基于Windows核模式下的Anti-Rootkit工具研究与实现
发布时间:2021-05-23 19:51
随着信息网络的发展,越来越多的网络攻击发生在身边,如本地网络渗透,隐私信息被盗等。除此之外,在信息安全领域,攻击和防御技术正在加速对方的发展。黑客利用Rootkit技术,保持电脑的持续控制,同时还可以帮助黑客隐藏后门软件。Rootkit是一种具有隐蔽性的、极度危险的黑客技术。与此同时,随着军事信息化程度的提升,未来战争对于信息的依赖性将会达到一个前所未有的高度,争夺与保持信息优势已经成为战争或战役的首要任务,信息优势争夺成为夺取战役胜利的关键所在。反观目前军队的信息化发展趋势,在对于战场信息的快速传递、联合共享方面已经取得了长足的进步,而对于军队内部信息网络的安全性和抗冲击性方面还有很多的方面需要加强。尤其是在内核级的系统防御方面,军队的绝大多数作战平台目前还大多部署在Windows XP操作系统上面,而众所周知,Windows XP系统是一个极度不安全的操作平台,在目前已知的系统入侵手段中,大多数都对WindowsXP操作系统有效,像rootkit这种通过攻击操作系统内核而保持对电脑的持续控制和信息的获取的攻击手段对于军队的信息系统而言是极度危险的。本文旨在通过对Rootkit技术的...
【文章来源】:吉林大学吉林省 211工程院校 985工程院校 教育部直属院校
【文章页数】:52 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
目录
第1章 绪论
1.1 研究背景
1.2 ROOTKIT 的产生和发展
1.3 现存问题及研究意义
1.4 本文主要工作
第2章 ROOTKIT 技术的原理
2.1 环 0 级
2.2 WINDOWS 内核结构
2.2.1 用户模式组件
2.2.2 NT核模式组件
2.3 CPU 和系统表
2.3.1 Global Descriptor Table,GDT(全局描述符表)
2.3.2 Local Descriptor Table,LDT(本地描述符表)
2.3.3 Page Directory(页目录)
2.3.4 Interrupt Descriptor Table,IDT(中断描述符表)
2.3.5 System Service Dispatch Table,SSDT(系统服务调用表)
2.4 文件系统
2.4.1 FAT(File Allocation Table)文件系统
2.4.2 NTFS (New Technology File System)文件系统
2.5 网络系统
2.5.1 TDI编程规范
2.5.2 NDIS编程规范
2.5.3 NT系统网络结构
2.6 Windows设备驱动程序
第3章 ROOTKIT 技术实践
3.1 挂钩 SSDT 技术
3.1.1 调用内核机制解析
3.1.2 SSDT内核挂钩调用和进程隐藏
3.1.3 内核挂钩调用结果
3.2 IDT(INTERRUPT DESCRIPTOR TABLE) 挂钩技术
3.2.1 IDT机制概述
3.2.2 IDT结构解析
3.2.3 IDT 地址获取
第4章 SCDETECTIVE 功能实现
4.1 操作系统以及环境架构
4.1.1 操作系统
4.1.2 编程环境
4.2 底层驱动编写
4.2.1 KerHook、SSDT、IDT 驱动文档结构图
4.2.2 XDE反汇编引擎的引用
4.2.3 驱动系统函数定义
4.2.4 SSDT、IDT、ShadowSSDT 检测以及恢复驱动层定义
4.2.5 驱动入口功能实现
4.3 KERNEL HOOK、IDT、SSDT 和 SSDT SHADOW 检测与恢复模块
4.3.1 Kernel Hook 检测与恢复
4.3.2 SSDT、SSDT Shadow 检测与恢复
4.3.3 IDT检测与恢复
4.4 内核钩子检测与修复
4.5 驱动检测功能的实现
4.6 进程检测功能实现
4.6.1 ActiveProcessLinks枚举进程
4.6.2 通过 Handletablelisthead 枚举进程
4.6.3 通过 csrss 的 handletable 枚举进程
4.7 文件解析及操作功能
4.7.1 生成控制设备卷和控制设备
4.7.2 解析与操作功能实现
4.7.3 创建回调函数
第5章 总结与展望
5.1 本文总结
5.2 SCDETECTIVE 软件存在的不足
5.3 下一步研究方向
参考文献
作者简介及在学期间所取得的科研成果
致谢
本文编号:3202883
【文章来源】:吉林大学吉林省 211工程院校 985工程院校 教育部直属院校
【文章页数】:52 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
目录
第1章 绪论
1.1 研究背景
1.2 ROOTKIT 的产生和发展
1.3 现存问题及研究意义
1.4 本文主要工作
第2章 ROOTKIT 技术的原理
2.1 环 0 级
2.2 WINDOWS 内核结构
2.2.1 用户模式组件
2.2.2 NT核模式组件
2.3 CPU 和系统表
2.3.1 Global Descriptor Table,GDT(全局描述符表)
2.3.2 Local Descriptor Table,LDT(本地描述符表)
2.3.3 Page Directory(页目录)
2.3.4 Interrupt Descriptor Table,IDT(中断描述符表)
2.3.5 System Service Dispatch Table,SSDT(系统服务调用表)
2.4 文件系统
2.4.1 FAT(File Allocation Table)文件系统
2.4.2 NTFS (New Technology File System)文件系统
2.5 网络系统
2.5.1 TDI编程规范
2.5.2 NDIS编程规范
2.5.3 NT系统网络结构
2.6 Windows设备驱动程序
第3章 ROOTKIT 技术实践
3.1 挂钩 SSDT 技术
3.1.1 调用内核机制解析
3.1.2 SSDT内核挂钩调用和进程隐藏
3.1.3 内核挂钩调用结果
3.2 IDT(INTERRUPT DESCRIPTOR TABLE) 挂钩技术
3.2.1 IDT机制概述
3.2.2 IDT结构解析
3.2.3 IDT 地址获取
第4章 SCDETECTIVE 功能实现
4.1 操作系统以及环境架构
4.1.1 操作系统
4.1.2 编程环境
4.2 底层驱动编写
4.2.1 KerHook、SSDT、IDT 驱动文档结构图
4.2.2 XDE反汇编引擎的引用
4.2.3 驱动系统函数定义
4.2.4 SSDT、IDT、ShadowSSDT 检测以及恢复驱动层定义
4.2.5 驱动入口功能实现
4.3 KERNEL HOOK、IDT、SSDT 和 SSDT SHADOW 检测与恢复模块
4.3.1 Kernel Hook 检测与恢复
4.3.2 SSDT、SSDT Shadow 检测与恢复
4.3.3 IDT检测与恢复
4.4 内核钩子检测与修复
4.5 驱动检测功能的实现
4.6 进程检测功能实现
4.6.1 ActiveProcessLinks枚举进程
4.6.2 通过 Handletablelisthead 枚举进程
4.6.3 通过 csrss 的 handletable 枚举进程
4.7 文件解析及操作功能
4.7.1 生成控制设备卷和控制设备
4.7.2 解析与操作功能实现
4.7.3 创建回调函数
第5章 总结与展望
5.1 本文总结
5.2 SCDETECTIVE 软件存在的不足
5.3 下一步研究方向
参考文献
作者简介及在学期间所取得的科研成果
致谢
本文编号:3202883
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3202883.html
