学位论文 > 优秀研究生学位论文题录展示

Linux下内核级Rootkit检测防护机制的研究

作 者: 龚友
导 师: 范明钰
学 校: 电子科技大学
专 业: 信息与通信工程
关键词: Linux 内核 Rootkit 检测 防护
分类号: TP316.81
类 型: 硕士论文
年 份: 2009年
下 载: 120次
引 用: 1次
阅 读: 论文下载
 

内容摘要


随着计算机技术的发展,计算机在越来越多的领域得到了应用。由于Linux系统的开源性,使其深受广大用户的喜爱,那么Linux系统的安全也比以往任何时候都显得重要。随着Linux下Rootkit技术的不断深入以及其破坏越来越大,增加Linux系统的安全迫在眉睫。论文首先介绍了Rootkit的基本知识,Linux系统下内核级Rootkit术在国内外的发展现状。由于Rootkit的发展很快,而且破坏性很大,所以我们有必要要对系统的安全作进一步的研究。接着介绍了Linux系统的一些基础理论知识,如中断异常,系统调用,可加载模块等,为下的内容打下基础论文随后研究了内核级Rootkit使用的各种主要技术,并在对其原理进行分析的基础上,给出该方法的具体实现。主要技术包括中断劫持,分析中断劫持的可行性,中断劫持的步骤和的实现;系统调用劫持,在分析可行性基础上给出导出系统调用表和不导出系统调用表两种情况下系统调用劫持的实现方法;函数体劫持,在分析可行性基础上给出函数劫持的具体实现;利用LKM注入技术实现模块隐藏和后门等技术。本文最后重点研究了内核级Rootkit的检测防护机制,内核级的Rootkit要想得到运行的机会,有两种方法一种方法就是修改函数指针,使它指向Rootkit中的函数;另一种方法就是修改函数体,把函数的开始几个字节改成跳转指令,本文在分析基础上给出了内核级Rootkit的检测方案,该方案不仅检查内核空间的函数指针,还检查内核空间的函数体,因为内核空间的函数很多如果都要对它们进行检查的话很耗时间,会严重影响系统的性能,所有本文采取了一种折中的办法,与现有检测方法相比本文还分析该方案的优缺点。本文最后还研究了内核级Rootkit的防护机制,主要包括两个部分:一部分是对内核重要数据结构的保护,另一部分是对内核函数的保护。

全文目录


摘要  4-5
ABSTRACT  5-8
第一章 绪论  8-12
  1.1 引言  8-9
  1.2 国内外发展现状及研究意义  9-10
  1.3 论文所做的主要工作  10-11
  1.4 论文结构介绍  11-12
第二章 Rootkit 相关原理分析  12-26
  2.1 系统的硬件基础  12-14
  2.2 Linux内核分析  14-22
    2.2.1 内存访问机制  14-15
    2.2.2 中断和异常处理机制  15-18
    2.2.3 系统调用  18-20
    2.2.4 Linux 内核符号表  20-21
    2.2.5 内核函数的特征  21-22
  2.3 Linux操作系统的可加载内核机制  22-25
    2.3.1 LKM 模块的框架  23
    2.3.2 LKM 模块的编译  23
    2.3.3 LKM 模块的载入  23-24
    2.3.4 LKM 模块的卸载  24-25
  2.4 本章小结  25-26
第三章 Rootkit 技术及其实现原理分析及其实现  26-47
  3.1 中断劫持  26-29
    3.1.1 可行性分析  26-27
    3.1.2 中断劫持技术及其实现  27-29
  3.2 系统调用表劫持  29-37
    3.2.1 可行性分析  30-31
    3.2.2 直接使用系统调用表的劫持及其实现  31-32
    3.2.3 不导出系统调用表的劫持及其实现  32-37
  3.3 内核函数体劫持  37-40
    3.3.1 可行性分析  37-38
    3.3.2 函数劫持的方法及其实现  38-40
  3.4 LKM 注入技术  40-46
    3.4.1 模块隐藏技术及其实现  40-41
    3.4.2 后门技术及其实现  41-46
  3.5 本章小结  46-47
第四章 内核级 Rootkit 检测防护机制的设计与实现  47-69
  4.1 内核级Rootkit检测机制的研究  47-54
    4.1.1 内核级Rootkit 现有检测方法  47-48
    4.1.2 内核级Rootkit 检测机制的设计  48-50
    4.1.3 内核级Rootkit 检测算法  50-53
    4.1.4 内核级Rootkit 检测方法的优缺点  53-54
  4.2 内核级Rootkit防护机制的研究  54-57
    4.2.1 内核级Rootkit 防护机制的设计  54-56
    4.2.2 内核级Rootkit 防护机制的方法  56-57
  4.3 实验结果及分析  57-68
    4.3.1 实验前的准备  57-64
    4.3.2 内核级Rootkit 检测机制实验  64-66
    4.3.3 内核级Rootkit 防护机制实验  66
    4.3.4 性能分析实验  66-68
    4.3.5 实验结果总结  68
  4.4 本章小结  68-69
第五章 结论  69-71
  5.1 论文总结  69-70
  5.2 前景展望  70-71
致谢  71-72
参考文献  72-75
攻硕期间取得的研究成果  75-76

相似论文

  1. 基于DSP的离焦信号同步采集与处理技术研究,TH741
  2. 慢光光纤陀螺信号检测电路设计,V241.5
  3. 光纤陀螺信号处理线路FPGA实现,V241.5
  4. 金属蜂窝与再生冷却通道的传热特性研究,V215.4
  5. 基于ARM9机车信号系统检测装置的设计与优化,U284.91
  6. 路面平整度检测系统中的数据采集和定位技术研究,U416.2
  7. 基于SVM的高速公路路面浅层病害的自动检测算法研究,U418.6
  8. 航天继电器时间参数测试分析技术的研究,TM58
  9. HID灯整流效应的研究,TM923.32
  10. 苹果多酚对UVB诱导HepG2细胞损伤的防护与修复研究,S661.1
  11. 基于均值匹配的Turbo码联合译码的Matlab实现,TN911.22
  12. 天波超视距雷达目标仿真与信号处理算法研究,TN958.93
  13. Windows内核态密码服务接口设计与实现,TP309.7
  14. 图像拼接技术研究,TP391.41
  15. 基于人眼检测的驾驶员疲劳状态识别技术,TP391.41
  16. 双传感器图像联合目标检测及系统实现研究,TP391.41
  17. 舌图像中瘀斑瘀点检测技术研究,TP391.41
  18. 多币种纸币处理技术的研究与实现,TP391.41
  19. PCB视觉检测系统中相机标定算法与位姿测定技术,TP391.41
  20. 基于嵌入式图像处理单元的运动目标跟踪系统研究,TP391.41
  21. 基于主动方式的恶意代码检测技术研究,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 操作系统 > 网络操作系统 > UNIX操作系统
© 2012 www.xueweilunwen.com