基于内存池标记快速扫描技术的Windows内核驱动攻击取证的研究
发布时间:2023-09-28 21:37
随着计算机技术和信息技术的飞速发展,网络攻击方式逐渐内存化,网络犯罪逐渐隐遁化。在短时间内获得存储于易失性存储介质中的关键数字证据,成为打击网络犯罪的重要手段,其使用的主要技术为计算机内存取证。当前的内存取证技术存在扫描时间长、效率低的缺陷,达不到生产环境中应急响应的时间要求。在短时间内有效检测内核对象和内核Rootkit,对安全研究人员进行应急响应和攻击溯源具有重要意义。本文对内存池标记快速扫描技术进行了改进和优化,开发了针对Windows内核驱动对象的新型扫描插件,并提出了一种针对Windows内核Rootkit的自动化检测方案。本文通过对内存池标记快速扫描技术的研究,分析了Windows平台下内存取证技术待改进之处,缩小了关键内存扫描范围,添加了针对Windows内核驱动对象的约束条件,开发了针对Windows内核驱动对象的扫描插件qdriverscan。通过在多维度环境下对qdriverscan插件进行测试,结果表明该插件在保证扫描准确率不变的前提下,大幅度缩短了Windows内核驱动对象扫描花费的时间,提高了扫描效率。通过总结、分析Windows内核Rootkit检测技术的优...
【文章页数】:77 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第1章 绪论
1.1 课题研究的背景和意义
1.1.1 研究背景
1.1.2 研究意义
1.2 国内外研究现状
1.2.1 国内内存取证技术研究现状
1.2.2 国外内存取证技术研究现状
1.2.3 Windows内存池标记扫描技术研究现状
1.2.4 Windows内核驱动攻击研究现状
1.2.5 内核模式Rootkit发展研究现状
1.3 课题研究内容
1.3.1 内存池标记快速扫描技术改进研究
1.3.2 对Windows内核Rootkit取证研究
1.4 论文组织结构
第2章 内存取证技术研究
2.1 内存取证的相关概念
2.2 内存取证的流程及相关技术、工具
2.2.1 内存取证的总体流程
2.2.2 内存镜像的获取
2.2.3 内存镜像的分析
2.3 本章小结
第3章 Windows内存管理机制、内核驱动及Rootkit研究
3.1 Windows内存管理机制介绍
3.1.1 内存管理和映射机制
3.1.2 Windows的换页内存池与非换页内存池
3.2 Windows内存池标记扫描
3.2.1 内存池标记扫描
3.2.2 内存池标记快速扫描
3.3 Windows内核驱动
3.4 Rootkit
3.4.1 Rootkit特点和类型
3.4.2 Rootkit技术的发展历程及技术变革
3.4.3 Rootkit检测技术
3.5 本章小结
第4章 基于内存池标记快速扫描技术的Windows内核驱动攻击研究
4.1 总体方案和流程
4.2 针对Windows内核驱动对象的扫描
4.2.1 方案简述
4.2.2 方案流程
4.2.3 方案详细描述
4.3 针对Windows内核Rootkit的检测
4.3.1 方案简述
4.3.2 方案具体细节
4.4 本章小结
第5章 内存取证实验测试及分析
5.1 实验环境
5.2 Windows内核驱动对象的扫描实验
5.2.1 物理内存扫描测试
5.2.2 虚拟内存扫描测试
5.2.3 不同系统版本扫描测试
5.2.4 大内存扫描测试
5.2.5 网络带宽测试
5.3 典型Windows内核Rootkit的检测实验
5.3.1 Stuxnet
5.3.2 Zero Access
5.3.3 Uroburos
5.4 本章小结
结论
参考文献
攻读硕士学位期间所发表的学术论文
致谢
本文编号:3848637
【文章页数】:77 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第1章 绪论
1.1 课题研究的背景和意义
1.1.1 研究背景
1.1.2 研究意义
1.2 国内外研究现状
1.2.1 国内内存取证技术研究现状
1.2.2 国外内存取证技术研究现状
1.2.3 Windows内存池标记扫描技术研究现状
1.2.4 Windows内核驱动攻击研究现状
1.2.5 内核模式Rootkit发展研究现状
1.3 课题研究内容
1.3.1 内存池标记快速扫描技术改进研究
1.3.2 对Windows内核Rootkit取证研究
1.4 论文组织结构
第2章 内存取证技术研究
2.1 内存取证的相关概念
2.2 内存取证的流程及相关技术、工具
2.2.1 内存取证的总体流程
2.2.2 内存镜像的获取
2.2.3 内存镜像的分析
2.3 本章小结
第3章 Windows内存管理机制、内核驱动及Rootkit研究
3.1 Windows内存管理机制介绍
3.1.1 内存管理和映射机制
3.1.2 Windows的换页内存池与非换页内存池
3.2 Windows内存池标记扫描
3.2.1 内存池标记扫描
3.2.2 内存池标记快速扫描
3.3 Windows内核驱动
3.4 Rootkit
3.4.1 Rootkit特点和类型
3.4.2 Rootkit技术的发展历程及技术变革
3.4.3 Rootkit检测技术
3.5 本章小结
第4章 基于内存池标记快速扫描技术的Windows内核驱动攻击研究
4.1 总体方案和流程
4.2 针对Windows内核驱动对象的扫描
4.2.1 方案简述
4.2.2 方案流程
4.2.3 方案详细描述
4.3 针对Windows内核Rootkit的检测
4.3.1 方案简述
4.3.2 方案具体细节
4.4 本章小结
第5章 内存取证实验测试及分析
5.1 实验环境
5.2 Windows内核驱动对象的扫描实验
5.2.1 物理内存扫描测试
5.2.2 虚拟内存扫描测试
5.2.3 不同系统版本扫描测试
5.2.4 大内存扫描测试
5.2.5 网络带宽测试
5.3 典型Windows内核Rootkit的检测实验
5.3.1 Stuxnet
5.3.2 Zero Access
5.3.3 Uroburos
5.4 本章小结
结论
参考文献
攻读硕士学位期间所发表的学术论文
致谢
本文编号:3848637
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3848637.html
