特种木马防御与检测技术研究电子书

扉页

目录

内容提要

前言

第1章 绪论

1.1 背景及意义

1.2 木马的检测与防护

1.2.1 特种木马的基本特征

1.2.2 特种木马隐藏技术

1.2.3 特种木马的免杀

1.2.4 木马检测与防护的技术要求

1.2.5 特种木马的关键行为特征

1.3 国内外研究情况

1.3.1 摆渡木马植入技术研究（1990~2001年）

1.3.2 摆渡木马隐藏技术研究（2005~2010年）

1.3.3 摆渡木马分析技术研究（2011年至今）

1.4 主流木马检测技术

1.4.1 特征码检测技术

1.4.2 基于文件静态特征的检测技术

1.4.3 文件完整性检测技术

1.4.4 虚拟机检测技术

1.4.5 行为分析技术

1.4.6 入侵检测技术

1.4.7 云安全技术

1.5 本章小结

第2章 特种木马技术的基本原理

2.1 U盘摆渡木马特征分析

2.1.1 摆渡执行过程

2.1.2 文件搜索

2.1.3 写入U盘等移动介质

2.1.4 发送被窃取文件

2.1.5 启动方式的隐藏

2.2 DLL型摆渡木马的设计原理

2.2.1 DLL基础知识

2.2.2 整体设计框架

2.3 DLL木马生命周期简介

2.3.1 木马注入

2.3.2 劫持系统DLL

2.3.3 木马隐藏

2.3.4 DLL木马免杀策略

2.3.5 DLL木马自毁策略

2.4 仿真实验分析

2.4.1 环境介绍

2.4.2 流程介绍与分析

2.4.3 实验结果分析

2.5 本章小结

第3章 PE类型木马技术原理

3.1 PE文件结构

3.1.1 DOS MZ Header

3.1.2 PE Header

3.1.3 Optional Header

3.1.4 节表和节

3.2 PE病毒原理研究

3.2.1 重定位技术

3.2.2 获取API技术

3.2.3 搜索感染目标技术

3.2.4 内存映射

3.2.5 感染PE文件技术

3.3 PE病毒采用的高级技术

3.3.1 加密技术

3.3.2 多态技术

3.3.3 变形技术

3.4 虚拟化技术应对病毒自修改代码

3.5 Windows文件系统过滤驱动

3.6 实验分析与验证

3.7 本章小结

第4章 摆渡木马主动防御框架

4.1 摆渡木马主动防御框架

4.1.1 设计目标

4.1.2 设计思想

4.1.3 主动防御框架

4.1.4 监控模块设计

4.2 行为捕获技术和行为特征

4.2.1 Windows API钩子技术

4.2.2 木马的不可精确判定性

4.2.3 朴素贝叶斯分类算法

4.3 环境检测

4.4 木马检测评判标准

4.4.1 测试指标

4.4.2 ROC曲线

4.5 实验与分析

4.5.1 实验目的与环境

4.5.2 训练集与测试集

4.5.3 实验结果与分析

4.6 本章小结

第5章 检测与清除模块设计

5.1 功能描述

5.2 逻辑流程

5.3 文件扫描与检测技术

5.3.1 PE文件扫描与检测

5.3.2 压缩文件检测与扫描

5.3.3 其他类型文件的检测与扫描

5.4 文件隔离与删除技术

5.5 恶意文档检测与删除技术

第6章 特种木马防护模块设计

6.1 功能描述

6.2 逻辑流程

6.3 动态防御注册表驱动过滤

6.4 动态防御文件驱动过滤

6.5 动态防御网络协议驱动过滤

6.5.1 TDI过滤简述

6.5.2 具体过程

6.6 动态防御进程驱动过滤

第7章 特种木马特征库设计

7.1 模块描述

7.1.1 植入阶段的行为特征分析

7.1.2 安装阶段的行为特征分析

7.1.3 运行阶段的行为特征分析（文件访问、回联）

7.1.4 通信阶段的行为特征分析

7.2 特征库组成

7.3 特征库加载

7.4 自定义特征库

7.5 行为规则库

第8章 系统演示和总结

8.1 功能描述

8.2 系统操作描述

附录 示例代码

1-1 探测有移动存储介质接入系统

1-2 DLL木马注入演示示例

1-3 Toolhelp API 枚举系统进程

1-4 PSAPI枚举进程信息

1-5 隐藏模块的方法

1-6 自删除示例代码

参考文献