特种木马防御与检测技术研究.pdf 作者-孙建国主编；赖明珠，高迪，姜莉，田秀霞编著207页

内容简介：
    《特种木马防备与检测技术研究》以作者近几年的研究经历为基础，系统介绍了木马检测与防护的关键技术。内容涵盖木马行为的基本理论、木马基本特征、木马检测与防护各阶段的关键技术。《特种木马防备与检测技术研究》内容简练，通俗易懂。既可供高等院校信息安全，特别是信息系统安全领域的相关师生使用，又可以作为开发人员和技术人员的设计参考书，也可供对系统安全、木马防护技术感兴趣的读者阅读。
目录菜单：
    fy,qy,ml,01,02,03,04,05,06,07,08,fl,wx
文本摘要：
    特种木马防备与检测技术研究孙建国/主编赖明珠高高迪姜莉田秀霞/编著「信出版集团：人民邮用出版科特种木马防备与检测技术研究孙建国/主编赖明珠高，迪姜莉田秀霞/编著民邮电出版社图书在版编目（CIP）数据特种木马防备与检测技术研究／孙建国主编赖明珠等编著，--北京：人民邮电出版社，2015.12ISBN978-7-115-39609-9I，D特…II.D孙…赖…III.计算机网络-安全技术IV.UTP393.08中国版本图书馆CIP数据核字(2015)第137353号内容提要本书以作者近几年在信息安全领域的研究经历为基础,统介绍了木马检测与防护的关键技术。内容涵盖木马行为的基本理论、木马基本特征、木马检测与防护各阶段的关键技术.本书内容简练，通俗易懂。既可供高等院校信息安全,，特别是信息系统安全相关领域的师生使用，又可以作为开发人员和技术人员的设计参考书,也可供对系统安全、木马防护技术感兴趣的读者阅读编孙建国赖明珠高迪姜莉编田秀霞责任编辑邢建春执行编辑吴彤云责任印制彭志环人民邮电出版社出版发行北京市丰台区成寿寺路11号邸编100164电子邮件315@ptpress.com.cn网hhttp:/wvwvw.ptpress.com.cn北京隆昌伟业印刷有限公司印刷开本：880x12301/32印张：6.52015年12月第1版字数：210千字2015年12月北京第1次印刷定价：49.00元读者服务热线：（010）81055488印装质量热线：(010）81055316反盗版热线：（010）81055315前2011年以来，面向我国信息网络的网站入侵、网络欺诈等恶意网络行为依然呈现上升趋势,特别是移动领域的恶意行为大幅微微软、谷歌、思科、增加。苹果雅虎等科技公司的产品已深入海内各部门、企事业单位，并培养了数以亿计的忠实用户，用户在使用过程中信息很容易被监听、、过滤，这使我国的信息安全几乎毫无保障可言“棱镜”事件再次凸显了我国信息系统安全的整体态势，，同时：也暴露出现有的信息安全理制度的真空尚若斯诺登所言非虚，不知又将置“我们多年的信息安全等级测评工作以及网络安全防范体系”于何地？因此棱镜事件必然为我国现有的信息安全管理体系敲响警钟，合理完备客观周密的信息流动与管控立法将为期不远《管子》中有句话叫伏寇在侧”。午“墙有耳，针对涉密信息管控领域，为为防止涉及国家秘密的计算机及信息系统受到来自互联网等公共信息网络的攻击信息的安全党和国家多次强调要求涉密计算机及i互联网等公共信息网实行物理隔离从单纯的技小体系来看物理隔离技术解决了数据边界的安全间题舒外部环境亏内部涉密信息隔绝开，且必需的数据交换均处于管控范围之内。但实质上，物理隔离的设计者和建设者往往忽略了信息流动的必然和多源特点，面对信息的产生、加工、处理、存储以及传播、硝毁等全生命周期,，依赖单纯的物理隔离是无法完全实现的，！必须对信息流动的管理进行加固特种木马防备与检测技术研究面对如此紧迫的网络安全间题和涉密信息系统安全瓶颈，我们的信息安全研究团队开展了积极的研究工作。在确定研究方向的时候，主要考虑以下3个问题：1）必须是个关系信息系统安全运行的关键命题；2）必须是个实际的科研问题，不那么虚无镖继；3)必须是一个交叉领域问题不需要过于热门。在这样的背景下，结合社会需求和知识积累，产生了科研方向为木马防备与检测技术的研究。2008年9月，团队正式开始进入特种木马的研究阶段.当时能够检索到的海内外核心期刊论文和会议论文不过百篇，，这对于一个研究方向或者领域来说,数目可谓零零无几。但是我坚信这个领域不会太冷，而且-·定会逐渐春暖花开事实证明当时的想法是对的。当然这是后话，在当时我理清了思绪耐心阅读了所有可检索到的论文，并进行了适当折提的是，值得展性阅读在此阶段，项目组完成了军工领域特种木马防备与检测技术研究报告完成基础研究报告后发现：特种木马的种类繁多，所依托的理论、模型千差万别，如何进行比较和性能分析？不知彼长，如何确定已短？衡量的标准是什么指标体系如何确定？为此，决定从性能评测入手，分为恶意代码、特种木马和常规病毒3类进行展开；在此研究阶段，项目组进·步细分：同时，逐渐形成了系统环境检测、进程系统、注册表系统文件系统、恶意代码以及网络系统6个研究小组我们的研究思想是:以涉密信息系统为研究对象以保障信息系统内数据安全为研究内容从木马攻击以及检测防护的实用角度出发，深入研究可满意涉密信息系统内数据安全可控泛应用的信息安全技术。首先，结合信息系为实际特点分析和阑述病毒、木马的基本原理，：并提出基本的木马防范与检测措施。在此基础上,提出整体研究框架和数据库设计说明检测与清除的基本流程其次，从注册表、文件系统、网络系统和进程系统4个方面，利用驱动过滤技术提出实现和设计思路.同时，　基于动态检测与静态匹配相结合的思路,提提出不同类型木马特征库的设计与实现思路。最最前言后，本书对摆渡木马进行了重点检测,特别是U盘、光盘等摆渡攻击的实现原理进行了介绍从特种木马的静态特征和行为特征出发比较全面、系统地论述了木马检测与清除的关键理论和技术问题：主要内容包括木马的基本特征、木马攻击的基本原理静态木马检测技术、动态行为分析与匹配技术、特征木马清除技术等全书共8章，每章都包含了作者近年的科研成果.第1章简要介绍病毒、木马的基本原理与本质特征。第2章提出木马检测与防护系统的整体框架。从木马静态与动态行为特征的研究入手，介绍了针对信息系统的各种攻击方式及防护技术最后重点介绍了基于静态特征的木马检测方法；章针对木弟3马行为特征的主要过程提出了木马检测与清除的关键性技术即逻辑过程分析、、文件系统扫描与清除、文件隔离与清除恶意文档检测与清除。第4章针对木马渗透攻击的主要环节，提出了木马防护的主要手段，利用消息拦截与驱动过滤方法，：提出了动态防备的整体策略：包括注册表驱动过滤、文件系统驱动过滤、网络协议驱动过滤以及进程驱动过滤第5章基于第3章和第4章的研究成果重点研究了木马特征库的设计与加载方式木马静态特征触入动态行为特征以及自定义的关键特征的识别问题第6章介绍特种木马防护模块设计。第7章说明特种木马特征库设计第8章是系统演示和总结部分。在本书的最后，作者着重介绍了当前比较流行的特征木马的行为特征：以及主要的防护与检测手段：李佳楠同学对光盘刻录以及移动存储硬盘的特种木马与防护给出了详细的描述本书是哈尔滨工程大学信息安全研究团队全体师生的研究成果结晶。本书是国家自然科学基金教育部高学校博士点基金、黑龙江省政府博士后资助项目压家军保密资格审查认证中央合作项目的成果总结。在写作过程中博士牛寇亮硕士生苗施亮、谭凯、于成、胡俊夫、李春晓等，本科生李佳楠、、李博权等都付出了辛苦工作，特别感谢哈尔滨工程大学张国印教授、、印桂生教授、武俊鹏教授、高迪老师的帮助,以及对本书及相关研究工作的支持和鼓励特种木马防备与检测技术研究希望本书能为推进我国信息系统数据安全的研究尽绵薄之力。限于作者水平，书中定有疏漏和不当之处，希望大家批评指正和交流，欢迎通过电子邮件（sunjianguo@hrbeu.edu.cn）联系。目录第1章绪论I.】背景及意义1.2木马的检测与防护1.2.1特种木马的基本特征1.2.2特种木马隐藏技术1.2.3特种木马的免杀1.2.4木马检测与防护的技术要求1.2.5特种木马的关键行为特征1.3海内外研究情况摆渡木马植入技术研究1.3.1，（1990~2001年）121.3.2摆渡木马隐藏技术研究（2005~2010年)·····1.3.3摆渡木马分析技术研究（2011年至今)141.4主流木马检测技术·.151.4.1特征码检测技术基于文件静态特征的检测技术1.4.21.4.3文件完整性检测技术虚拟机检测技术1.4.4行为分析技术1.4.51.4.6入侵检测技术云安全技术1.4.72660000000606600601.5本章小结特种木马防备与检测技术研究第2章特种木马技术的基本原理282.1U盘摆渡木马特征分析282.1.1摆渡执行过程8，文件搜索2.1.22.1.3写入U盘等移动介质发送被窃取文件2.1.4的的m2.1.5启动方式的隐藏DLL型摆渡木马的设计原理2.2DLL基础知识2.2.1整体设计框架2.2.2DLL木马生命周期简介2.32.3.1木马注入44动持系统DLL2.3.22.3.3木马隐藏DLL木马免杀策略2.3.4，DLL木马自毁策略2.3.5仿真实验分析2.4环境介绍2.4.12.4.2流程介绍与分析实验结果分析2.4.32.5本章小结·66第3章PE类型木马技术原理67E文件结构…3.1DOSMZHeader3.1.13.1.2PEHeader3.1.3OptionalHeader2....................8节表和节3.1.4703.2PE病毒原理研究·

特种木马防备与检测技术研究.pdf下载链接：https://max.book118.com/html/2020/1217/5004312122003043.shtm