基于Windows NT的隐藏进程检测系统的研究与实现

文摘

英文文摘

声明

第1章 绪论

1.1研究背景

1.1.1木马病毒的威胁

1.1.2信息隐藏技术与反隐藏技术的发展

1.2研究内容

1.3论文结构

第2章 隐藏进程的背景知识与技术分析

2.1隐藏进程背景知识介绍

2.1.1 Windows体系结构简介

2.1.2系统服务调用

2.1.3驱动程序开发

2.2基于HOOK的隐藏进程技术

2.2.1用户模式下的HOOK技术

2.2.2内核模式下的HOOK技术

2.3基于DKOM的隐藏进程技术

2.3.1 Windows进程内核对象

2.3.2 DKOM隐藏进程技术

2.4 HOOK与DKOM技术的优点和不足

2.5本章小结

第3章检测系统ProDetector的模型设计

3.1检测系统技术分析与设计目标

3.2已有的优秀检测工具

3.3应用程序与驱动程序之间的通信

3.4 ProDetector的模型设计

3.5网络版NetProDetector的模型设计

3.5.1 Socket编程

3.5.2网络版NetProDetector的结构

3.6风险评估机制

3.7本章小结

第4章检测系统ProDetector关键技术的研究与实现

4.1用户态检测模块的实现

4.2钩子检测模块的实现

4.2.1查找SSDT钩子

4.2.2查找其它类型钩子

4.3进程链表检测模块的实现

4.4线程链表检测模块的实现

4.4.1 Windows线程内核对象

4.4.2线程链表检测

4.5线程调度检测模块的实现

4.5.1 Windows线程调度原理

4.5.2挂钩SwapContext检测隐藏进程

4.6远程线程注入与监控的实现

4.6.1 DLL注入

4.6.2远程线程注入DLL

4.6.3内核模式下监视远程线程创建

4.7本章小结

第5章检测系统ProDetector的功能测试

5.1程序模块部署

5.2 ProDetector的功能测试

5.2.1 Hacker Defender

5.2.2 HideProcessHookMDL

5.2.3 FU

5.2.4灰鸽子2006

5.3测试结果总结

5.4本章小结

结论

参考文献

攻读硕士学位期间发表的学术论文

致谢