一、Windows NT/2000下用PSAPI获取进程的信息(论文文献综述)
王全民[1](2012)在《操作系统安全加固中进程与文件保护关键技术的研究》文中研究指明信息安全是当前社会关注的热点问题之一,研究信息安全下的操作系统安全加固中进程和文件保护的关键技术,对于化解操作系统面临的安全威胁,保障系统的安全运行具有十分重要的意义。本文以国家863计划“计算支撑平台标准研究”和国家科技支撑计划(攻关计划)“新一代可信任互联网试验网”的研发为背景,结合教学科研工作需要,对操作系统安全加固中进程和文件保护的关键技术进行了详细的分析,提出了隐藏进程的检测、文件的完整性和文件保密性的解决方案,其研究成果具有一定的理论价值和实用价值。主要包括三个方面的工作:1、系统隐藏进程检测技术的研究与实现。从隐藏进程入手,经过对现有隐藏进程技术的分类和归纳,总结出了三个层次的进程隐藏技术,分别是用户级进程隐藏、内核服务级进程隐藏和内核结构数据级进程隐藏技术,从而提出了一种新的多层次检测隐藏进程的模型;通过对这三个级别隐藏技术的分析和实验,依据其特点对检测技术进行了创新设计,提出了一种动态获取链表地址的检测方案并加以实现;2、文件系统完整性的研究和实现。以进程行为为切入点,基于进程对文件系统的操作均需要经过系统文件驱动的基础,通过文件过滤驱动来获取进程对文件系统的改动,提出了一种新的、多层次进程行为检测和信息完整性的保护技术,可以细粒度地过滤进程对文件系统的操作,保证了文件系统完整性;3、文件保密性机制的研究与实现。设计了一种透明加解密高IO性能的双缓存机制方案,对文件缓存的处理和IRP请求的流程上做了技术上的创新。该机制根据原始的IRP请求,智能的进行数据预读并解密,并将带有加解密的文件在内存中存有两块缓存。然后将不管是发往缓存的IRP请求还是磁盘的IRP请求都重新定位到双缓存结构,这样既可以避免了系统缓存不可控的问题,又可以自己创建IRP预读数据到缓存,降低IRP请求的返回时间,有效的提高了整体系统的IO效率。本文研究的对象虽然是基于Windows操作系统,但其研究采用的基本方法、技术和研究成果可以方便的应用到其他操作系统的研究工作中。
张洪进[2](2011)在《木马隐藏技术初探》文中进行了进一步梳理目的:分析木马技术,提出针对性防御措施。方法:通过一个简单木马的设计和实践,对木马的植入技术、隐藏技术、检测技术、发展方向进行了深入全面论述。结果:设计的简单木马成功实现了预想功能。结论:木马的特性决定了检测防御的难度,防范重点在于网络管理措施,而不是检测技术。
杨骏[3](2010)在《家庭计算机绿色卫士软件的设计与实现》文中研究说明随着经济的发展,技术的进步,电脑价格越来越便宜,几乎城市所有家庭都拥有电脑,并且有些家庭还不止一台电脑。电脑使这个时代变成了E时代,它给人们生活带来的便利越来越明显,带来了无穷的乐趣,无论工作还是学习都依赖电脑。但是人们也明显的感到电脑给大家带来的隐患,比如助长了大家的惰性,还有各种宣扬色情、凶杀、暴力、赌博、游戏的内容充斥着网络,不仅严重污染着未成年人的心灵,同时也严重破坏社会风气,有多少人因此而家破人亡、功课一落千丈、沉迷网吧的年轻学子更不知有多少?天下有多少父母束手无策,唤不醒这些迷途羔羊!据不完全统计,常用电脑的人中感到眼睛疲劳的占83%,肩酸腰痛的占63.9%,头痛和食欲不振的则占56.1%和54.4%,其它还出现自律神经失调、抑郁症、动脉硬化性精神病等等。据调查有48.28%的青少年接触过黄色网站;43.39%的青少年收到过含有暴力、色情、恐吓、教唆、引诱等内容的电子邮件或电子贺卡;69.4%的人认为上网或玩网络游戏是一种给生活减压或发泄情感的方式。目前世界各国为保护未成年人做了大量工作,如净化网络内容、开发出了防沉迷系统、防止未成年人进入网吧等。但有些商家为了利益驱使全然不顾这些,再加上家用电脑和网络的普及,如何防止未成年人在家里长时间用机和上一些不健康的网站就成为一个大家关心的主要问题,同时如何让家长了解未成年人的上网、上机等详细情况等也是家长急切关心的事。本文主要针对上述问题研究和开发了家庭用机信息监控系统,该系统用于对家庭电脑的使用进行监控管理,监控管理的范围主要包括每天总用机时间、每次连续的用机时间、可以访问的网络白名单、不可访问的网络黑名单,同时系统具有屏幕抓取等功能。该系统易于安装、使用和维护,适合于普通家庭使用。
王鼎[4](2010)在《高隐藏性木马的深度检测技术实现研究》文中提出随着网络的普及及信息化步伐的加快,计算机网络已经成为社会生活的重要组成部分。但同时网络安全问题也变得越来越严峻,恶意的攻击给互联网的发展造成重大威胁。而当前对此类攻击的检测和遏制手段有限,难以有效阻止层出不穷的攻击,尤其是面对受过专业训练,有组织有预谋的攻击者、效率低下的安全防御设备及网民滞后的安全意识,使得形势更为严峻。恶意代码的检测技术主要分为基于主机的和基于网络节点的检测,本文主要研究针对基于主机的高隐藏性木马的检测技术。传统的对抗恶意代码的方法主要分为特征码匹配、主机行为监控及启发式分析等,这些方法针对普通的恶意代码是有效的,能从一定程度上阻止恶意代码的传播,但对于高隐藏类木马则无能为力。本文在深入分析高隐藏性木马工作原理的基础上,通过系统完整性校验、隐藏资源检测等方法,评估操作系统是否被感染了高隐藏类木马程序。在评估过程中,综合采用了交叉视图检测、关联分析检测等思想,深入发掘Windows操作系统底层机制,吸取传统检测方法的优点,构建完整全面的检测方案。同时完成检测系统的系统设计、编码及测试等工作,在实践中验证检测方案。本文综述了恶意代码相关原理、关键技术和检测方法,以高隐藏性木马的检测为核心,取得了以下三个方面的成果:1.研究并评估传统木马技术及相应的检测技术。评估木马等恶意代码的技术要点、危害性及发展趋势,并展开对相应的检测技术的分析,给出了检测技术的缺陷分析及改进策略。对于系统的分析和对抗恶意代码具有重要意义。2.研究并评估高隐藏性木马的运行原理。首先分析了木马的运行机制、生命周期等要素,其次针对高隐藏类木马,重点研究木马的隐藏技术原理及对系统资源的干涉机制,对后续的检测作了铺垫。3.高隐藏性的木马的检测技术。在分析主流检测技术的基础上,综合采用交叉检测、关联检测及系统完整性分析等策略,研究并实现一套有效检测隐藏性木马的体系。实验结果表明相对于传统的检测软件,具有更高的检测率,较低的误报率,实验同时给出了它们的定量分析。
黄建辉[5](2009)在《一个内网监控系统的研究与实现》文中认为随着信息技术的迅猛发展,大量的免费资源和网络服务大大提高了员工的工作效率的同时也让企业面临了新的挑战。如何有效地监控这些资源和服务,如何了解它们的使用状况,这类安全问题逐渐成为人们关注的焦点,内网监控系统的出现正是为了解决人们的这种担心。在不影响员工正常工作情况下有效地对他们的行为进行监控,是这类系统关注的重点。我们将用户行为进行抽象;用户对资源或服务的一次操作就是一次访问交互,显然它和访问控制技术有着必然的联系。实际上,本文介绍的这种内网监控系统正是架构在访问控制理论基础上,通过对传统访问控制系统的分析,总结出一套适合内网系统的访问控制结合方式,它的实现,充分向用户展示了访问控制在内网中的发展前景。不同于其他环境,访问控制在内网系统中的实现异常复杂,原因就是大部分内网用户使用的是Windows系统,微软在系统设计之初为保证它的稳定性,将系统划分为内核和用户两种形态以及OS/2,POSIX,Win32三个子系统,这种隔离方式大大增强了系统的强健性,同时也削弱了系统的拓展性。Windows系统的设计也使得访问控制技术在内网应用中发展缓慢,不是由于模型的陈旧,主要原因就是Windows的保护机制的约束。如何依据访问决策结果控制和改变Windows系统的默认操作是非常困难的,一个用户看起来及其简单的操作,可能需要耗费程序员大量的研究和编码时间。本文通过详细介绍内网监控系统中受控端子系统的实现细节,向用户展示了如何在内网中实施控制手段并达到决策要求。本文使用驱动开发进行子系统程序的进程隐藏和对一些接口外设的控制,使用API挂接技术防止用户修改注册表及保护涉密文件等,这些强大的控制能力大大提高了资源和服务的安全性。作者希望通过本文,可以让读者对内网监控系统的技术有较为清楚的认识和理解。
梁升荣[6](2009)在《Windows Rootkit检测机制的研究与实现》文中研究指明Rootkit是攻击者在入侵系统后为了保持对系统的超级用户访问权限,创建后门和隐藏攻击痕迹而常采用的一种技术。Rootkit主要有两个功能:隐藏自身和信息窃取。Rootkit可以存在多种操作系统上,由于Windows在世界范围内使用的广泛性,使其成为了Rootkit攻击的重要目标。这种新型攻击方式的出现,给脆弱的因特网带来了新的安全威胁。在Windows Rootkit悄悄地潜入到了目标主机中后,它在隐藏自身和自身攻击行为的前提下,很容易地控制目标主机,窃取其中的秘密信息或是对其进行破坏,而且还可以把它当作“跳板”来进行各种网络攻击。本文通过对Windows Rootkit的工作原理进行分析:其为了实现其隐藏自身和信息窃取而必须对一些系统文件、系统内存和内核数据作出修改,再进一步分析,其一般是在中断描述符表(IDT)、系统服务描述符表(SSDT)等地方设置钩子或者修改某些内核数据结构,修改了很少的一个地方就能让系统执行其代码。本文还分析目前流行的几个Windows Rootkit的检测工具,但这些工具在针对性强的情况下只能检测某些特定的Windows Rootkit,无法检测到一些新型的Windows Rootkit或利用其它技术的Windows Rootkit。必须要用一种更为有效的Windows Rootkit检测机制来应对Windows Rootkit所带来的威胁。本文在分析Windows Rootkit所利用的技术后针对性的设计了一个有效的检测Windows Rootkit的系统。为了防止检测系统被一些有反检测软件功能的恶意代码的损害,此系统通过完整性检测和隐藏自身来保护自己。在检测Windows Rootkit时,此系统从用户空间和内核空间两个层面对Windows Rootkit所有可能修改的地方设置了检测点。在用户空间,Windows Rootkit通过对重要系统文件、代码区和输入地址表进行修改实现其目的,检测时也就相应地检测这些位置;在内核空间,Windows Rootkit可以通过修改中断描述符表、系统服务调度表、驱动函数等地方来实现欺骗系统,让系统执行其非法代码,实现其非法目的。Windows Rootkit为不让系统或者反Rootkit成程序发现其踪迹。还会通过修改系统数据或挂钩内核函数来达到其隐藏进程的目的。在检测系统中就需要针对这些会被Windows Rootkit利用的地方进行检测。最后完成系统的设计方案以及实现方案,对该系统的可行性以及有效性进行验证,分析检测系统的不足,为今后的工作指明方向。
胡和君[7](2009)在《Windows Bootkit技术研究与应用》文中研究指明Windows Bootkit作为目前最前沿的Windows Rootkit技术,把寄宿地由传统的操作系统磁盘文件扩展到了硬件BIOS芯片、硬盘MBR等位置,同时将自身的启动提前到了与Windows系统内核启动相同的级别,甚至还要更早的阶段。这样Bootkit就能较早的取得对计算机的控制权,从而实现较强的隐藏和控制功能。虽然该技术目前还处于概念性验证阶段,没有实际的成熟的恶意程序产品,但是如果现在不研究检测、清除的方法,将会给网络留下安全隐患。而只有先掌握好Bootkit所使用的关键技术和攻击手段,达到知己知彼,才能找到相应的解决方案。因此本文从攻击者的角度对Windows Bootkit技术进行研究与分析。本文对当前的Windows Bootkit实例的核心技术进行了分析和总结。从复杂的Windows Bootkit技术原理中,抽象出了基于Windows Bootkit的协同隐藏模型,并给出了其形式化的描述。在此基础上设计和实现了一个基于MBR的Windows Bootkit原型。该原型相对于传统的基于MBR的Bootkit,在hook特征码的选取上更具有通用性,同时通过hook MBR的读写操作,提高反检测能力。在隐藏实现中,除了使用Rootkit的DKOM、hook ssdt、驱动过滤等常规技术外,使用了一种新的文件隐藏技术——对象劫持,用以绕过当前所有的检测工具。在Bootkit的功能模块中,实现了一个用于远程控制的shell功能。通过三个实验验证了Windows Bootkit协同隐藏的有效性的同时,也发现了该Bootkit原型的许多不足,为该领域的进一步研究提供了可供参考的资料。最后,提出了一种结合漏洞攻击的Bootkit利用方案,研究了一种穿透主动防御软件的磁盘操作技术,提出了一种通过感染PE文件绕过Vista的UAC安全机制的方法。同时也提出了一些Windows Bootkit的预防手段和检测方法。
姜坚[8](2009)在《基于特征行为阻断的可容忍木马入侵技术的研究》文中提出随着互联网在社会日常工作和生活中的普及,出于各种目的而出现的恶意程序对网络的危害也越来越大。其中,木马所占的比例最高,利用木马进行网络犯罪的事件层出不穷,并且有愈演愈烈的趋势。因此,如何有效地遏制木马已成为网络安全领域的一个重要研究课题。本文在深入研究木马基本行为特点的基础上对木马做了分类,通过对其基本行为的分析研究,提取出木马各自关键的特征行为,并详细研究了实现这些特征行为所采用的相关技术;提出了基于特征行为阻断的反木马策略,通过对木马的特征行为的实时监控和阻断,使得木马程序的关键功能模块失去作用,进而使木马程序整体失去功用;阐述了系统服务调度表和NDIS结构的基本原理,详细分析了挂钩系统服务调度表技术和NDIS中间驱动程序网络数据包拦截技术的难点和解决方法;在Windows 2000系统上构建了基于木马特征行为阻断的防御体系,详细阐述了其中各模块的功能、技术实现以及特征行为的阻断策略,并完成了对系统的测试和评价。
马骁[9](2008)在《基于专家系统的网络攻击系统研究与实现》文中进行了进一步梳理信息资源是当今世界三大资源之一,而互联网信息因其更易获得和易传播的特点,是信息资源的重要组成部分,因此对于互联网络信息资源的占有与抢夺也日趋激烈。为了在网络攻防战场上不落下风,各国都在发展网络入侵技术,目前,处于国际领先的网络入侵技术基本都掌握在西方发达国家手中。我国信息安全技术的研究除了在安全防范与检测方面应该做出进一步探索与努力之外,也应该大力发展信息的主动获取技术,而目前的网络攻击技术存在实现功能单一、攻击方式单一、定向攻击成功率不高、对于网络技术的发展适应力和应变力差以及使用掌握难度较大等局限性,需要一套综合的、智能化的系统弥补这个欠缺。针对现有网络攻击技术存在的各种局限性,本文设计了一个网络攻击系统,该系统可以综合多种攻击方法和工具,提高定向攻击的成功率。同时,该系统可以通过自学习,不断提高解决问题能力,能进行攻击方案智能化决策支持,降低对使用者的要求。该系统综合运用了CBR技术和攻击树技术,并对木马攻击技术进行了深入研究和改进。使用CBR技术设计专家系统,实现对目标对象分级和系统自学习,以社会工程学信息作为特征属性进行案例库检索,匹配相似案例进行攻击方案的决策。使用攻击树技术,在一套系统内综合了多种攻击方法,将每一种攻击方法作为攻击树的一棵子树,以不同攻击方法可能成功的概率作为权重,通过对树进行遍历找到权值最大的子树,确定攻击方案,构建攻击模型与攻击模式;同时,不用改变攻击模型,通过修改攻击模式就可以对攻击方法进行扩展和维护,不仅保证了系统的成功率与效率,而且提高了系统的重用性和可扩展性。在研究现有木马程序的基础上,综合多种方法来实现木马的植入与隐藏,利用远程线程插入技术、DLL陷阱技术以及动态流量控制和第三方服务器反弹端口木马的方式来实现木马的本地隐藏和通信隐藏。本文的创新之处是:1、设计了一个综合的、智能化的系统,综合了多种攻击手段与方法提高攻击成功率,实现智能化攻击决策与自学习能力,降低对使用者的专业技能要求,同时具有良好的维护性和可扩展性。2、运用CBR和攻击树技术设计攻击系统,以社会工程学等渠道获取的目标个人信息作为输入,并以此为依据对目标对象进行分级及案例检索,生成攻击树,查找攻击树最优路径实现系统的智能决策。该系统已经通过了实际测试,并且在某单位网络攻防实践中实际使用一年,效果明显。
米渊[10](2008)在《使用差异比较法对木马程序进行防杀的技术探讨》文中提出木马自诞生之日起,就一直成为网络信息安全领域防范的重点和热点。木马由于其隐蔽性、远程可植入性和可控制性等特点,已成为黑客攻击或不法分子入侵或控制他人网络或计算机系统的重要工具。近年来,由于受到非法经济利益的诱惑,木马已形成一条黑色产业链,并有迅速发展蔓延的趋势。本文对木马攻击与防范技术进行了系统的分析研究,主要工作如下:1、对木马的基本概念、基本特性、植入方法、上线通知方法进行了归纳总结。2、系统地研究和分析了木马的工作原理和功能、木马种植的技巧和思路、木马自启动以及隐藏的方法,以及木马发展的历史和今后的发展方向。3、剖析了灰鸽子木马的具体隐蔽技术,并给出查杀的方法。4、分析了基于特征码木马检测的技术缺陷。指出,仅仅基于特征码的木马检测技术对未知木马存在检测的盲区,无法检测出未知木马。分析了普通的基于行为特征的木马检测技术。指出,这些方法都存在一定局限性,它们只针对木马运行时的某一个行为特征进行检测,对于某种特定类型的木马很有效,但对于其它类型的木马就无从下手了。5、提出了自己的一套解决方法,即差异比较法。此方法将传统的基于特征码的查杀木马技术与全面的基于行为的防杀木马技术相结合,既弥补了基于特征码方法的天生缺陷,又将普通的基于单一行为的防杀技术予以完善。差异比较法在不放弃传统特征码数据库的基础上,通过分析目标系统的各项特征并将其存入建立的目标特征数据库,然后对系统注册表,系统目录、系统文件和系统服务,API调用和系统函数调用,硬件资源的占用,木马的其它恶意行为等进行全面监控。通过分析、比较木马植入目标时对系统特征的更改,判断出是否为木马入侵,进而进行防杀。
二、Windows NT/2000下用PSAPI获取进程的信息(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、Windows NT/2000下用PSAPI获取进程的信息(论文提纲范文)
(1)操作系统安全加固中进程与文件保护关键技术的研究(论文提纲范文)
中文摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景 |
1.1.1 信息安全的现状 |
1.1.2 Rootkit 与信息隐藏技术的发展 |
1.1.3 加解密技术的发展 |
1.2 国内外研究现状 |
1.2.1 隐藏进程检测的研究 |
1.2.2 文件加解密的研究 |
1.3 论文研究内容 |
1.4 论文结构安排 |
第二章 相关理论与技术基础 |
2.1 WINDOWS 进程内核对象 |
2.2 用户模式下进程隐藏的 HOOK 技术 |
2.2.1 IAT HOOK |
2.2.2 EAT HOOK |
2.2.3 Inline HOOK |
2.3 内核模式下进程隐藏的 HOOK 技术 |
2.3.1 IDT HOOK 技术 |
2.3.2 SSDT HOOK 技术 |
2.4 直接内核对象控制(DKOM)隐藏进程技术 |
2.4.1 根据进程名隐藏进程 |
2.4.2 根据进程 ID 隐藏进程 |
2.5 HOOK 与 DKOM 技术的优点与不足 |
2.6 本章小结 |
第三章 隐藏进程检测关键技术的研究与实现 |
3.1 隐藏进程检测的技术 |
3.2 用户模式下的隐藏进程检测 |
3.3 基于内存扫描的 HOOK 检测 |
3.3.1 查找 SSDT 钩子 |
3.3.2 查找其它类型钩子 |
3.3.3 HOOK 检测方法的优缺点 |
3.4 基于进程链表的隐藏进程检测 |
3.4.1 枚举进程链表检测隐藏进程 |
3.4.2 进程链表检测优缺点 |
3.5 基于线程链表的隐藏进程检测 |
3.5.1 Windows 线程内核对象 |
3.5.2 线程链表检测 |
3.6 基于线程调度的隐藏进程检测 |
3.6.1 Windows 线程调度原理 |
3.6.2 钩挂 SwapContext 检测隐藏进程 |
3.7 远程线程注入与监控 |
3.7.1 DLL 注入 |
3.7.2 远程线程注入 DLL |
3.7.3 内核模式下监视远程线程创建 |
3.8 隐藏进程检测功能测试 |
3.8.1 IAT HOOK 测试 |
3.8.2 SSDT HOOK 测试 |
3.8.3 Inline HOOK 测试 |
3.8.4 驱动层 HOOK 测试 |
3.9 本章小结 |
第四章 进程行为检测和信息完整性保护技术研究 |
4.1 进程行为检测和信息完整性保护功能划分 |
4.1.1 总体工作流程 |
4.1.2 工作基础 |
4.2 检测子系统结构 |
4.2.1 常见恶意进程行为模型 |
4.2.2 关键动作定义 |
4.2.3 事实模板定义 |
4.2.4 系统中重要对象定义 |
4.2.5 进程映象全路径和命令行参数的获取 |
4.3 进程行为检测记录 |
4.3.1 内存操作 |
4.3.2 文件操作 |
4.3.3 进程和线程操作 |
4.4 保护还原方法研究 |
4.4.1 术语定义 |
4.4.2 还原子系统结构 |
4.4.3 完整性模型 |
4.5 保护还原记录策略 |
4.5.1 不可信进程行为记录策略 |
4.5.2 可信进程行为记录策略 |
4.5.3 判断操作对象是否可信 |
4.6 保护还原方法 |
4.6.1 访问列表数据的还原 |
4.6.2 对.rec 文件数据进行还原 |
4.6.3 不可信进程被识别为可信进程之后的操作 |
4.7 功能测试 |
4.7.1 测试已知恶意软件 |
4.7.2 测试未知恶意软件 |
4.7.3 实验结果分析 |
4.8 本章小结 |
第五章 基于双缓存透明加解密过滤驱动系统关键技术的研究与实现 |
5.1 系统结构 |
5.1.1 问题的提出 |
5.1.2 系统总体架构 |
5.2 双缓存机制 |
5.2.1 双缓存 |
5.2.2 双缓存机制管理 |
5.2.3 双缓存中密文处理流程 |
5.3 文件透明加解密过滤驱动的结构及流程 |
5.4 加解密文件信息的存储方法 |
5.4.1 加解密标识 |
5.4.2 加解密信息的存储方式 |
5.4.3 透明加解密文件信息的存储和转化 |
5.5 文件过滤驱动 |
5.5.1 过滤 IRP_MJ_CREATE 类型的 IRP 请求 |
5.5.2 过滤 IRP_MJ_READ 类型的 IRP 请求 |
5.5.3 过滤 IRP_MJ_WRITE 类型的 IRP 请求 |
5.6 IRP 的分组对齐 |
5.6.1 分组对齐算法 |
5.6.2 IRP 分组对齐的处理流程 |
5.7 应用程序与驱动程序之间的通信 |
5.8 加解密算法与进程-后缀访问控制 |
5.9 系统性能分析与测试 |
5.9.1 功能测试 |
5.9.2 性能测试 |
5.9.3 稳定性测试 |
5.10 本章小结 |
第六章 总结和展望 |
6.1 工作总结 |
6.2 下一步的工作展望 |
参考文献 |
发表论文和科研情况说明 |
附录 1 事实模板和类的定义 |
1.1 内存操作 |
1.2 文件操作 |
1.3 进程和线程操作 |
1.4 注册表操作 |
1.5 端口操作 |
1.6 其它操作 |
1.7 系统中重要对象类定义 |
附录 2 关键数据结构及函数 |
致谢 |
(3)家庭计算机绿色卫士软件的设计与实现(论文提纲范文)
摘要 |
Abstract |
第一章 引言 |
1.1 题目来源及目的意义 |
1.2 国内外现状及发展趋势 |
1.2.1 国内外情况 |
1.2.2 国内外发展趋势 |
1.3 论文的主要工作内容 |
1.4 论文组织结构 |
第二章 相关背景知识 |
2.1 基本概念 |
2.2 WINDOWS 及组成 |
2.2.1 Windows 简介 |
2.2.2 Windows 组成 |
2.2.3 WMI 介绍 |
2.2.4 Windows 操作系统的内存格局 |
2.2.5 API 挂接技术 |
2.2.6 Windows 系统的 FLAT 模型 |
2.3 文件系统过滤驱动 |
2.4 MICROSOFT VISUAL C++ 6.0 |
2.5 MFC |
2.6 本章小结 |
第三章 项目需求 |
3.1 项目总体需求 |
3.2 项目具体需求 |
3.2.1 上机时间控制 |
3.2.2 网站白名单设置 |
3.2.3 网站黑名单设置 |
3.2.4 用机行为监控 |
3.2.5 用机行为稽查 |
3.2.6 用机时间记录查看 |
3.2.7 日用机时间查看 |
3.2.8 月用机时间查看 |
3.2.9 系统的维护 |
3.2.10 系统的可靠性 |
3.3 本章小结 |
第四章 系统的设计与实现 |
4.1 系统的设计原则 |
4.2 系统平台的设计 |
4.3 关于数据存储的设计 |
4.4 应用软件的设计和实现 |
4.4.1 系统整体架构设计和实现 |
4.4.2 系统各模块详细设计和实现 |
第五章 系统测试 |
5.1 测试环境 |
5.2 测试结果 |
5.3 本章小结 |
第六章 总结和展望 |
6.1 系统完成情况 |
6.2 今后的改进 |
6.3 个人收获 |
致谢 |
参考文献 |
(4)高隐藏性木马的深度检测技术实现研究(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究目的与意义 |
1.2 研究背景 |
1.2.1 概述 |
1.2.2 木马检测现状 |
1.3 主要研究工作 |
1.4 论文组织结构 |
第二章 木马原理及通用检测技术研究 |
2.1 木马相关原理 |
2.1.1 木马的定义 |
2.1.2 木马的危害性 |
2.1.3 木马的生存周期 |
2.2 基于主机的木马检测 |
2.2.1 特征码匹配 |
2.2.2 异常行为分析 |
2.2.3 启发式分析 |
2.3 小结 |
第三章 高隐藏性木马技术研究 |
3.1 高隐藏性木马定义 |
3.2 高隐藏性木马隐藏原理 |
3.3 高隐藏性木马隐藏技术分析 |
3.3.1 挂钩技术分析 |
3.3.2 过滤驱动技术分析 |
3.4 高隐藏性木马隐藏实例分析 |
3.4.1 进程隐藏技术分析 |
3.4.2 文件隐藏技术分析 |
3.4.3 注册表隐藏技术分析 |
3.4.4 通信端口隐藏技术分析 |
3.5 小结 |
第四章 高隐藏性木马检测技术研究及实现 |
4.1 高隐藏类木马检测思想 |
4.1.1 内核内存特征码扫描检测 |
4.1.2 内存完整性校验检测 |
4.1.3 交叉视图检测 |
4.1.4 关联分析检测 |
4.1.5 可执行路径分析检测 |
4.1.6 指令跳转分析检测 |
4.2 高隐藏类木马检测方案设计 |
4.3 系统完整性检测 |
4.3.1 磁盘文件完整性检测 |
4.3.2 内存映像完整性检测 |
4.4 隐藏资源检测 |
4.4.1 进程隐藏检测 |
4.4.2 文件隐藏检测 |
4.4.3 注册表隐藏检测 |
4.4.4 通信端口隐藏检测 |
4.5 小结 |
第五章 高隐藏性木马检测系统框架及评估 |
5.1 系统需求及可行性分析 |
5.2 DHTDS 检测系统架构设计 |
5.2.1 DHTDS 检测系统总体架构 |
5.2.2 DHTDS 检测系统模块设计 |
5.2.3 如何降低误报率 |
5.3 DHTDS 系统评估 |
5.3.1 环境搭建 |
5.3.2 检测结果分析 |
5.3.3 检测结果对比 |
5.3.4 误报率分析 |
5.3.5 不足之处讨论 |
5.4 小结 |
第六章 结束语 |
6.1 论文的主要成果、创新与不足 |
6.2 未来的研究工作 |
致谢 |
参考文献 |
攻硕期间取得的研究成果 |
(5)一个内网监控系统的研究与实现(论文提纲范文)
摘要 |
ABSTRACT |
第1章 绪论 |
1.1 研究背景 |
1.1.1 案例分析 |
1.1.2 内网问题 |
1.2 研究现状 |
1.3 存在的问题 |
1.4 研究内容 |
1.5 内容安排 |
第2章 访问控制模型 |
2.1 ISO/IEC10181标准 |
2.2 访问控制功能组件 |
2.3 ADF功能组件描述 |
2.4 访问控制策略介绍 |
2.5 访问控制信息 |
第3章 企业内网监控系统 |
3.1 内网定义 |
3.2 系统目标 |
3.3 系统要求 |
3.4 系统结构 |
3.5 系统模块 |
第4章 受控子系统 |
4.1 受控端启动流程 |
4.2 受控端子系统各模块的实现 |
4.2.1 自启动、自保护 |
4.2.2 进程隐藏及目录/文件的隐藏 |
4.3 运行状况监控模块 |
4.3.1 进程信息的获取和进程终止 |
4.3.2 屏幕监视子模块 |
4.3.3 屏幕控制 |
4.4 失泄密防护模块 |
4.4.1 移动存储子模块 |
4.4.2 打印机监视子模块 |
第5章 结论与展望 |
参考文献 |
致谢 |
攻读学位期间参加的科研项目和发表论文 |
(6)Windows Rootkit检测机制的研究与实现(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 课题背景 |
1.2 检测研究现状 |
1.3 研究内容 |
1.4 本文的组织结构 |
第二章 Windows Rootkit 机理以及传统检测手段分析 |
2.1 Windows Rootkit 的机理 |
2.1.1 Windows Rootkit 的定义 |
2.1.2 Windows Rootkit 的机理 |
2.1.3 Windows Rootkit 的实例 |
2.2 传统检测手段的分析 |
2.2.1 基于对已知Rootkit 签名的检测 |
2.2.2 基于交叉视图的检测 |
2.2.3 静态表检测 |
2.2.4 基于可执行路径检测 |
2.2.5 文件或内存的完整性检测 |
2.2.6 指令跳转分析检测 |
2.2.7 传统隐藏进程检测 |
2.3 传统检测手段的不足 |
2.3.1 基于对已知Rootkit 签名的检测的不足 |
2.3.2 基于交叉视图的检测的不足 |
2.3.3 静态表和基于内存完整性检测的不足 |
2.3.4 基于可执行路径检测的不足 |
2.3.5 指令跳转分析检测的不足 |
2.3.6 传统隐藏进程检测的不足 |
2.4 本章小结 |
第三章 新检测系统的原理及方法 |
3.1 检测原理分析 |
3.2 消息摘要算法 |
3.3 自保护模块原理 |
3.3.1 签名保护 |
3.3.2 隐藏保护 |
3.4 用户模式下的检测原理 |
3.4.1 系统可执行文件检测 |
3.4.2 代码区块检测 |
3.4.3 输入地址表检测 |
3.5 内核模式下的检测原理 |
3.5.1 IDT 挂钩检测 |
3.5.2 SSDT 挂钩检测 |
3.5.3 Inline 函数挂钩检测 |
3.5.4 IRP 表挂钩检测 |
3.5.5 隐藏进程检测 |
3.6 本章小结 |
第四章 新检测系统的设计及实现 |
4.1 自保护模块 |
4.1.1 签名保护 |
4.1.2 隐藏保护 |
4.2 用户空间下的检测 |
4.2.1 系统可执行文件检测 |
4.2.2 代码区块检测 |
4.2.3 输入地址表检测 |
4.3 内核空间下的检测 |
4.3.1 IDT 挂钩检测 |
4.3.2 SSDT 挂钩检测 |
4.3.3 Inline 函数挂钩检测 |
4.3.4 IRP 表挂钩检测 |
4.3.5 隐藏进程检测 |
4.4 本章小结 |
第五章 测试及结果分析 |
5.1 测试环境 |
5.2 新检测系统的有效性测试 |
5.3 总体评价 |
5.4 本章小结 |
第六章 总结 |
6.1 全文工作总结 |
6.2 下一步的工作 |
致谢 |
参考文献 |
攻读硕士研究生期间的研究成果 |
(7)Windows Bootkit技术研究与应用(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景 |
1.2 Windows Bootkit 的产生历史 |
1.3 Bootkit 的研究现状 |
1.4 本文的研究内容和主要工作 |
第二章Bootkit 相关操作系统原理 |
2.1 Windows 系统内核相关概念和原理 |
2.1.1 ri1190 与ri1193 |
2.1.2 CPU 表和系统表 |
2.1.3 控制寄存器 |
2.1.4 进程与线程 |
2.1.5 驱动程序 |
2.2 Bootkit 的相关技术简介 |
2.2.1 hook 技术 |
2.2.2 detour 技术 |
2.2.3 DKOM 技术 |
2.3 Windows 系统内核的引导与启动过程解析 |
2.3.1 Windows 系统的引导准备 |
2.3.2 引导扇区和NTLDR |
2.3.3 初始化内核和执行体子系统 |
第三章 Windows Bootkit 实例分析 |
3.1 基于MBR 的eEye BootRoot 和VBootkit |
3.1.1 eEye BootRoot 与VBootkit 概述 |
3.1.2 MBR 原理简介 |
3.1.3 实现原理简析 |
3.1.4 核心技术总结 |
3.2 基于NTLDR 的inghu Bootkit |
3.2.1 inghu Bootkit 概述 |
3.2.2 NTLDR 的函数级原理分析 |
3.3.3 实现原理分析 |
3.3.4 核心技术总结 |
3.3 基于boot.ini 的Tophet |
3.3.1 Tophet 概述 |
3.3.2 boot.ini 相关概念简介 |
3.3.3 实现原理分析 |
3.3.4 核心技术总结 |
3.4 基于BIOS 的IceLord Bootkit |
3.4.1 IceLord Bootkit 概述 |
3.4.2 BIOS 概述与结构分析 |
3.4.3 IceLord Bootkit 的逆向分析 |
3.4.4 核心技术总结 |
3.5 Windows Bootkit 技术总结 |
3.5.1 Windows Bootkit 与Windows 系统结构 |
3.5.2 Windows Bootkit 技术的优势 |
3.5.3 Windows Bootkit 技术的弱点 |
第四章 基于协同隐藏模型的Bootkit 原型设计与实现 |
4.1 Bootkit 的协同隐藏模型 |
4.1.1 相关定义 |
4.1.2 模型建立 |
4.1.3 模型分析 |
4.2 原型设计与实现 |
4.2.1 总体设计 |
4.2.2 启动模块的实现 |
4.2.3 隐藏模块的实现 |
4.2.4 功能模块的实现 |
4.3 本文的Windows Bootkit 原型的特点 |
4.4 实验与结果分析 |
4.4.1 实验一 |
4.4.2 实验二 |
4.4.3 实验三 |
4.4.4 实验结论 |
第五章 Windows Bootkit 的利用及其防御检测的探索 |
5.1 Windows Bootkit 的利用技术探索 |
5.1.1 结合漏洞攻击的Bootkit 运行方案 |
5.1.2 穿透主动防御系统的磁盘操作技术 |
5.1.3 基于PE 文件感染绕过Vista 系统UAC 机制的研究 |
5.2 Windows Bootkit 的预防和检测 |
5.2.1 windows bootkit 的防御技术研究 |
5.2.2 检测基于MBR 的Bootkit |
5.2.3 基于内存搜索的隐藏进程检测技术 |
第六章 结论 |
6.1 本文的工作总结 |
6.2 进一步研究工作 |
致谢 |
参考文献 |
攻硕期间取得的研究成果 |
(8)基于特征行为阻断的可容忍木马入侵技术的研究(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 研究背景 |
1.1.1 网络安全问题 |
1.1.2 木马的概念 |
1.1.3 木马的危害 |
1.1.4 反木马技术研究现状 |
1.2 研究内容 |
1.3 论文结构及章节安排 |
第二章 木马与反木马技术综述 |
2.1 木马的基本特点 |
2.2 木马与其他程序区别 |
2.2.1 与病毒、蠕虫的区别 |
2.2.2 与远程控制程序的区别 |
2.3 木马基本功能模块 |
2.4 木马未来发展趋势 |
2.5 反木马技术概述 |
2.5.1 特征码技术 |
2.5.2 防火墙技术 |
2.5.3 入侵检测技术 |
2.5.4 入侵防御技术 |
2.5.5 虚拟机技术 |
2.5.6 行为分析 |
2.5.7 实时监控 |
2.6 本章小结 |
第三章 木马分类及其特征行为分析 |
3.1 木马分类及其关键行为提取 |
3.1.1 远程访问型木马 |
3.1.2 数据发送型木马 |
3.1.3 破坏型木马 |
3.1.4 代理型木马 |
3.1.5 FTP 型木马 |
3.1.6 反安全软件木马 |
3.1.7 拒绝服务攻击木马 |
3.2 特征行为技术分析 |
3.2.1 文件系统操作 |
3.2.2 注册表操作 |
3.2.3 网络通信 |
3.2.4 进程建立/销毁 |
3.2.5 键盘记录 |
3.2.6 键盘鼠标控制 |
3.2.7 代码注入 |
3.2.8 建立互斥体 |
3.2.9 关闭/重启系统 |
3.2.10 驱动程序加载 |
3.3 本章小结 |
第四章 基于特征行为阻断策略的提出和技术分析 |
4.1 基于特征行为阻断策略的提出 |
4.2 挂钩系统服务调度表 |
4.2.1 系统服务调度表 |
4.2.2 挂钩系统服务调度表关键技术分析 |
4.2.3 目标挂钩例程的选择 |
4.3 NDIS IM 网络数据包拦截 |
4.3.1 网络分层及NDIS 结构简介 |
4.3.2 NDIS IM 驱动程序主要技术分析 |
4.4 本章小结 |
第五章 BT 系统功能实现 |
5.1 BT 系统框架结构 |
5.2 主机监控模块 |
5.2.1 KeHookBT 模块 |
5.2.2 BTMon 模块 |
5.3 网络监控模块 |
5.3.1 KeNdisIMBT 模块 |
5.3.2 BTNetMon 模块 |
5.4 控制中心 |
5.5 BT 系统测试与评价 |
5.6 本章小结 |
第六章 总结与展望 |
6.1 总结 |
6.2 展望 |
参考文献 |
致谢 |
攻读硕士学位期间发表的学术论文 |
(9)基于专家系统的网络攻击系统研究与实现(论文提纲范文)
摘要 |
ABSTRACT |
1 绪论 |
1.1 背景意义 |
1.2 研究现状 |
1.3 本文研究内容与所做的工作 |
1.3.1 本文研究内容与成果 |
1.3.2 本文的创新之处 |
1.4 本文的篇章架构 |
2 网络攻击技术分析 |
2.1 网络攻击技术研究现状 |
2.1.1 网络攻击概念 |
2.1.2 网络攻击技术 |
2.1.3 网络攻击发展趋势 |
2.2 存在问题分析 |
2.3 相关理论与技术简介 |
2.3.1 CBR 技术 |
2.3.2 攻击树技术 |
2.3.3 木马攻击技术 |
3 GANAS 攻击系统设计 |
3.1 系统体系结构 |
3.1.1 本文技术路线 |
3.1.2 总体结构 |
3.1.3 GANAS 工作流程 |
3.1.4 GANAS 功能及特点 |
3.1.5 设计系统的几点考虑 |
3.2 GANAS 中的CBR 系统设计 |
3.2.1 GANAS 的CBR 系统框架 |
3.2.2 案例的表示 |
3.2.3 网络攻击案例检索与推理 |
3.2.4 案例的修改和学习 |
3.3 GANAS 中的攻击树技术应用 |
3.3.1 GANAS 的攻击树 |
3.3.2 攻击模型和攻击模式 |
3.3.3 攻击树的遍历 |
3.3.4 使用攻击树的优缺点 |
3.4 木马攻击技术在GANAS 中的应用 |
3.4.1 木马植入技术在GANAS 中的应用 |
3.4.2 木马加载技术在GANAS 中的应用 |
3.4.3 木马隐藏技术在GANAS 中的应用 |
4 GANAS 攻击系统的实现 |
4.1 GANAS 总体结构设计 |
4.1.1 GANAS 总体结构 |
4.1.2 GANAS 界面设计 |
4.2 信息输入界面 |
4.3 木马的实现 |
4.3.1 木马程序结构 |
4.3.2 单线程处理流程 |
4.3.3 功能模块 |
4.4 后台数据库 |
4.5 GANAS 实际测试 |
5 结论与展望 |
5.1 本文的工作总结 |
5.2 未来的工作 |
参考文献 |
致谢 |
攻读学位期间发表的学术论文 |
(10)使用差异比较法对木马程序进行防杀的技术探讨(论文提纲范文)
摘要 |
ABSTRACT |
目录 |
图表目录 |
第一章 引言 |
1.1 立项背景 |
1.2 本文的主要工作 |
第二章 木马的概念和发展历程 |
2.1 木马(程序)的定义 |
2.1.1 木马与病毒的联系与区别 |
2.1.2 木马与远程控制软件的联系与区别 |
2.2 木马的工作原理 |
2.3 木马的功能 |
2.4 木马的分类 |
2.5 木马的发展历程 |
2.6 木马的植入方式 |
2.7 木马的危害性 |
第三章 木马的基本特性及其实现技术 |
3.1 木马的隐蔽性 |
3.2 木马隐藏技术实现 |
3.3 木马自启动技术实现 |
3.3.1 利用注册表隐蔽启动 |
3.3.2 插入文件中或与其它文件捆绑在一起隐蔽启动 |
3.3.3 利用特定的系统文件或其它一些特殊方式隐蔽启动 |
3.4 木马的自动恢复性 |
3.5 木马的主动性 |
3.6 木马的功能特性 |
3.7 木马通信的实现技术 |
3.7.1 端口复用技术 |
3.7.2 反弹端口 |
3.7.2 潜伏技术 |
第四章 木马隐蔽技术的实例分析 |
4.1 灰鸽子的运行原理 |
4.2 灰鸽子的手工检测 |
4.3 灰鸽子的手工清除 |
4.3.1 清除灰鸽子的服务 |
4.3.2 删除灰鸽子程序文件 |
第五章 使用差异比较法构建立体防护体系 |
5.1 现有木马查杀技术的优缺点分析 |
5.2 差异比较法的基本原理 |
5.3 使用差异比较法对木马进行防杀的基本思路 |
5.4 使用差异比较法对木马进行防杀的具体方法 |
5.4.1 建立目标系统特征数据库 |
5.4.2 控制对注册表的访问 |
5.4.3 严格限制对系统目录、系统文件和系统服务的改变 |
5.4.4 限制非法的API调用和系统函数调用 |
5.4.5 使用硬件资源的占用率来判断 |
5.4.6 限制木马的其它恶意行为 |
5.5 差异比较法构筑的防护体系评价 |
第六章 结论 |
致谢 |
参考文献 |
四、Windows NT/2000下用PSAPI获取进程的信息(论文参考文献)
- [1]操作系统安全加固中进程与文件保护关键技术的研究[D]. 王全民. 天津大学, 2012(06)
- [2]木马隐藏技术初探[J]. 张洪进. 医疗卫生装备, 2011(04)
- [3]家庭计算机绿色卫士软件的设计与实现[D]. 杨骏. 电子科技大学, 2010(02)
- [4]高隐藏性木马的深度检测技术实现研究[D]. 王鼎. 电子科技大学, 2010(04)
- [5]一个内网监控系统的研究与实现[D]. 黄建辉. 浙江工业大学, 2009(02)
- [6]Windows Rootkit检测机制的研究与实现[D]. 梁升荣. 电子科技大学, 2009(11)
- [7]Windows Bootkit技术研究与应用[D]. 胡和君. 电子科技大学, 2009(11)
- [8]基于特征行为阻断的可容忍木马入侵技术的研究[D]. 姜坚. 南京航空航天大学, 2009(S2)
- [9]基于专家系统的网络攻击系统研究与实现[D]. 马骁. 上海交通大学, 2008(S2)
- [10]使用差异比较法对木马程序进行防杀的技术探讨[D]. 米渊. 内蒙古大学, 2008(02)