研究内核基于Windows核方式下Anti-Rootkit工具与实现

论文导读：表）152.4文件体系15-172.4.1FAT（FileAllocationTable）文件体系162.4.2NTFS(NewTechnologyFileSystem)文件体系16-172.5网络体系17-192.5.1TDI编程规范172.5.2NDIS编程规范17-182.5.3NT体系网络结构18-192.6Windows设备驱动程序19-20第3章ROOTKIT技术实践20-253.1挂钩SSDT技术20-223.

1.1调用内核12下一

摘要：随着信息网络的进展，越来越多的网络攻击发生在身边，如本地网络渗透，隐私信息被盗等。除此之外，在信息安全领域，攻击和防御技术正在加快对方的进展。使用Rootkit技术，保持电脑的持续制约，同时还可从帮助隐藏后门软件。Rootkit是一种具有隐蔽性的、极度危险的技术。与此同时，随着军事信息化程度的提高，未来战争对于信息的依赖性将会达到一个前所未有的高度，争夺与保持信息优势已经成为战争或战役的首要任务，信息优势争夺成为夺取战役胜利的关键所在。反观目前军队的信息化进展走势，在对于战场信息的快速传递、联合共享方面已经取得了长足的进步，而对于军队内部信息网络的安全性和抗冲击性方面还有很多的方面需要加强。尤其是在内核级的体系防御方面，军队的绝大多数作战平台目前还大多部署在Windows XP操作体系上面，而众所周知，Windows XP体系是一个极度不安全的操作平台，在目前已知的体系入侵手段中，大多数都对WindowsXP操作体系有效，像rootkit这种通过攻击操作体系内核而保持对电脑的持续制约和信息的获取的攻击手段对于军队的信息体系而言是极度危险的。本论文旨在通过对Rootkit技术的深入探讨，更好的开发出相应的Anti-Rootkit。本论文旨在以Windows操作体系的进展过程、内核架构、文件体系等基础方面入手，通过简介Windows操作体系的结构和体系内核的Rootkit technology的联系和论述，用实例举证的模式详尽的阐述了Rootkit攻击的原理，包括挂钩SSDT表，ShadowSSDT表，内核对象挂钩等操作。针对每一种攻击模式，以原理上加从分析并提出检测、修复办法，并加从论证实现。最后通过从上对于Rootkit的检测论证实现总结，采取VisualStudio2008和WDDK7.0开发出一款可从进行有效检测Rootkit并恢复的软件ScDetective。随着Windows7、Window8操作体系的逐渐推广，军队的体系目前也在进行Win7和Win8方面的适配，而Win7和Win8对于Rootkit的防御已经做到了很好，与此同时，们对于新的攻击技术的开发并没有止步，一种基于Rootkit的衍生攻击技术Bootkit技术也应运而生，最后，通过分析Rootkit的最新进展，探讨和分析Bootkit技术极为体系原则。这些工作为接下来的探讨做好了准备。关键词：Rootkit论文Win32论文SSDT论文内核对象论文内核检测论文
本论文由www.7ctime.com,需要可从关系人员哦。摘要4-5
Abstract5-7
目录7-9
第1章 绪论9-12

1.1 探讨背景9

1.2 ROOTKIT 的产生和进展9-10

1.3 现存不足及探讨作用10-11

1.4 本论文主要工作11-12

第2章 ROOTKIT 技术的原理12-20

2.1 环 0 级12

2.2 WINDOWS 内核结构12-14

2.1 用户方式组件13-14

2.2 NT核方式组件14

2.3 CPU 和体系表14-15

2.3.1 Global Descriptor Table,GDT（全局描述符表）14-15
2.

3.2 Local Descriptor Table,LDT（本地描述符表）15

2.3.3 Page Directory（页目录）15

2.3.4 Interrupt Descriptor Table,IDT（中断描述符表）15
2.3.5 System Service Dispatch Table,SSDT（体系服务调用表）15

2.4 文件体系15-17

2.4.1 FAT（File Allocation Table）文件体系16

2.4.2 NTFS (New Technology File System)文件体系16-17

2.5 网络体系17-19

2.5.1 TDI编程规范17

2.5.2 NDIS编程规范17-18

2.5.3 NT体系网络结构18-19

2.6 Windows设备驱动程序19-20

第3章 ROOTKIT 技术实践20-25

3.1 挂钩 SSDT 技术20-22

3.1.1 调用内核论文导读：DE反汇编引擎的引用274.2.3驱动体系函数定义27-294.2.4SSDT、IDT、ShadowSSDT检测从及恢复驱动层定义29-314.2.5驱动入口功能实现314.3KERNELHOOK、IDT、SSDT和SSDTSHADOW检测与恢复模块31-374.3.1KernelHook检测与恢复31-324.3.2SSDT、SSDTShadow检测与恢复32-364.3.3IDT检测与恢复36-374.4内核钩子检测与
机制剖析20-21
3.

1.2 SSDT内核挂钩调用和进程隐藏21-22

3.

1.3 内核挂钩调用结果22

3.2 IDT（INTERRUPT DESCRIPTOR TABLE） 挂钩技术22-25
3.

2.1 IDT机制概述22

3.

2.2 IDT结构剖析22-23

3.

2.3 IDT 地址获取23-25

第4章 SCDETECTIVE 功能实现25-48

4.1 操作体系从及环境架构25-27

4.

1.1 操作体系25-26

4.

1.2 编程环境26-27

4.2 底层驱动编写27-31
4.

2.1 KerHook、SSDT、IDT 驱动文档结构图27

4.

2.2 XDE反汇编引擎的引用27

4.

2.3 驱动体系函数定义27-29

4.

2.4 SSDT、IDT、ShadowSSDT 检测从及恢复驱动层定义29-31

4.

2.5 驱动入口功能实现31

4.3 KERNEL HOOK、IDT、SSDT 和 SSDT SHADOW 检测与恢复模块31-37
4.

3.1 Kernel Hook 检测与恢复31-32

4.

3.2 SSDT、SSDT Shadow 检测与恢复32-36

4.

3.3 IDT检测与恢复36-37

4.4 内核钩子检测与修复37-40

4.5 驱动检测功能的实现40-42

4.6 进程检测功能实现42-44

4.6.1 ActiveProcessLinks枚举进程42-43

4.6.2 通过 Handletablepsthead 枚举进程43

4.6.3 通过 csrss 的 handletable 枚举进程43-44

4.7 文件剖析及操作功能44-48

4.7.1 生成制约设备卷和制约设备44

4.7.2 剖析与操作功能实现44-46

4.7.3 创建回调函数46-48

第5章 总结与展望48-50

5.1 本论文总结48

5.2 SCDETECTIVE 软件有着的问题48-49

5.3 下一步探讨方向49-50

参考文献50-51
作者介绍及在学期间所取得的科研成果51-52
致谢52