学位论文 > 优秀研究生学位论文题录展示

基于Win32 Rootkit的隐蔽平台设计与实现

作 者: 贾范兵
导 师: 李毅超
学 校: 电子科技大学
专 业: 软件工程
关键词: windows Rootkit 隐藏 内存伪装
分类号: TP311.52
类 型: 硕士论文
年 份: 2010年
下 载: 106次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着网络技术的发展,计算机应用在各行各业不断深入和普及,越来越多的重要信息在计算机系统中储存和网络中传输,系统和网络安全越来越受到人们关注。恶意代码技术也随着网络技术的发展而日益强大。为了保障自身生存能力,恶意程序采用众多的隐蔽技术来对抗检测,其中以Rootkit技术最为强大,此技术能够使恶意软件具有管理员权限且长期潜伏于被控制计算机系统中,并躲避安全软件的检测。攻击者通过将Rootkit技术与恶意程序相结合,使得恶意程序在系统中越来越难易检测,对计算机用户产生了很大威胁。本文对windows Rootkit进行了全面系统地研究。首先,介绍了windows Rootkit的定义、发展历史以及主要功能。然后分别介绍了windows API调用机制、内核对象运行原理以及驱动程序工作机理。在此基础上,对现今出现的各种Rootkit技术进行了系统地研究,分析了它们的运行机制,并对各种技术的优缺点进行了归纳总结。在对Rootkit各种技术深入研究的基础上,本文实现了一种基于win32 Rootkit技术的隐藏平台。此平台由两部分组成:用户模块部分和内核模块部分。用户模块部分由两模块组成:控制台模块和过渡DLL模块。控制台模块主要对命令行参数的正确性进行分析,然后将参数传递给过渡DLL模块。过渡DLL模块导出一组功能函数,提供控制台模块调用。内核模块部分由两模块组成:内核功能模块和辅助功能模块。内核功能模块主要功能是运用各种Rootkit技术,实现对文件、进程、注册表以及网络连接的隐藏。辅助模块通过运用内存伪装技术对内核功能模块进行隐藏,隐藏的主要目的是防止内核功能模块被基于内存特征码扫描的安全软件查杀。此平台主要功能是生成对目标文件、进程、注册表等重要信息实现隐藏的驱动模块。由于此平台集成了现今常用的Rootkit技术,用户可以根据需要有选择地运用一种或多种Rootkit技术对目标进行隐藏。除此之外,隐藏软件中通过结合内存伪装技术,能够成功地躲避基于内存特征码扫描安全软件的检测。文章对平台总体设计方案和各模块功能做出了详细的阐述,并对其进行了测试评估,达到预期效果。

全文目录


摘要  4-5
ABSTRACT  5-10
第一章 引言  10-13
  1.1 研究背景  10
  1.2 国内外现状与研究意义  10-11
  1.3 论文研究内容  11
  1.4 论文组织结构  11-13
第二章 Windows Rootkit 及其隐藏方法  13-42
  2.1 Windows Rootkit 定义  13
  2.2 Windows Rootkit 发展历史  13-14
  2.3 Windows Rootkit 功能  14
  2.4 Windows 系统内核相关概念  14-17
    2.4.1 用户模式和内核模式  14-15
    2.4.2 操作系统总体架构  15-16
    2.4.3 Native API 调用过程  16-17
  2.5 SSDT HOOK 技术  17-19
    2.5.1 SSDT 表和SSDT HOOK 原理  17-19
    2.5.2 SSDT HOOK 优缺点  19
  2.6 DKOM HOOK 技术  19-21
    2.6.1 DKOM 原理  20
    2.6.2 DKOM 优缺点  20-21
  2.7 IRP HOOK 技术  21-29
    2.7.1 驱动相关概念  21-28
    2.7.2 IRP HOOK 原理  28-29
    2.7.3 IRP HOOK 优缺点  29
  2.8 EAT HOOK 技术  29-32
    2.8.1 输出表结构  29-31
    2.8.2 EAT HOOK 原理  31-32
    2.8.3 EAT HOOK 优缺点  32
  2.9 Detours 技术  32-34
    2.9.1 Detours 原理  32-34
    2.9.2 Detours 优缺点  34
  2.10 内存伪装技术  34-41
    2.10.1 内核体系结构  34-37
    2.10.2 内存伪装原理  37-41
    2.10.3 内核伪装技术优缺点  41
  2.11 小结  41-42
第三章 Windows 隐藏平台总体设计  42-45
  3.1 平台简介  42-43
  3.2 隐藏平台主要功能  43
  3.3 平台的特征  43-44
  3.4 小结  44-45
第四章 用户模块设计与实现  45-55
  4.1 用户模块概述  45
  4.2 接口设计  45-47
  4.3 用户模块的实现  47-54
  4.4 小结  54-55
第五章 内核模块设计与实现  55-82
  5.1 内核模块概述  55
  5.2 辅助功能模块实现  55-57
  5.3 内核功能模块实现  57-81
    5.3.1 内核功能模块概述  57-58
    5.3.2 隐藏文件  58-69
    5.3.3 隐藏注册表  69-78
    5.3.4 隐藏进程  78-80
    5.3.5 隐藏网络  80-81
  5.4 小结  81-82
第六章 隐蔽平台测试结果分析  82-88
  6.1 安全软件检测结果分析  82-84
  6.2 隐藏功能测试分析  84-88
第七章 结论与展望  88-90
  7.1 工作总结  88
  7.2 下一步工作  88-90
致谢  90-91
参考文献  91-95

相似论文

  1. 矢量CAD电子图纸保护系统研究,TP391.72
  2. 关于合同双方当事人意思表示的分析,D923.6
  3. 图像信息隐藏技术的应用研究,TP309.7
  4. 面向无线视频传输的H.264错误隐藏技术研究,TN919.81
  5. 基于图像的信息隐藏技术研究,TP309.7
  6. 基于离散小波变换的图像水印算法研究,TP309.7
  7. 基于主板固件的程序隐藏技术研究,TP309
  8. 基于视窗操作系统的程序隐藏技术术究,TP393.08
  9. 终端特定信息检测系统的研究与实现,TP309
  10. 基于即时语音通信的信息隐藏技术研究,TP309
  11. 网络隐蔽信道检测技术的研究,TP393.08
  12. 纠错编码与优化算法在图像隐写中的应用研究,TP309.7
  13. 数据安全存储系统的研究与实现,TP309.2
  14. 继电保护隐藏故障监测方法研究,TM774
  15. 低速率语音编码中的信息隐藏研究与实现,TN912.3
  16. 磁盘伪装与隐藏技术研究,TP333.35
  17. 视频隐写分析算法研究,TP309
  18. 一个对称的四维混沌系统及其信息隐藏应用,TP309.7
  19. 基于纠错码的信息隐藏容量模型及应用研究,TP309.7
  20. 反内核模式驱动级病毒技术研究及策略分析,TP309.5
  21. JPEG图像隐写实用检测系统研究,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 程序设计、软件工程 > 软件工程 > 软件开发
© 2012 www.xueweilunwen.com