学位论文 > 优秀研究生学位论文题录展示

网络主动防御系统中的rootkit检测与个人防火墙

作 者: 薛寒
导 师: 李祥和
学 校: 解放军信息工程大学
专 业: 计算机软件与理论
关键词: Windows rootkit rootkit检测 隐藏进程 钩挂 系统服务 个人防火墙 SPI NDIS
分类号: TP393.08
类 型: 硕士论文
年 份: 2007年
下 载: 185次
引 用: 0次
阅 读: 论文下载
 

内容摘要


当今的Internet每时每刻都存在危险,如果用户在使用Internet时不采取任何保护措施,就很容易遭到黑客的攻击。本文对Windows rootkit进行了系统的分析研究,根据现有检测工具的不足,提出了阻止和检测并重的解决方案WinRKAD,以有效地防御各种现有Windows rootkit。WinRKAD系统通过在rootkit常用加载处设置过滤程序,拒绝rootkit的加载行为;对于已运行的rootkit,分别从隐藏进程钩挂和隐藏服务等方面进行检测,查找可能出现的异常现象,从而判断系统中是否存在Windows rootkit。另外通过对个人防火墙的发展现状和实现技术的研究,本文设计和实现了DFW个人防火墙系统(简称DFW系统)。DFW系统是个人使用的网络安全程序,它根据用户设置的安全规则把守网络,提供强大的访问控制、信息过滤等功能,帮助用户抵挡网络入侵和攻击,防止信息泄露。DFW系统采用用户层/核心层双重过滤机制,在用户模式下采用Winsock SPI技术,在内核模式下采用NDIS中间层驱动程序技术。接着对WinRKAD rootkit检测系统和DFW个人防火墙系统进行了测试,测试表明,这两个系统实现了设计目标,达到了设计要求。WinRKAD解决方案弥补了现有检测方法的不足,可以有效地阻止和检测各种Windows rootkit。最后总结了所做的工作,并指出了下一步的工作方向。

全文目录


表目录  7-8
图目录  8-9
摘要  9-10
ABSTRACT  10-11
第一章 绪论  11-14
  1.1 研究背景  11-12
  1.2 研究的主要内容  12
  1.3 论文的组织结构  12-14
第二章 Windows rootkit概述和核心技术  14-29
  2.1 Windows rootkit概述  14-15
    2.1.1 Windows rootkit的定义  14
    2.1.2 Windows rootkit与其它恶意代码的区别  14-15
    2.1.3 Windows rootkit的分类  15
    2.1.4 Windows rootkit的危害  15
  2.2 Windows相关概念概述  15-20
    2.2.1 用户空间、内核空间  15-16
    2.2.2 进程和线程  16
    2.2.3 系统服务  16-19
    2.2.4 INT 2Eh中断处理程序  19-20
    2.2.5 钩挂和钩挂函数  20
  2.3 Windows用户模式rootkit使用技术  20-22
    2.3.1 钩挂输入地址表  20-21
    2.3.2 替换文件  21
    2.3.3 修改原始代码  21-22
  2.4 Windows内核模式rootkit使用技术  22-26
    2.4.1 内核级钩挂  22-25
    2.4.3 修改内核代码  25
    2.4.4 修改内核数据结构  25-26
  2.5 Windows rootkit其他常用技术  26-28
    2.5.1 通信隐藏技术  26
    2.5.2 动态装入技术  26-28
    2.5.3 攻击性rootkit技术  28
  2.6 小结  28-29
第三章 Windows rootkit已有检测方法  29-34
  3.1 检测隐藏进程  29-30
    3.1.1 Klister方法  29-30
    3.1.2 钩挂函数方法  30
  3.2 检测钩挂函数  30-31
    3.2.1 VICE方法  30
    3.2.2 SDTRestore方法  30-31
  3.3 执行路径分析  31-32
  3.4 检测隐蔽通信  32
  3.5 内存完整性检测方法  32
  3.6 各种检测方法评述  32-33
  3.7 小结  33-34
第四章 网络主动防御系统中的rootkit防御系统的设计与实现  34-52
  4.1 设计思想  34
  4.2 设计目标  34-35
  4.3 系统体系结构  35
  4.4 各系统模块具体实现  35-52
    4.4.1 驱动加载阻止模块  35-36
    4.4.2 检测隐藏进程  36-45
    4.4.3 检测钩挂  45-48
    4.4.4 检测隐藏服务  48-52
第五章 个人防火墙的发展现状和实现技术  52-59
  5.1 个人防火墙的概念  52-53
  5.2 个人防火墙技术的发展现状和发展趋势  53
  5.3 个人防火墙的实现技术  53-58
    5.3.1 用户模式下的数据包拦截技术  54-55
    5.3.2 内核模式下的数据包拦截技术  55-58
  5.4 小结  58-59
第六章 个人防火墙系统的设计与实现  59-70
  6.1 DFW系统设计思想和设计目标  59-60
  6.2 DFW系统的总体设计  60-61
  6.3 DFW系统具体实现  61-69
    6.3.1 主模块的实现  61
    6.3.2 应用程序网络访问控制模块的实现  61-66
    6.3.3 网络数据包拦截与过滤模块的实现  66-69
  6.4 小结  69-70
第七章 系统测试  70-76
  7.1 测试环境  70
    7.1.1 WinRKAD系统测试环境  70
    7.1.2 DFW系统测试环境  70
  7.2 系统测试  70-75
    7.2.1 WinRKAD系统测试  70-72
    7.2.2 DFW系统测试  72-75
  7.3 小结  75-76
结束语  76-78
参考文献  78-80
作者简历 攻读硕士学位期间完成的主要工作  80-81
致谢  81

相似论文

  1. 乡村生态系统服务功能评估与研究,X171
  2. 面向信息物理系统的IEEE802.15.4MAC协议分析及优化,TP212.9
  3. 驱动级木马传输和加密算法设计与实现,TP393.08
  4. 苏北滨海湿地土地资源开发利用与生态安全动态分析,X171
  5. 基于CPLD的射频模块控制台的研究与设计,TP391.44
  6. UWB系统中包处理模块的设计与实现,TN925
  7. 基于DaVinci平台的传感器网络定位显示设备实现,TN929.5
  8. 基于DM368的高清IP Camera的软件系统设计与实现,TP391.41
  9. 基于TCP/IP的无轴胶印机远程监控系统的设计,TP277
  10. 区域土地利用变化与生态系统服务价值动态变化研究,F301
  11. 安徽移动宽带P-BOSS系统研究,TN929.5
  12. 终端特定信息检测系统的研究与实现,TP309
  13. ARP欺骗防御系统设计与实现,TP393.08
  14. 智能化短路开断器的研究,TM563
  15. 基于三色LED光源的投影系统研究,TN946.1
  16. 几何图形识别与测量图像技术研究,TP391.41
  17. 点火系统中恒流源的监控板设计,TJ414
  18. P2P视频点播系统优化的研究与实现,TP393.09
  19. 基于RS&GIS的县域生态系统服务价值及其动态变化研究,P208;P237
  20. 基于生态系统服务价值的德化县土地利用结构优化研究,F301
  21. 长株潭地区森林生态系统服务功能价值评价研究,S718.5

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com