论文检索
论文发表
当前位置:主页 > 社科论文 > 公安论文 >

链表导向的指向图内核数据结构取证技术

发布时间:2017-10-08 01:01

  本文关键词:链表导向的指向图内核数据结构取证技术


  更多相关文章: 内存分析 数据结构 安全 操作系统 内存取证 逆向工程


【摘要】:内核数据结构取证技术就是在已知内核数据结构的定义下,依据目标数据结构的先验知识构造出对应的Signatures,然后依靠Signatures从内存镜像中识别出目标数据结构在内存中的实例。该技术在安全领域具有非常重要的价值,广泛应用于各种安全和取证应用中。通常情况下,目标数据结构实例识别结果依赖于Signatures的选择。如果Signatures能够恰当地标示目标数据结构的特征,与目标数据结构在内存中的实例集合具有良好的匹配度,并且不易被内核模式rootkit绕过,那么识别的结果将具有很高的可信度。 内核数据结构取证技术已广泛被安全研究者研究,当前存在的技术根据Signatures的特点大致分为两类。第一类是基于域值不变量作为Signatures的取证技术,而第二类是基于指针指向拓扑结构图作为Signatures的取证技术。虽然这些技术在一定范围内能够有效识别内核数据结构,但仍然存在一些不足之处。比如,域值不变量取证方法存在误报率高、鲁棒性差等缺陷,指针指向拓扑结构图取证技术由于难于准确区分指针变量与类指针变,存在void指针、NULL指针等问题,影响识别结果的准确性。另外指针域也易于被攻击者窜改,鲁棒性也不是很好。 本文针对现有取证技术的不足,提出了一种链表导向的指向图内核数据结构取证技术。我们的取证技术的核心是使用了一种新的内核数据结构Signatures,选择该Signatures源于Linux内核链表对象的先验知识,即链表对象对应的实例在内存中易于识别,并且广泛存在和难以被窜改,非常适合生成良好的Signatures。总体上看,我们选择的新Signatures分为两类,一类是以链表域偏移值序列作为Signatures,另一类是以数据结构中的链表域和指针域两种特征生成的指向图作为Signatures。如果数据结构的链表域偏移值序列能够充分标示其实例的特征,则优先选择这类Signatures。否则的话,为其构造包含尽可能多的链表对象、尽可能少的其他类型指针的指向图Signatures。由于在构造数据结构的Signatures中充充分利用了具有良好特性的链表对象,因此与以前的工作相比,基于这种新的Signatures的取证技术具有识别正确性高、鲁棒性强、识别速度快等优点。
【关键词】:内存分析 数据结构 安全 操作系统 内存取证 逆向工程
【学位授予单位】:南京大学
【学位级别】:硕士
【学位授予年份】:2012
【分类号】:D918;TP311.12
【目录】:
  • 摘要4-6
  • Abstract6-8
  • 目录8-10
  • 第一章 引言10-19
  • 1.1 研究背景10-14
  • 1.2 研究现状14-16
  • 1.2.1 域值不变量取证技术14-15
  • 1.2.2 指针指向图取证技术15-16
  • 1.3 主要工作和论文组织16-19
  • 1.3.1 主要工作16-17
  • 1.3.2 论文组织17-19
  • 第二章 相关工作19-31
  • 2.1 域值不变量取证技术19-21
  • 2.2 指针指向关系图取证技术21-27
  • 2.2.1 内核对象定位技术KOP22-23
  • 2.2.2 指向图依赖的暴力识别技术Siggraph23-27
  • 2.3 数据结构类型推断27-28
  • 2.4 依靠Signatures的恶意软件检测28-29
  • 2.5 数字取证29-31
  • 第三章 链表导向的指向图内核数据结构取证技术31-55
  • 3.1 基本思想32-39
  • 3.1.1 技术出发点32-35
  • 3.1.2 LSignatures的含义35-39
  • 3.2 总体结构39-41
  • 3.3 LSignatures生成41-51
  • 3.3.1 链表域LSignatures生成41-45
  • 3.3.2 指向图LSignatures生成45-51
  • 3.4 识别器构造与内存镜像分析51-53
  • 3.4.1 识别器构造51-52
  • 3.4.2 内存镜像分析52-53
  • 3.5 实际面临的问题和解决方法53-54
  • 3.6 本章小结54-55
  • 第四章 实验55-59
  • 4.1 内存镜像的获取55
  • 4.2 list_head实例的提出55-56
  • 4.3 生成内核数据结构的LSignatures56-57
  • 4.4 识别数据结构实例57-58
  • 4.5 性能评价58-59
  • 第五章 总结与未来工作59-61
  • 5.1 论文总结59-60
  • 5.2 未来工作60-61
  • 参考文献61-67
  • 致谢67-69

【相似文献】

中国期刊全文数据库 前10条

1 胡永祥;;基于S3C44B0X平台的μC/OS-II的移植[J];魅力中国;2009年35期

2 ;[J];;年期

3 ;[J];;年期

4 ;[J];;年期

5 ;[J];;年期

6 ;[J];;年期

7 ;[J];;年期

8 ;[J];;年期

9 ;[J];;年期

10 ;[J];;年期

中国硕士学位论文全文数据库 前1条

1 王浩;链表导向的指向图内核数据结构取证技术[D];南京大学;2012年



本文编号:991058

资料下载
论文发表

本文链接:https://www.wllwen.com/shekelunwen/gongan/991058.html

上一篇:文化冲突视域下的中国腐败犯罪研究  
下一篇:被害人参与我国社区矫正问题研究
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户657df***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com