發(fā)布時(shí)間：2023-09-28 21:37

　　隨著計(jì)算機(jī)技術(shù)和信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)攻擊方式逐漸內(nèi)存化,網(wǎng)絡(luò)犯罪逐漸隱遁化。在短時(shí)間內(nèi)獲得存儲(chǔ)于易失性存儲(chǔ)介質(zhì)中的關(guān)鍵數(shù)字證據(jù),成為打擊網(wǎng)絡(luò)犯罪的重要手段,其使用的主要技術(shù)為計(jì)算機(jī)內(nèi)存取證。當(dāng)前的內(nèi)存取證技術(shù)存在掃描時(shí)間長(zhǎng)、效率低的缺陷,達(dá)不到生產(chǎn)環(huán)境中應(yīng)急響應(yīng)的時(shí)間要求。在短時(shí)間內(nèi)有效檢測(cè)內(nèi)核對(duì)象和內(nèi)核Rootkit,對(duì)安全研究人員進(jìn)行應(yīng)急響應(yīng)和攻擊溯源具有重要意義。本文對(duì)內(nèi)存池標(biāo)記快速掃描技術(shù)進(jìn)行了改進(jìn)和優(yōu)化,開發(fā)了針對(duì)Windows內(nèi)核驅(qū)動(dòng)對(duì)象的新型掃描插件,并提出了一種針對(duì)Windows內(nèi)核Rootkit的自動(dòng)化檢測(cè)方案。本文通過對(duì)內(nèi)存池標(biāo)記快速掃描技術(shù)的研究,分析了Windows平臺(tái)下內(nèi)存取證技術(shù)待改進(jìn)之處,縮小了關(guān)鍵內(nèi)存掃描范圍,添加了針對(duì)Windows內(nèi)核驅(qū)動(dòng)對(duì)象的約束條件,開發(fā)了針對(duì)Windows內(nèi)核驅(qū)動(dòng)對(duì)象的掃描插件qdriverscan。通過在多維度環(huán)境下對(duì)qdriverscan插件進(jìn)行測(cè)試,結(jié)果表明該插件在保證掃描準(zhǔn)確率不變的前提下,大幅度縮短了Windows內(nèi)核驅(qū)動(dòng)對(duì)象掃描花費(fèi)的時(shí)間,提高了掃描效率。通過總結(jié)、分析Windows內(nèi)核Rootkit檢測(cè)技術(shù)的優(yōu)...

【文章頁(yè)數(shù)】：77 頁(yè)

【學(xué)位級(jí)別】：碩士

【文章目錄】：
摘要
Abstract
第1章 緒論
    1.1 課題研究的背景和意義
        1.1.1 研究背景
        1.1.2 研究意義
    1.2 國(guó)內(nèi)外研究現(xiàn)狀
        1.2.1 國(guó)內(nèi)內(nèi)存取證技術(shù)研究現(xiàn)狀
        1.2.2 國(guó)外內(nèi)存取證技術(shù)研究現(xiàn)狀
        1.2.3 Windows內(nèi)存池標(biāo)記掃描技術(shù)研究現(xiàn)狀
        1.2.4 Windows內(nèi)核驅(qū)動(dòng)攻擊研究現(xiàn)狀
        1.2.5 內(nèi)核模式Rootkit發(fā)展研究現(xiàn)狀
    1.3 課題研究?jī)?nèi)容
        1.3.1 內(nèi)存池標(biāo)記快速掃描技術(shù)改進(jìn)研究
        1.3.2 對(duì)Windows內(nèi)核Rootkit取證研究
    1.4 論文組織結(jié)構(gòu)
第2章 內(nèi)存取證技術(shù)研究
    2.1 內(nèi)存取證的相關(guān)概念
    2.2 內(nèi)存取證的流程及相關(guān)技術(shù)、工具
        2.2.1 內(nèi)存取證的總體流程
        2.2.2 內(nèi)存鏡像的獲取
        2.2.3 內(nèi)存鏡像的分析
    2.3 本章小結(jié)
第3章 Windows內(nèi)存管理機(jī)制、內(nèi)核驅(qū)動(dòng)及Rootkit研究
    3.1 Windows內(nèi)存管理機(jī)制介紹
        3.1.1 內(nèi)存管理和映射機(jī)制
        3.1.2 Windows的換頁(yè)內(nèi)存池與非換頁(yè)內(nèi)存池
    3.2 Windows內(nèi)存池標(biāo)記掃描
        3.2.1 內(nèi)存池標(biāo)記掃描
        3.2.2 內(nèi)存池標(biāo)記快速掃描
    3.3 Windows內(nèi)核驅(qū)動(dòng)
    3.4 Rootkit
        3.4.1 Rootkit特點(diǎn)和類型
        3.4.2 Rootkit技術(shù)的發(fā)展歷程及技術(shù)變革
        3.4.3 Rootkit檢測(cè)技術(shù)
    3.5 本章小結(jié)
第4章 基于內(nèi)存池標(biāo)記快速掃描技術(shù)的Windows內(nèi)核驅(qū)動(dòng)攻擊研究
    4.1 總體方案和流程
    4.2 針對(duì)Windows內(nèi)核驅(qū)動(dòng)對(duì)象的掃描
        4.2.1 方案簡(jiǎn)述
        4.2.2 方案流程
        4.2.3 方案詳細(xì)描述
    4.3 針對(duì)Windows內(nèi)核Rootkit的檢測(cè)
        4.3.1 方案簡(jiǎn)述
        4.3.2 方案具體細(xì)節(jié)
    4.4 本章小結(jié)
第5章 內(nèi)存取證實(shí)驗(yàn)測(cè)試及分析
    5.1 實(shí)驗(yàn)環(huán)境
    5.2 Windows內(nèi)核驅(qū)動(dòng)對(duì)象的掃描實(shí)驗(yàn)
        5.2.1 物理內(nèi)存掃描測(cè)試
        5.2.2 虛擬內(nèi)存掃描測(cè)試
        5.2.3 不同系統(tǒng)版本掃描測(cè)試
        5.2.4 大內(nèi)存掃描測(cè)試
        5.2.5 網(wǎng)絡(luò)帶寬測(cè)試
    5.3 典型Windows內(nèi)核Rootkit的檢測(cè)實(shí)驗(yàn)
        5.3.1 Stuxnet
        5.3.2 Zero Access
        5.3.3 Uroburos
    5.4 本章小結(jié)
結(jié)論
參考文獻(xiàn)
攻讀碩士學(xué)位期間所發(fā)表的學(xué)術(shù)論文
致謝



本文編號(hào)：3848637