51-53
• 3.4.1 識(shí)別器構(gòu)造51-52
• 3.4.2 內(nèi)存鏡像分析52-53
• 3.5 實(shí)際面臨的問(wèn)題和解決方法53-54
• 3.6 本章小結(jié)54-55
• 第四章 實(shí)驗(yàn)55-59
• 4.1 內(nèi)存鏡像的獲取55
• 4.2 list_head實(shí)例的提出55-56
• 4.3 生成內(nèi)核數(shù)據(jù)結(jié)構(gòu)的LSignatures56-57
• 4.4 識(shí)別數(shù)據(jù)結(jié)構(gòu)實(shí)例57-58
• 4.5 性能評(píng)價(jià)58-59
• 第五章 總結(jié)與未來(lái)工作59-61
• 5.1 論文總結(jié)59-60
• 5.2 未來(lái)工作60-61
• 參考文獻(xiàn)61-67
• 致謝67-69

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 胡永祥;;基于S3C44B0X平臺(tái)的μC/OS-II的移植[J];魅力中國(guó);2009年35期

2 ;[J];;年期

3 ;[J];;年期

4 ;[J];;年期

5 ;[J];;年期

6 ;[J];;年期

7 ;[J];;年期

8 ;[J];;年期

9 ;[J];;年期

10 ;[J];;年期

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前1條

1 王浩;鏈表導(dǎo)向的指向圖內(nèi)核數(shù)據(jù)結(jié)構(gòu)取證技術(shù)[D];南京大學(xué);2012年

，

本文編號(hào)：991058