学位论文 > 优秀研究生学位论文题录展示
基于.NT的Rootkit检测系统的研究与实现
作 者: 罗宁
导 师: 杨霞; 施泉荣
学 校: 电子科技大学
专 业: 软件工程
关键词: 后门程序 Rootkit检测 SecRoot技术 Multi-way技术
分类号: TP274
类 型: 硕士论文
年 份: 2013年
下 载: 15次
引 用: 0次
阅 读: 论文下载
内容摘要
由于Rootkit使用深层隐藏技巧,传统的基于文件系统过滤实现的反病毒检测软件已经很难检测其存在性。任何一款木马病毒只要依附上Rootkit,反病毒软件即无力去检测它的存在。并且随着Rootkit技术本身的高速发展,现有的流行Rootkit检测工具已经无法检测出最新的Rootkit(如FUTo和FHide等)。无疑,Rootkit已成为威胁信息系统安全的最棘手的问题。而由于商业机密等种种原因,关于Rootkit检测技术的资料和有效工具还比较匮乏。在易失数据检测细化框架的检测分支研究过程中,探讨了进程、驱动、端口元素的具体检测实现。进程部分利用Multi-way based思想综合了五种检测方法的结果。驱动部分利用Multi-way based的思想综合了两种检测方法的结果。在非易失数据检测细化框架的检测分支研究过程中,探讨了文件和注册表元素的检测实现。最终,通过综合易失与非易失这两部分的检测细化框架实现过程,完成了设计的总体检测方案的具体实现。通过对入侵检测信息进行优化,可以提升Rootkit信息控制能力,在技术分析与控制过程中需要进行全面的数据模型控制,通过优化信息管理策略,可以提升数据信息的控制能力,对数据安全管理产生积极的作用,从多方面提升数据信息的管理水平,对数据信息模型化管理进行平台优化。在分析Rootkit检测系统方法结构的基础上,设计了一种针对Rootkit检测的总体技术方案。该方案内部包含了针对Rootkit非易失性和易失性数据的检测两部分。其中,非易失性数据检测部分内部应用了多种检测方法综合的Multi-way based的思想。最后,本文给出了基于该检测方案实现的Rootkit检测原型系统SecRootAnti-Rootkit,并与其它Rootkit检测工具作了对比测试分析。该方法和技术在本领域中具有一定实用价值和参考意义。
|
全文目录
摘要 5-6 ABSTRACT 6-8 目录 8-10 第一章 绪论 10-15 1.1 选题的依据和意义 10-11 1.2 Rootkit 概述与背景 11-12 1.2.1 Rookit 的概念 11 1.2.2 Rootkit 起源 11 1.2.3 Rookit 检测研究的方法和手段 11-12 1.3 国内外研究现状 12-13 1.4 本文的主要工作 13-14 1.5 论文的组织结构 14-15 第二章 Rootkit 检测的技术研究 15-27 2.1 UserMode Rootkit 技术 15-19 2.2 DKOM--基于链数据结构的 Rootkit 技术 19-20 2.3 DKOM--基于 Table 数据结构的 Rootkit 技术 20-21 2.4 基于 KernelMode hook 的 Rootkit 技术 21-25 2.5 基于标准驱动模型的 Rootkit 技术 25 2.6 本章小结 25-27 第三章 Rootkit 检测的总体设计 27-35 3.1 Multi-way based 检测思想的需求与其实现考虑 27-32 3.1.1 基于单一检测方法的工具与薄弱性 27-28 3.1.2 Muti-way based 的概念 28-31 3.1.3 Muti-way based 的实现考虑 31-32 3.2 Rootkit 检测的方案设计思路 32-33 3.3 本文的总体检测技术方案 33-34 3.4 本章小结 34-35 第四章 Rootkit 检测技术的研究与实现 35-73 4.1 Rootkit 易失性数据检测的研究与实现 35-58 4.1.1 易失性数据检测的技术细化框架 35-36 4.1.2 Rootkit 检测方案进程分支的研究与实现 36-53 4.1.3 Rootkit 检测方案驱动分支的研究与实现 53-54 4.1.4 Rootkit 检测方案端口分支的研究与实现 54-58 4.2 Rootkit 非易失性数据检测的研究与实现 58-72 4.2.1 非易失性数据检测的技术细化框架 58-59 4.2.2 Rootkit 检测方案文件分支的研究与实现 59-66 4.2.3 Rootkit 检测方案注册表分支的研究与实现 66-72 4.3 本章小结 72-73 第五章 Rootkit 检测原型的测试与分析 73-77 5.1 本文 Rootkit 检测原型的功能构成与运行截图 73-74 5.2 Rootkit 检测原型的测试结果 74-76 5.3 Rootkit 检测原型的测试结果分析 76 5.4 本章小结 76-77 第六章 结论 77-79 6.1 选题背景与意义 77 6.2 本文工作与特色 77 6.3 下一步工作 77-79 致谢 79-80 参考文献 80-83
|
相似论文
- 基于系统虚拟化技术的内核态Rootkit检测,TP391.3
- 基于硬件虚拟技术的Rootkit检测技术研究,TP393.08
- 基于Multi-Agent的评标决策支持系统研究,TU723
- 基于Multi-Agent技术的分布式库存系统建模与仿真研究,F253.4
- 基于Multi-Agent的适应性网络教学系统的架构与实现,G434
- 网络主动防御系统中的rootkit检测与个人防火墙,TP393.08
- Windows环境恶意代码检测技术研究,TP309.5
- 一种反间谍软件的设计与实现,TP311.52
- 基于Multi-agent人工免疫原理的计算机系统资源保护模型设计与实现,TP393.08
- 信息监控与取证系统的设计与实现,TP393.08
- 基于Multi-Agent技术的股价操纵监管系统研究,TP319
- Linux下内核级Rootkit检测防护机制的研究,TP316.81
- Win32平台下内核Rootkit检测技术的研究与应用,TP393.08
- 基于AWARD主板的BIOS ROOTKIT检测技术研究,TP393.08
- 基于计算机物理内存分析的Rootkit查找方法研究与实现,D918.2
- Windows系统Rootkit检测技术的研究,TP316.7
- 基于Windows操作系统的Rootkit检测系统研究,TP316.7
- 基于Linux内核的Rootkit研究,TP316.81
- 汽车滚装码头的堆场生产作业调度研究,U691.3
- 基于千兆网的双相机高速同步采集系统设计,TP274.2
- 基于DSP的三维测头数据采集处理系统的研制,TP274.2
中图分类: > 工业技术 > 自动化技术、计算机技术 > 自动化技术及设备 > 自动化系统 > 数据处理、数据处理系统
© 2012 www.xueweilunwen.com
|