导读:本文包含了内核变量论文开题报告文献综述及选题提纲参考文献,主要关键词:内核变量定位,内存取证,MmPhysicalMemoryBlock,内存分析
内核变量论文文献综述
车生兵,易文[1](2015)在《Windows内核变量定位与应用研究》一文中研究指出Windows内核变量是内存分析过程中经常需要使用到的数据,但是由于Windows操作系统的封闭性,定位到Windows内核变量的位置非常困难。前人提出了一些内核变量定位的方法,但是在实验后发现,结果并不尽人意。针对这一现状,在前人的算法上进行了改进,提出一种基于虚拟地址转换的算法,使得可以准确定位内核变量位置。另外,也提出了一个基于Windows XP全新的内核变量快速定位方法。最后,以内核变量MmPhysicalMemoryBlock的应用为例,提出了基于MmPhysicalMemoryBlock的内存数据快速导出算法。实验结果表明,2个内核变量定位算法能准确的定位内核变量,内存数据快速导出算法也能准确完整的导出需要的内存数据。(本文来源于《电子测量技术》期刊2015年05期)
汪清[2](2013)在《基于Linux内核不变量推测的Rootkit检测》一文中研究指出Linux操作系统由于其开源和免费的特点受到大家的青睐,同样其遭受的攻击也层出不穷,木马是其中威胁较大的一个,木马侵入电脑后首先并不进行破坏性的操作,但是在内部监控计算机的运行,通过事先留下的后门来传输信息以达到窃取用户信息的目的。在木马程序中最难以被用户检测到的就是更加深入操作系统内核的木马,内核层级木马是一种与内核Rootkit技术相结合的特洛伊木马。由于Rootkit处于系统的底层,具有系统最高的权限而且能够很容易的修改内核中的重要数据结构,很多软件即使查杀也只能针对一种或者几种Rootkit,井不能对所有Rootkit进行查杀,所以内核Rootkit由于其特殊性质目前已经成为计算机安全领域重点研究的课题。内核Rootkit主要是以内核模块(LKM)的形式加载到系统内核中,通过对内核的系统调用表等内核关键数据进行更改,从而实现隐藏自身及相关恶意目的。最近的研究发现Rootkit已经不仅仅通过修改内核关键数据,而且修改非控制型数据同样可以达到恶意目的,例如污染嫡池使系统无法获取有效的随机数、添加恶意二进制代码等攻击,之前Rootkit检测技术无法检测这样的Rootkit攻击,一方面因为他们只把重点放在控制数据修改的检测上,另一方面因为需要能深刻理解内核数据结构语义的专家,给出详细的内核完整性技术规范,才能检测到非控制型数据结构的修改。针对以上分析,本文提出了一种新型内核Rootkit检测技术RKdetect,通过在训练阶段系统抓取整个系统内核内存的页面,提取出数据结构并推测出不变量存储在文件系统中,在执行阶段将Rootkit植入系统之后周期性的去捕获内核内存推断不变量,并与训练阶段得到的不变量作比较查看是否发生改变,如果发生改变则存在Rootkit。本文采用观察机和目标机的模式,观察机主要完成数据结构提取、不变量推测、监控目标机、Hadoop集群搭建等功能并且在推测不变量时采用MapReduce编程,目标机主要完成相应观察机请求抓取内核内存页返回观察机。该方法能广泛应用于病毒、木马、Rootkit的检测中,对计算机的安全研究有着很大的意义。最后,为了证明RKdetect能很好的检测出普遍存在的Rootkit,本文实现了该技术,并将不同的Rootkit用来实验,结果证明了RKdetect的有效性和普遍适用性,取得了很好的效果。(本文来源于《大连理工大学》期刊2013-05-01)
邓凌志[3](2011)在《基于内核不变量保护的rootkit入侵检测和系统恢复》一文中研究指出互联网应用的蓬勃发展伴随了网络入侵的迅速增长。攻击的目标也逐渐由系统用户对象转入操作系统内核;这种攻击更难于发现和处理,给操作系统带来了巨大的破坏性。以内核rootkit为代表的入侵行为,在侵入计算机系统后会进行痕迹清理和后门创建等工作。通过获得系统管理者权限,内核rootkit能够窃取用户隐私信息或在未经用户允许的情况下执行非法操作。而目前的入侵检测和系统恢复技术远远落后于内核rootkit技术的发展,使得网络环境下的操作系统屡遭攻击。最新的内核rootkit通过改变运行时操作系统内核中的动态数据结构的方法来达到其恶意的目的。这种方法更隐蔽更难于发现和恢复,对操作系统安全构成了严重的考验。本文提出了一种虚拟机架构下结合操作系统内核数据结构不变量保护和快照回卷技术的内核rootkit入侵检测和系统恢复机制,实现了验证系统IDRS(Intrusion Detection and Recovery System),它通过实时对操作系统运行过程进行监测,能够高效地发现引起内核不变量发生改变的rootkit入侵,并触发基于虚拟机快照的系统恢复;通过结合写时复制技术、重定向技术和增量系统快照卷技术实现了高性能系统快照卷,从而实现操作系统的高性能灾难恢复。基于真实工作负载和基准测试程序的实验表明,IDRS系统能以较低的系统性能消耗高准确性的发现不管是破坏控制类数据结构还是非控制类数据结构的内核rootkit入侵,并恢复受污染的系统。(本文来源于《湖南大学》期刊2011-06-15)
田玉凤,王沁[4](2003)在《一种动态更新LINUX内核变量的实现方法》一文中研究指出在进行LINUX内核嵌入式开发时,经常使用内核启动过程中读取静态配置文件内容的方式对内核某些变量进行初始化,当静态配置文件改动时,只有重启内核,新配置才能生效。由此,提出一种动态更新内核变量的方法,使内核不需要重启便可以意识到配置的变化。(本文来源于《计算机工程与设计》期刊2003年11期)
内核变量论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
Linux操作系统由于其开源和免费的特点受到大家的青睐,同样其遭受的攻击也层出不穷,木马是其中威胁较大的一个,木马侵入电脑后首先并不进行破坏性的操作,但是在内部监控计算机的运行,通过事先留下的后门来传输信息以达到窃取用户信息的目的。在木马程序中最难以被用户检测到的就是更加深入操作系统内核的木马,内核层级木马是一种与内核Rootkit技术相结合的特洛伊木马。由于Rootkit处于系统的底层,具有系统最高的权限而且能够很容易的修改内核中的重要数据结构,很多软件即使查杀也只能针对一种或者几种Rootkit,井不能对所有Rootkit进行查杀,所以内核Rootkit由于其特殊性质目前已经成为计算机安全领域重点研究的课题。内核Rootkit主要是以内核模块(LKM)的形式加载到系统内核中,通过对内核的系统调用表等内核关键数据进行更改,从而实现隐藏自身及相关恶意目的。最近的研究发现Rootkit已经不仅仅通过修改内核关键数据,而且修改非控制型数据同样可以达到恶意目的,例如污染嫡池使系统无法获取有效的随机数、添加恶意二进制代码等攻击,之前Rootkit检测技术无法检测这样的Rootkit攻击,一方面因为他们只把重点放在控制数据修改的检测上,另一方面因为需要能深刻理解内核数据结构语义的专家,给出详细的内核完整性技术规范,才能检测到非控制型数据结构的修改。针对以上分析,本文提出了一种新型内核Rootkit检测技术RKdetect,通过在训练阶段系统抓取整个系统内核内存的页面,提取出数据结构并推测出不变量存储在文件系统中,在执行阶段将Rootkit植入系统之后周期性的去捕获内核内存推断不变量,并与训练阶段得到的不变量作比较查看是否发生改变,如果发生改变则存在Rootkit。本文采用观察机和目标机的模式,观察机主要完成数据结构提取、不变量推测、监控目标机、Hadoop集群搭建等功能并且在推测不变量时采用MapReduce编程,目标机主要完成相应观察机请求抓取内核内存页返回观察机。该方法能广泛应用于病毒、木马、Rootkit的检测中,对计算机的安全研究有着很大的意义。最后,为了证明RKdetect能很好的检测出普遍存在的Rootkit,本文实现了该技术,并将不同的Rootkit用来实验,结果证明了RKdetect的有效性和普遍适用性,取得了很好的效果。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
内核变量论文参考文献
[1].车生兵,易文.Windows内核变量定位与应用研究[J].电子测量技术.2015
[2].汪清.基于Linux内核不变量推测的Rootkit检测[D].大连理工大学.2013
[3].邓凌志.基于内核不变量保护的rootkit入侵检测和系统恢复[D].湖南大学.2011
[4].田玉凤,王沁.一种动态更新LINUX内核变量的实现方法[J].计算机工程与设计.2003
标签:内核变量定位; 内存取证; MmPhysicalMemoryBlock; 内存分析;