网络主动防御系统中的rootkit检测与个人防火墙

论文摘要

当今的Internet每时每刻都存在危险,如果用户在使用Internet时不采取任何保护措施,就很容易遭到黑客的攻击。本文对Windows rootkit进行了系统的分析研究,根据现有检测工具的不足,提出了阻止和检测并重的解决方案WinRKAD,以有效地防御各种现有Windows rootkit。WinRKAD系统通过在rootkit常用加载处设置过滤程序,拒绝rootkit的加载行为;对于已运行的rootkit,分别从隐藏进程、钩挂和隐藏服务等方面进行检测,查找可能出现的异常现象,从而判断系统中是否存在Windows rootkit。另外通过对个人防火墙的发展现状和实现技术的研究,本文设计和实现了DFW个人防火墙系统(简称DFW系统)。DFW系统是个人使用的网络安全程序,它根据用户设置的安全规则把守网络,提供强大的访问控制、信息过滤等功能,帮助用户抵挡网络入侵和攻击,防止信息泄露。DFW系统采用用户层/核心层双重过滤机制,在用户模式下采用Winsock SPI技术,在内核模式下采用NDIS中间层驱动程序技术。接着对WinRKAD rootkit检测系统和DFW个人防火墙系统进行了测试,测试表明,这两个系统实现了设计目标,达到了设计要求。WinRKAD解决方案弥补了现有检测方法的不足,可以有效地阻止和检测各种Windows rootkit。最后总结了所做的工作,并指出了下一步的工作方向。

论文目录

表目录

图目录

摘要

ABSTRACT

第一章绪论

1.1 研究背景

1.2 研究的主要内容

1.3 论文的组织结构

第二章 Windows rootkit概述和核心技术

2.1 Windows rootkit概述

2.1.1 Windows rootkit的定义

2.1.2 Windows rootkit与其它恶意代码的区别

2.1.3 Windows rootkit的分类

2.1.4 Windows rootkit的危害

2.2 Windows相关概念概述

2.2.1 用户空间、内核空间

2.2.2 进程和线程

2.2.3 系统服务

2.2.4 INT 2Eh中断处理程序

2.2.5 钩挂和钩挂函数

2.3 Windows用户模式rootkit使用技术

2.3.1 钩挂输入地址表

2.3.2 替换文件

2.3.3 修改原始代码

2.4 Windows内核模式rootkit使用技术

2.4.1 内核级钩挂

2.4.3 修改内核代码

2.4.4 修改内核数据结构

2.5 Windows rootkit其他常用技术

2.5.1 通信隐藏技术

2.5.2 动态装入技术

2.5.3 攻击性rootkit技术

2.6 小结

第三章 Windows rootkit已有检测方法

3.1 检测隐藏进程

3.1.1 Klister方法

3.1.2 钩挂函数方法

3.2 检测钩挂函数

3.2.1 VICE方法

3.2.2 SDTRestore方法

3.3 执行路径分析

3.4 检测隐蔽通信

3.5 内存完整性检测方法

3.6 各种检测方法评述

3.7 小结

第四章网络主动防御系统中的rootkit防御系统的设计与实现

4.1 设计思想

4.2 设计目标

4.3 系统体系结构

4.4 各系统模块具体实现

4.4.1 驱动加载阻止模块

4.4.2 检测隐藏进程

4.4.3 检测钩挂

4.4.4 检测隐藏服务

第五章个人防火墙的发展现状和实现技术

5.1 个人防火墙的概念

5.2 个人防火墙技术的发展现状和发展趋势

5.3 个人防火墙的实现技术

5.3.1 用户模式下的数据包拦截技术

5.3.2 内核模式下的数据包拦截技术

5.4 小结

第六章个人防火墙系统的设计与实现

6.1 DFW系统设计思想和设计目标

6.2 DFW系统的总体设计

6.3 DFW系统具体实现

6.3.1 主模块的实现

6.3.2 应用程序网络访问控制模块的实现

6.3.3 网络数据包拦截与过滤模块的实现

6.4 小结

第七章系统测试

7.1 测试环境

7.1.1 WinRKAD系统测试环境

7.1.2 DFW系统测试环境

7.2 系统测试

7.2.1 WinRKAD系统测试

7.2.2 DFW系统测试

7.3 小结

结束语

参考文献

作者简历攻读硕士学位期间完成的主要工作

致谢

网络主动防御系统中的rootkit检测与个人防火墙

论文摘要

论文目录

相关论文文献

猜你喜欢