本文選題：計(jì)算機(jī)取證　切入點(diǎn)：rootkit檢測(cè)　出處：《山東輕工業(yè)學(xué)院》2011年碩士論文

【摘要】：信息技術(shù)極大地促進(jìn)了人類社會(huì)的進(jìn)步,同時(shí)也帶來(lái)了計(jì)算機(jī)犯罪問(wèn)題。黑客入侵、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)色情等案件的出現(xiàn)影響了互聯(lián)網(wǎng)的健康發(fā)展,更是破壞了正常的經(jīng)濟(jì)發(fā)展和社會(huì)生活秩序。計(jì)算機(jī)取證(Computer Forensics)是打擊計(jì)算機(jī)犯罪所使用的主要技術(shù)手段,是目前法律工作者和信息技術(shù)工作者共同研究重點(diǎn)內(nèi)容。 本文針對(duì)傳統(tǒng)的rootkit查找方法的缺陷,根據(jù)物理內(nèi)存分析技術(shù)的發(fā)展提出的。通過(guò)分析物理內(nèi)存,得到所需的目標(biāo)機(jī)器上存在rootkit木馬或者不存在的證據(jù)。首先深入研究和分析了計(jì)算機(jī)物理內(nèi)存鏡像獲取技術(shù)和Rootkit的攻擊原理。在文中還介紹當(dāng)今流行的Windows Rootkit。 經(jīng)過(guò)分析windows rootkit原理可知,rootkit用于隱藏的技術(shù)比較多,如在中斷描述符表(IDT)和系統(tǒng)服務(wù)描述符表(SSDT)等地方設(shè)置鉤子或直接修改某些內(nèi)核數(shù)據(jù)結(jié)構(gòu)。本文中詳細(xì)的分析了幾種rootkit的隱藏技術(shù)的原理,分析了幾種常用的windows rootkit檢測(cè)工具。 無(wú)論Windows Rootkit是通過(guò)修改中斷描述符表、驅(qū)動(dòng)函數(shù)還是系統(tǒng)服務(wù)調(diào)度表等地方來(lái)實(shí)現(xiàn)欺騙系統(tǒng),讓系統(tǒng)執(zhí)行其非法代碼,實(shí)現(xiàn)其非法目的,都要把它的進(jìn)程隱藏起來(lái)。為了不讓系統(tǒng)或者反Rootkit程序發(fā)現(xiàn)而隱藏自身的進(jìn)程是Windows Rootkit必須做的工作。根據(jù)這個(gè)原理,在檢測(cè)Windows rootkit的時(shí)候,我們就以檢測(cè)隱藏的進(jìn)程為主要依據(jù)來(lái)檢測(cè)當(dāng)時(shí)的系統(tǒng)中是否存在rootkit。 文章中利用基于交叉視圖(Cross-View)的方法來(lái)來(lái)檢測(cè)rootkit。在這個(gè)方法中獲得真實(shí)的進(jìn)程列表是一個(gè)難點(diǎn),在實(shí)驗(yàn)的過(guò)程中通過(guò)Windbg調(diào)試內(nèi)核來(lái)得到EPROCESS,HADLE_TABLE等重要的內(nèi)核數(shù)據(jù)結(jié)構(gòu)。通過(guò)對(duì)這些重要的內(nèi)核數(shù)據(jù)結(jié)構(gòu)的研究掌握了通過(guò)進(jìn)程句柄表來(lái)列舉當(dāng)前系統(tǒng)進(jìn)程列表的方法。 論文主要研究?jī)?nèi)容如下: 1、對(duì)計(jì)算機(jī)取證的相關(guān)概念,背景及國(guó)內(nèi)外的發(fā)展現(xiàn)狀進(jìn)行了詳細(xì)介紹。 2、對(duì)Windows XP系統(tǒng)下的日志文件的格式進(jìn)行了詳細(xì)的分析。 3、詳細(xì)的闡述windows系統(tǒng)下常用的幾種獲取物理內(nèi)存鏡像的方法,還介紹了內(nèi)存鏡像的分析方法。 4、概述了windows物理內(nèi)存的管理機(jī)制,并且結(jié)合實(shí)例詳細(xì)的介紹了虛擬地址到物理地址的轉(zhuǎn)換方式。 5、對(duì)rootkit所使用的幾種技術(shù)原理(如掛鉤系統(tǒng)服務(wù)描述符表,直接內(nèi)核操作法等)進(jìn)行了詳細(xì)的介紹。 6、給出了傳統(tǒng)的rootkit檢測(cè)的方法,并且在基于交叉視圖(cross-view)的檢測(cè)的基礎(chǔ)上,提出了一種檢測(cè)效果比較明顯的檢測(cè)方法,且給出了主要的代碼。
[Abstract]:Information technology has greatly promoted the progress of human society, but also brought about computer crime.Hacking, network fraud, network pornography and other cases affect the healthy development of the Internet, but also undermine the normal economic development and social order.Computer Forensic Science (computer Forensic) is the main technical means to combat computer crime.Aiming at the defects of traditional rootkit lookup method, this paper puts forward a new method based on the development of physical memory analysis technology.By analyzing physical memory, evidence that rootkit Trojan exists or does not exist on the target machine is obtained.Firstly, the computer physical memory image acquisition technology and the attack principle of Rootkit are deeply studied and analyzed.This paper also introduces the popular Windows Rootkit.By analyzing the principle of windows rootkit, we know that rootkit is used to hide many techniques, such as setting hooks or modifying some kernel data structures directly in places such as interrupt descriptor table (IDT) and system service descriptor table (SSDT).In this paper, the principle of several rootkit hiding techniques is analyzed in detail, and several commonly used windows rootkit detection tools are analyzed.Hiding a process from being discovered by a system or anti-Rootkit program is a must for Windows Rootkit.According to this principle, when detecting Windows rootkit, we use the hidden process as the main basis to detect the existence of rootkits in the system at that time.In this paper, a cross-view based approach is used to detect rootkits.Through the study of these important kernel data structures, the method of listing the current system process list through the process handle table is discussed.The main contents of this thesis are as follows:1. The related concepts, background and development status of computer forensics are introduced in detail.2. The format of log files in Windows XP system is analyzed in detail.3. Several methods of obtaining physical memory image in windows system are described in detail, and the analysis method of memory mirror is also introduced.4. The management mechanism of windows physical memory is summarized, and the transformation from virtual address to physical address is introduced in detail with an example.5. Several technical principles used in rootkit are introduced in detail, such as linked system service descriptor table, direct kernel operation and so on.6. The traditional method of rootkit detection is given, and based on the cross-view detection, a detection method with obvious effect is proposed, and the main code is given.
【學(xué)位授予單位】：山東輕工業(yè)學(xué)院
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2011
【分類號(hào)】：TP393.08;D918.2

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ;內(nèi)存占用與殺毒軟件卡機(jī)原因詳解[J];計(jì)算機(jī)與網(wǎng)絡(luò);2010年01期

2 尹亮;文偉平;;Windows 7 SP1下DKOM防攻擊技術(shù)研究[J];信息網(wǎng)絡(luò)安全;2011年07期

3 張登銀;陳召國(guó);;Windows平臺(tái)下Rootkit進(jìn)程檢測(cè)[J];計(jì)算機(jī)技術(shù)與發(fā)展;2011年07期

4 寇應(yīng)展;楊素敏;陳利軍;王紀(jì)增;;基于Libpcap網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)的改進(jìn)[J];軍械工程學(xué)院學(xué)報(bào);2011年03期

5 段芳;徐亮;;對(duì)ORACLE在醫(yī)院信息管理中保持?jǐn)?shù)據(jù)庫(kù)性能的探討[J];九江學(xué)院學(xué)報(bào)(自然科學(xué)版);2011年02期

6 劉鐵武;李峰;;請(qǐng)求分頁(yè)式系統(tǒng)設(shè)計(jì)的性能保證[J];湖南工程學(xué)院學(xué)報(bào)(自然科學(xué)版);2011年02期

7 楊曉亮;吳俊敏;欒蘭;鞏哲;;μC/OS-Ⅱ虛擬化設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)工程;2011年16期

8 李艷;;電子取證中的隱形數(shù)據(jù)及其相關(guān)處理技術(shù)探究[J];警察技術(shù);2011年04期

9 董靜薇;穆英華;侯濤;孫博凱;;RISC嵌入式系統(tǒng)存儲(chǔ)器管理的軟件優(yōu)化[J];哈爾濱理工大學(xué)學(xué)報(bào);2011年03期

10 劉潭江;;淺談企業(yè)ERP數(shù)據(jù)庫(kù)的維護(hù)與優(yōu)化[J];網(wǎng)絡(luò)與信息;2011年08期

相關(guān)會(huì)議論文 前10條

1 ;A Method for Rootkit Detection Based on Cross-View[A];2011年全國(guó)通信安全學(xué)術(shù)會(huì)議論文集[C];2011年

2 莊h，

本文編號(hào)：1685180