一、简介Windows的虚拟内存(论文文献综述)
翟继强,徐晓,陈攀,杨海陆[1](2021)在《基于元数据和指令流的64位Windows堆栈取证》文中研究指明为解决64位Windows环境中,现有工具针对含有恶意进程的转储文件中没有堆栈帧指针和调试符号时,构建的堆栈取证会产生漏报问题和没有元数据时构建的堆栈取证会产生错报问题,提出了从内存转储构建堆栈跟踪方法。从内存转储中检索目标进程的用户上下文,确定堆栈跟踪的起始点,然后基于异常处理的元数据展开。如果元数据不可用,使用基于指令流的验证方法生成等效数据。基于框架Volatility实现了相应插件,实验表明,方法不依赖堆栈帧指针和调试符号,利用元数据可获取更加完整的堆栈跟踪;没有元数据时,基于指令流的验证可以极大地提高取证的精确性。
于承志[2](2021)在《软件使用手册本地化英译中翻译实践报告 ——以Azure为例》文中提出随着信息全球化速度的加快,软件本地化已经成为信息技术中发展最快的领域之一。随之而来的,是对软件翻译需求的急剧增加。然而,软件本地化在翻译质量、翻译风格、翻译模式等方面还存在着诸多问题,专业性不达标。本翻译实践报告以Microsoft Azure软件使用手册为例,总结了机器翻译和计算机辅助翻译工具中的错误类型,并提出了相应的译后编辑策略。本报告首先分析了Microsoft Azure软件使用手册的语言和风格特征。然后选择了Trados做为计算机辅助翻译软件进行机器翻译。其次,在卡特琳娜·莱斯文本类型理论中信息型文本的翻译策略指导下,对机器翻译后的文本逐句进行人工译后编辑。为保证译文的客观性与准确性,作者还邀请了计算机行业的专业人士对译后编辑的译文进行校对和评审。最后,根据中国翻译协会本地化质量评价模型对错误进行分类,分析每种错误类型的出现频率,并针对典型错误提出相应的译后编辑策略。本翻译实践报告的结果显示,在随机选取的十章软件使用手册(750句)中,47%(352句)有不同类型的错误,需要进行译后编辑。其中,不符合表达习惯的翻译占22%(164句),其次是术语误用(17%,125句),误译(4%,29句),过度翻译(5%,34句)。为了满足信息型文本对翻译准确性和专业性的要求,作者提出了句子拆分、语序调整和词义重选等译后编辑策略。本文应用莱斯的文本类型理论指导软件手册的翻译。作者结合理论与实例,对软件手册中的机器翻译错误进行了分类,并提出了相应的译后编辑策略。为软件本地化领域的翻译人员提供翻译建议,以提高软件手册翻译的质量。
徐晓[3](2021)在《64位Windows的堆栈内存取证研究》文中进行了进一步梳理堆栈取证可以还原事件发生时系统所进行的操作,研究主流Windows系统的堆栈取证对完善内存取证流程以及发展内存取证技术有重要意义。目前,针对不建立帧指针的64位Windows转储文件,现有堆栈取证方法会把不可执行地址及回调函数地址误识别为正确返回地址,同时一些取证或内存分析工具如Win Dbg过于依赖调试符号,含有恶意进程的转储文件通常没有调试符号而造成取证困难。另外,若不对Windows 10压缩内存数据进行提取,则会造成取证结果有缺失,而现有检索方法存在过程繁琐、未考虑系统版本带来的内核数据结构不同以及支持的压缩算法单一问题。为解决以上问题,本文提出了从64位Windows内存转储构建堆栈取证的方法。主要研究内容如下:1.对Windows 10下压缩内存取证做出改进,提出基于快速定位REGION KEY的检索算法(Retrieval Based on Quick Location REGION KEY,RBQLRK)。RBQLRK算法改进了压缩数据检索方式,提高了检索效率;修正了因为系统版本差异带来的内存结构块大小不同造成的计算偏差;增加了对不同压缩算法的支持。2.不依赖于调试符号及帧指针,提出基于异常表决策的堆栈取证算法(Stack Forensics Based on Exception Tables Decision,SFBETD),还原事件发生时的调用信息。SFBETD算法首先对获取的内存证据进行预处理,得到进程相关信息;然后检索目标进程的用户上下文,确定堆栈跟踪的起始点;对寄存器指令指针位置进行判断,分析其在函数不同位置产生的对相关寄存器内容值的影响;根据该影响对异常表的利用方式做决策分析,对堆栈进行执行历史的回溯。3.在异常表不可用时,提出基于指令码的堆栈取证算法(Stack Forensics Based on Instruction Code,SFBIC)。算法首先扫描堆栈,将检测到所有可能的上一个返回地址标记下来作为候选地址;然后通过对调用地址处指令解码的方式对地址进行验证,排除基于扫描方法及指令流验证带来的误报。为了分析与验证本文提出的取证及优化算法,使用开源内存取证框架Volatility开发了相应的插件并做了全面实验测试和对比分析,结果证明本文提出的取证方法可以不依赖于帧指针和调试符号,利用异常表可以减少堆栈跟踪结果的漏报;在没有异常表的情况下,基于指令码的取证可以极大地提高取证的精确性;引入压缩内存取证方法后,Windows 10系统可以获取更加完整的堆栈跟踪。
雷凯[4](2021)在《使用Windows API进行恶意软件检测的研究》文中研究说明近年来计算机技术不断发展,计算机软件和硬件水平也不断提高,越来越多的恶意软件涌现了出来。针对Windows主机的的入侵也越来越多,传统的网络安全措施难以适应Windows环境安全检测需求。为了解决Windows环境下的网络安全问题,研究者们提出了基于机器学习的Windows入侵检测技术。在机器学习算法中,随机森林、K-Means、SVM等算法被广泛应用于入侵检测,但是这些算法复杂度高,模型泛化能力弱,数据量较大时检测时间较长。使用集成学习Boosting的算法有LightGBM,使用集成学习Bagging思想的算法有随机森林,Bagging思想是非常简单的,就是每一个子数据集生成一个弱学习器,然后通过投票的方式决出一个强学习器,对于简单的数据集来说,随机森林简单且高效。LightGBM是基于直方图算法的决策树算法,能够将大量相对连续的数值进行离散化。本文通过对入侵检测以及集成算法的研究,最终选LightGBM算法作为入侵检测系统的算法,并对入侵检测结果使用准确率、精确率、召回率、F-1度量进行了评估。论文主要工作内容如下:(1)针对数据集的处理,本论文充分利用收集到的多个关于Windows API调用的公开数据集,针对这些数据集的不同,本文将这些数据集进行了合并,形成了两套数据集。通过对比这两套数据集,选用一套效果好的数据集加入到本文的入侵检测系统中。整理完数据集本文先对数据进行预处理,充分挖掘数据信息,找到296个重要的API调用,并考虑到不同恶意软件之间的差异,将数据集分为9部分,代表不同的九种恶意软件。(2)本论文设计了 Windows环境下的使用LightGBM入侵检测系统,利用Python的Sklearn库对数据集进行训练,通过调整LightGBM中学习率、树的最大深度、特征选取比例和每次迭代的数据比例参数确定了理想参数范围,并在测试集上取得了很高的分类准确率。(3)作为横向对比,采用相同数据集,在LightGBM检测基础上,分别使用回归树、决策树、随机森林、GBDT、XGBoost和LightGBM算法进行了异常检测。在训练时间以及准确率等方面,将结果与LightGBM算法进行对比,对模型进行评估及优化。LightGBM的准确率、精确率、F-1值和AUC值都高于其他机器学习模型,都在97%以上。
曲宏欣[5](2021)在《Windows下支持RDMA的数据卡驱动设计与实现》文中研究指明近年来,在互联网和大数据这个新兴时代背景下,数据中心已经发展成为了现代化社会信息系统和基础设施建筑的重要组成部分。在大数据和云计算的工作过程中,各种应用均需要进行大量数据的快速处理,数据交互必须得到快速的响应,因此数据中心、金融等行业的数据传输需要与一般通信网络相比具有更低的、微秒级别的传输时延。传统的采用TCP/IP协议栈架构的网络由于无法从本质上解决端侧的处理时延,所以新一代的数据中心网络工作负载的超低时延的需求指标逐渐无法得到满足。基于上述原因本课题组自主研发了基于RDMA技术的数据采集卡,从端侧和端到端两方面来解决数据传输中的时延问题,本文则对此RDMA数据采集卡进行Windows操作系统下驱动程序的开发和适配,保障高效、稳定的数据传输。本文主要进行了以下工作:(1)设计了驱动程序内的DMA传输架构,采用了共享缓冲区映射的方式实现了数据共享,并通过描述符方式进行复杂的RDMA指令传输,实现了零复制和内核旁路,解决了高速网络中端内数据传输的高时延问题。对多核心处理器和多队列网卡设备,采用了将相关资源与处理器核心绑定的方式,提高CPU的高速缓存命中率并避免线程同步带来的开销。(2)以RDMA规范为基础,设计了驱动程序中控制层面的指令调度架构和数据层面的数据传输方案。通过这些设计可以完成高效的控制指令传递和数据传输,降低端侧的数据传输时延。(3)对本驱动程序设计进行了 WDF驱动程序框架下的编程实现。驱动程序中主要包含用户态管理驱动程序和内核态硬件驱动程序两部分,用户态管理驱动程序作为面向用户程序的接口,主要用于相关指令的下发及共享缓冲区、RDMA工作队列相关的管理工作;内核态硬件驱动程序主要用于用户程序与硬件设备之间的交互以及内存调度,初始化配置等需要内核态权限的操作。(4)对编译生成的驱动程序进行了一系列测试,保障了本驱动程序的各种基本功能后对驱动程序的端侧数据传输时延进行了测试,验证了本驱动程序设计数据传输的低时延的特性。
王智[6](2021)在《功率波形分析仪人机交互与数据处理软件设计及实现》文中研究表明为了满足日益增长的综合测试需求,功率波形分析仪应运而生,该仪器整合了示波器和功率分析仪的功能,应用场景十分广泛,研究一款这样的综合测试仪器对于电子信息产业未来发展意义重大。本文以功率波形分析仪为研究背景,该仪器整体基于采集板卡+FPGA+工控机的硬件方案,拥有4个功率单元,同时支持示波模式和功率模式。人机交互和数据处理是决定功率波形分析仪使用体验和性能的关键,因此本文重点研究这两部分的软件设计及实现,主要内容如下:1、总体软件架构设计。为解除业务耦合,提升系统可扩展性,使用分层+模块化的总体软件设计;为提升系统的多任务并行处理能力,结合任务执行特点构建分工明确的多线程架构,从而提升系统运行效率。2、本地人机交互软件设计和实现。在界面方面,对导航窗口按键消息处理和窗口复用技术进行研究;在通用组件方面,通过设计和实现分页列表控件和编辑框软键盘,改善使用体验;另外,基于键值和消息处理模块实现一种通用的人机交互模型,以提升系统扩展性。3、远程人机交互软件设计和实现。基于B/S架构实现远程人机交互功能,完成通信模块、服务端、前端网页和权限校验模块的软件设计及实现,使得用户可以通过浏览器访问和控制功率波形分析仪,扩展了功率波形分析仪的人机交互方式。4、数据处理研究。本文对传统功率参数运算进行优化,实现了一种功率参数自定义运算方案,将功率参数运算的选择权交给用户,使得功率参数按需运算成功在功率波形分析仪中实现,不仅提高了功率参数的运算效率,同时也改善了用户使用体验。另外,针对部分时基档位波形显示效果不佳的问题,本文对比和分析各种插值算法,最终选用分段三次拉格朗日插值算法和分段线性插值算法进行应用,使得波形显示效果得到改善。最后,本文基于控制模块和历史数据缓存队列实现了一种历史波形循环缓存方案,使得历史波形数据可以在内存空间中循环有序缓存,从而方便用户更好地记录和分析历史波形。基于以上研究,本文在功率波形分析仪平台上进行了总体软件测试和验证。测试结果表明,功率波形分析仪的各项功能均正常,符合预期设计要求。
唐宏艺[7](2021)在《基于硬件虚拟化的实时内存取证技术》文中认为随着互联网的发展,网络空间的安全对抗也愈来愈激烈,每年APT(海莲花、API白金、方程式组织)组织的网络攻击都会对国家、企业、个人造成不可估量的损失。对网络攻击犯罪对象进行证据收集,捕获攻击证据,分析攻击手段和技巧,追踪攻击痕迹,重建攻击过程,为下一次攻击制定好防御措施和方案至关重要,取证技术在现实场景中具有实际意义。传统的取证技术存在取证时间过长,取证空间过大,取证分析时间长等问题,特别是应对瞬时性内存攻击的取证,攻击对象的攻击载荷往往具备加密,混淆,快速的内存申请,执行,释放的特点。这使得取证工作存在诸多困难,同时严重依赖取证的及时性以及取证分析人员经验和技术水平。传统的SSDT HOOK,IDT HOOK等内核函数监控方法已在Windows高版本64位系统上失效。本文提出了绕过微软PatchGuard保护实现内核函数拦截的技术实现,由内核函数地址获取模块,跳板构建模块,绕过PG保护机制核心模块三个模块组成,对目标内核函数地址所在页实现内存页替换,使得客户机读取的内存页与执行的内存页不同,实现内核函数的拦截,绕过微软完整性检测。提出了基于EPT访问控制的针对瞬时性攻击内存页的实时取证技术实现,由基于EPT访问控制的内存页控制模块,信息交互模块,物理内存标记模块以及物理内存提取分析模块四个模块组成,对标记的可疑内存页,基于EPT扩展页表机制与MTF机制实时监控物理内存页的数据写入或代码执行,取证物理内存和行为证据链。在物理内存标记模块中创新性地提出了使用基于页的写验证方式实现了新申请内存虚拟地址到物理内存的实际映射,在物理内存提取分析模块中提出了创建系统线程降低中断请求级别实现IO读写,归纳总结了物理地址内存映射到虚拟地址的方法。基于上述模块,实现了一种基于硬件虚拟化的实时内存取证系统RFSBHV,选取实验样本对论文的RFSBHV系统进行有效性测试,并与内核级行为监控工具火绒剑和内存威胁检测脚本Get-InjectionThreads进行对比,测试RFSBHV与火绒剑对Windows性能的影响,经测试,RFSBHV对系统的性能影响较火绒剑小,性能更优。
陈攀[8](2021)在《面向Windows 10系统段堆的内存取证研究》文中认为在网络安全攻防领域,越来越多的网络黑客会根据操作系统进程堆的内存管理机制设计堆溢出恶意攻击程序,为系统安全带来了巨大的威胁。因此,在内存取证领域,实现堆信息的提取和堆溢出的检测迫在眉睫。在Windows 10系统中出现了新的堆管理机制——段堆,段堆结构还处于未公开状态并且不同内部版本具有不同的段堆结构,针对段堆的内存管理机制和内存取证研究尚不充分,因此需要进一步研究段堆的管理机制和内存取证技术。本文的主要研究内容包括以下三个方面:1.提出基于行进递归反汇编的段堆管理机制转换算法SHMMC(Segment Heap Management Mechanism Conversion)解析Windows内核管理段堆的机制并统计段堆中核心字段的偏移和核心字段在管理内存中的作用,提出堆内存对象结构信息提取算法HMOSIE(Heap Memory Object Structure Information Extraction)算法解析多个版本的段堆结构并根据HOOK技术获取的数据和段堆自身数据统计出剩余字段的功能。解析出字段后,把生成的结构信息导入到Volatility内存取证框架中的Windows 10系统对应配置文件中;2.通过分析段堆及其关联结构的VType描述信息之后,发现结合池扫描技术与进程结构、进程环境块结构、进程堆数组之间的位置关系可以定位段堆及其组件结构位置,进而对段堆结构信息进行解析。依据解析结果基于内存取证框架研发了重现段堆及其组件信息的5个插件,这些插件使用VType描述信息解析进程中段堆及其组件信息并进行信息提取;3.基于上面解析的段堆管理机制和段堆堆块中的内存布局,分析出段堆的安全管理机制并对段堆进行攻击测试后发现了段堆溢出漏洞攻击的两种方式:虚表地址泄漏攻击和虚表地址覆盖攻击。根据段堆中字段信息和堆块的定位方式,扫描段堆中的堆块。当定位到堆块位置时,通过判断堆块头部或者填充数据是否被覆盖来判断段堆是否发生了堆溢出,当发生溢出时,检测异常堆块或异常堆块相邻堆块是否含有虚表地址,如果有的话,则可以推出段堆中出现了堆溢出攻击。本文研究内容可以让安全研究者了解Windows内核管理段堆机制并分析出防御段堆溢出攻击技术并且帮助取证调查者提取出段堆内部信息和针对段堆溢出攻击的信息。实验结果表明这些插件能再现进程运行时,段堆内部信息并能成功扫描段堆中的堆块,定位异常堆块的位置并输出异常信息,帮助调查人员分析段堆的运行情况和获取段堆溢出攻击的恶意痕迹信息。
田淞煜[9](2021)在《抗逆向分析PE文件保护系统研究与实现》文中提出为应对逆向分析给Windows软件带来的安全威胁,本文提出并实现一个针对Windows可执行程序的安全保护系统,该系统对可执行程序逆向中的静态分析和动态分析过程进行保护,有效提高逆向分析者的分析难度。采取的主要保护措施有:一、加壳,在已有虚拟机加壳技术的基础上进行改进,提出多样化Handler的保护机制;二、代码混淆、通过对软件进行混淆处理,改变程序的运行时的函数块的结构并增加指令的复杂度,以此来增加逆向分析难度。本文以增强PE(Portable Executable)文件的抗逆向能力为目的,对Windows平台下的PE(Portable Executable)文件的二进制混淆技术和虚拟机加壳技术进行研究,主要工作包括:首先,分析Windows下PE文件的加壳技术和二进制保护技术的研究现状,对PE文件抗逆向分析的常见方法进行总结,简单阐述PE文件加壳原理和市面流行壳的类型分析。其次,对基于虚拟机的多样化Handler加壳保护方式进行详细阐述,对建立的数据结构、调用约定和框架都从源码的层面上进行详细解释,通过对比普通Handler实现和多样化Handler实现的优缺点,最终证明多样化Handler具有更强的抗逆向性能,进而证明所提出的加壳方法的有效性。再次,提出建立索引的方式对函数间基本块进行交换的静态保护算法,对算法的基本思想进行简要阐述,通过对常用的反调试技术进行分析,发现常用反调试技术的局限性,在其基础上进行优化改进,在最后设计并实现一个二进制混淆器。最后,对以上提出的加壳方式进行实验验证,通过与流行加壳软件对比压缩率、运行时间额外开销、静态和动态指令执行率等参数,间接证明提出的保护方式是有效可性的,最终实验结果得出提出的保护方式在隐蔽性、运行时间开销和占用空间等方面具有一定优势。
丁宇勋[10](2021)在《面向云平台的Windows虚拟机监控与控制系统》文中提出从人们第一次提出云计算的概念,距离今天已经有十几年的时间了。在这十几年间,云计算技术获得了飞快的发展以及巨大的变化,越来越多的云平台被投入使用。但随着云平台中虚拟机集群规模的不断扩大,平台运维人员的工作量也在不断增加。面对数量成百上千的虚拟机集群,传统的人工操作和运维方式已经不再适合,传统方式带给工作人员的只有枯燥重复的工作,极易在过程中出现人为错误,而且耗费大量时间。本文主要针对于云平台中Windows虚拟机集群,设计并实现了一个虚拟机集群监控与控制系统,带有硬件资源监控、用户会话监管、文件传输、命令传输和远程调控等功能,以解决面对庞大虚拟机集群不易管理的问题。通过该系统减轻云平台运维人员的工作压力,提高云平台运维人员的工作效率。本文首先对目前国内外的虚拟机管理工具进行调研,再结合本系统的实际使用环境与需求,抽取出系统所需要的功能模块并进行实现。设计监管系统的三级网络拓扑结构,实现监管系统自动化部署功能,通过划分分组和集合,以及采用选举算法选取代理主机来协助进行管理工作,提高了系统的伸缩性能;通过使用Windows平台下的IO复用模型来提高系统的并发能力,减少响应时间;实现虚拟机硬件资源监控和用户会话监管,使工作人员能够对虚拟机负载情况和用户会话情况进行监控和管理;实现文件传输功能和命令传输功能,以达到批量操作和应用快速部署的能力;实现远程调控功能,使运维人员可以突破机房地理空间位置的限制,直接远程解决问题;实现消息推送功能,使在特殊情况下对虚拟机中的每一个用户进行消息提醒。最后对系统的运行以及每个功能的使用情况进行测试,判断系统是否可以正常使用。在论文最后部分对文章的全部内容进行总结,然后对本论文后续的工作做出展望。
二、简介Windows的虚拟内存(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、简介Windows的虚拟内存(论文提纲范文)
(1)基于元数据和指令流的64位Windows堆栈取证(论文提纲范文)
0 引 言 |
1 Windows x64堆栈 |
1.1 Windows x64堆栈分配 |
1.2 调用堆栈和堆栈帧 |
2 堆栈重构方法分析 |
2.1 具有帧指针的函数的堆栈跟踪 |
2.2 没有帧指针的堆栈跟踪 |
2.3 现有技术存在的问题 |
3 Windows x64堆栈跟踪 |
3.1 堆栈跟踪方法 |
3.1.1 获取x64进程的用户上下文 |
3.1.2 利用元数据的堆栈重构 |
3.1.3 基于指令流的堆栈重构 |
3.2 基于Volatility插件实现 |
4 测试与分析 |
4.1 测试方法 |
4.2 评价指标 |
4.3 实验结果分析 |
4.3.1 有元数据的进程测试 |
4.3.2 无元数据的进程测试 |
4.3.3 不同进程类型测试 |
4.3.4 不同操作系统版本测试 |
5 结 论 |
(2)软件使用手册本地化英译中翻译实践报告 ——以Azure为例(论文提纲范文)
摘要 |
Abstract |
Introduction |
1 Translation Project Description |
1.1 Introduction to the Source Text |
1.2 Research Significance |
1.3 Structure of the Thesis |
2 Guiding Theory |
2.1 Introduction to Text Typology |
2.1.1 Text Typology |
2.1.2 Translation Methods for Informative Text |
2.2 Quality Evaluation Framework |
3 Translation Process |
3.1 Pre-Translation |
3.1.1 Features of the Source Text |
3.1.2 Selection of CAT Tool |
3.2 While-Translation |
3.3 Post-Translation |
3.3.1 Verification of the Inconsistency of Machine Translation |
3.3.2 Error Classification on Machine Translation Output |
3.3.3 Putting Forward Post-editing Methods |
4 Case Study |
4.1 Language and Style Errors |
4.1.1 Attributive Clause |
4.1.2 Prepositional Phrases |
4.1.3 Verbal Phrases |
4.2 Terminological Errors |
4.3 Inaccurate Translation |
4.3.1 Negative Structure Sentence Translation |
4.3.2 Fragmentary Sentence Translation |
4.3.3 Article Translation |
References |
Appendix(1):Translation practice and the Author’s Analysis |
Appendix(2):TAC’s Quality Evaluation Model |
Acknowledgement |
(3)64位Windows的堆栈内存取证研究(论文提纲范文)
摘要 |
Abstract |
第1章 绪论 |
1.1 课题研究的背景和意义 |
1.1.1 研究背景 |
1.1.2 研究意义 |
1.2 内存取证技术研究现状 |
1.2.1 国外内存取证技术研究现状 |
1.2.2 国内内存取证技术研究现状 |
1.2.3 压缩内存取证技术研究现状 |
1.2.4 Windows堆栈取证技术研究现状 |
1.3 课题研究内容 |
1.3.1 压缩内存取证研究 |
1.3.2 基于异常表决策的堆栈取证研究 |
1.3.3 基于指令码的堆栈取证研究 |
1.4 论文组织结构 |
第2章 内存取证技术分析 |
2.1 Windows内存管理 |
2.1.1 虚拟内存 |
2.1.2 内存压缩 |
2.1.3 调用堆栈和堆栈帧 |
2.2 内存取证技术 |
2.2.1 内存镜像的获取 |
2.2.2 内存镜像的分析 |
2.3 反内存取证技术 |
2.4 堆栈取证方法分析 |
2.4.1 32位Windows堆栈重构 |
2.4.2 64位Windows堆栈重构 |
2.5 本章小结 |
第3章 64位Windows堆栈内存取证研究 |
3.1 引言 |
3.2 压缩内存取证研究 |
3.2.1 基于快速定位REGION KEY的检索算法RBQLRK |
3.2.2 基于算法RBQLRK的压缩内存取证实现 |
3.3 堆栈取证方法研究 |
3.3.1 基于异常表决策的堆栈取证算法SFBETD |
3.3.2 基于指令码的堆栈取证算法SFBIC |
3.3.3 引入RBQLRK算法的堆栈取证方法实现 |
3.4 本章小结 |
第4章 堆栈取证实验和分析评估 |
4.1 Windows x64堆栈取证测试 |
4.1.1 实验方法与评价指标 |
4.1.2 压缩内存取证测试 |
4.1.3 有异常表的进程取证测试 |
4.1.4 基于指令码的取证测试 |
4.1.5 不同进程类型测试 |
4.1.6 不同操作系统版本测试 |
4.2 典型攻击进程取证测试 |
4.2.1 远程代码执行进程测试 |
4.2.2 堆栈溢出攻击进程测试 |
4.3 本章小结 |
结论 |
参考文献 |
攻读硕士学位期间所发表的学术成果 |
致谢 |
(4)使用Windows API进行恶意软件检测的研究(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 研究背景及意义 |
1.1.1 课题研究背景 |
1.1.2 课题研究内容 |
1.2 入侵检测国内外研究现状 |
1.3 论文研究内容及目标 |
1.3.1 论文研究内容 |
1.3.2 论文研究目标 |
1.4 论文结构与安排 |
第二章 Windows主机入侵检测 |
2.1 计算机病毒发展史 |
2.2 Windows恶意软件的种类 |
2.2.1 勒索病毒 |
2.2.2 挖矿病毒 |
2.2.3 DDoS木马病毒 |
2.2.4 蠕虫病毒 |
2.2.5 感染型病毒 |
2.2.6 后门病毒 |
2.2.7 木马病毒 |
2.2.8 间谍病毒 |
2.2.9 广告病毒 |
2.3 Windows恶意软件入侵的方式 |
2.4 Windows恶意软件检测方法 |
2.5 本章小结 |
第三章 入侵检测算法模型 |
3.1 决策树算法 |
3.1.1 ID3算法 |
3.1.2 C4.5算法 |
3.1.3 CART算法 |
3.1.4 决策树的生成和剪枝 |
3.2 决策树集成算法 |
3.2.1 RF |
3.2.2 AdaBoost |
3.2.3 GBDT |
3.2.4 XGBoost |
3.2.5 LightGBM |
3.3 本章小结 |
第四章 基于Windows API入侵检测系统设计 |
4.1 实验环境的搭建 |
4.1.1 Cuckoo沙箱环境 |
4.1.2 机器学习模型环境的搭建 |
4.2 数据的获取 |
4.2.1 公开数据集 |
4.2.2 自产数据集 |
4.2.3 数据的预处理 |
4.2.4 数据结构设计 |
4.3 机器学习模型的选取与训练 |
4.3.1 实验的分类设计 |
4.3.2 实验评价指标 |
4.3.3 实验方案1结果以及分析 |
4.3.4 实验方案2的结果及分析 |
4.4 入侵检测系统的评估 |
4.5 本章小结 |
第五章 总结与展望 |
5.1 论文工作的总结 |
5.2 未来研究展望 |
参考文献 |
附录 |
致谢 |
(5)Windows下支持RDMA的数据卡驱动设计与实现(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景与意义 |
1.2 国内外研究现状 |
1.3 本文主要工作 |
1.4 论文章节架构 |
第二章 驱动程序需求分析及架构设计 |
2.1 低时延网络技术分析 |
2.1.1 TCP/IP网络中的低时延技术 |
2.1.2 U-Net(User-Net Networking) |
2.1.3 TOE(TCP Offloading Engine) |
2.1.4 RDMA(Remote Direct Memory Access) |
2.2 驱动程序功能需求分析 |
2.3 驱动程序逻辑架构设计 |
2.4 关键技术架构设计 |
2.4.1 DMA架构设计 |
2.4.2 RDMA架构设计 |
2.4.3 内存调度方案设计 |
2.5 驱动程序健壮性设计 |
2.5.1 多队列与多核心处理器绑定方案 |
2.5.2 描述符队列释放阈值设置 |
2.6 本章小结 |
第三章 驱动程序的设计与实现 |
3.1 驱动程序开发环境 |
3.2 WDF驱动模型 |
3.3 驱动程序技术架构 |
3.3.1 内核态硬件驱动程序 |
3.3.2 用户态管理驱动程序 |
3.4 驱动程序通信参数设计 |
3.5 驱动程序功能模块实现 |
3.5.1 内核态硬件驱动程序功能模块 |
3.5.2 用户态管理驱动程序功能模块 |
3.6 本章小结 |
第四章 驱动程序的调试及验证 |
4.1 驱动程序的安装和调试 |
4.1.1 驱动程序的安装 |
4.1.2 驱动程序的调试 |
4.2 驱动程序基本功能测试 |
4.2.1 硬件识别及驱动连接测试 |
4.2.2 I/O通信测试 |
4.2.3 硬件功能寄存器读写测试 |
4.2.4 中断处理测试 |
4.2.5 共享缓冲区数据传输测试 |
4.3 端内数据传输时延测试 |
4.4 驱动程序健壮性测试 |
4.4.1 多队列绑定测试 |
4.4.2 内存不足分配测试 |
4.5 本章小结 |
第五章 总结与展望 |
5.1 工作总结 |
5.2 未来展望 |
参考文献 |
致谢 |
攻读学位期间取得的研究成果 |
(6)功率波形分析仪人机交互与数据处理软件设计及实现(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 研究背景及意义 |
1.2 国内外研究历史及现状 |
1.3 本文主要研究内容 |
1.4 本文内容安排 |
1.5 本章小节 |
第二章 功率波形分析仪总体方案设计 |
2.1 硬件总体方案设计 |
2.2 软件总体方案设计 |
2.3 人机交互总体方案设计 |
2.3.1 本地人机交互总体方案设计 |
2.3.2 远程人机交互总体方案设计 |
2.4 数据处理总体方案设计 |
2.5 多线程架构设计 |
2.6 本章小结 |
第三章 本地人机交互软件设计及实现 |
3.1 导航窗口软件设计及实现 |
3.1.1 概述 |
3.1.2 按键消息处理 |
3.1.3 窗口复用 |
3.2 通用组件软件设计及实现 |
3.2.1 分页列表控件 |
3.2.2 编辑框软键盘 |
3.3 消息处理模块软件设计及实现 |
3.3.1 需求分析 |
3.3.2 软件设计及实现 |
3.4 本章小结 |
第四章 远程人机交互软件设计及实现 |
4.1 通信模块软件设计及实现 |
4.1.1 方案分析 |
4.1.2 传输层连接 |
4.1.3 握手 |
4.1.4 数据交互 |
4.2 服务端软件设计及实现 |
4.2.1 方案分析 |
4.2.2 软件设计及实现 |
4.3 前端软件设计及实现 |
4.3.1 权限校验模块 |
4.3.2 显示模块 |
4.3.3 状态显示模块 |
4.3.4 虚拟按键模块 |
4.4 权限校验模块后端软件设计及实现 |
4.4.1 方案分析 |
4.4.2 软件设计及实现 |
4.5 本章小结 |
第五章 数据处理软件设计及实现 |
5.1 功率参数运算 |
5.1.1 概述 |
5.1.2 功率参数运算优化 |
5.1.3 软件设计及实现 |
5.2 波形显示数据处理 |
5.2.1 需求分析 |
5.2.2 数据处理算法研究 |
5.2.3 算法软件实现 |
5.3 历史模块数据处理 |
5.3.1 需求分析 |
5.3.2 方案分析 |
5.3.3 软件设计及实现 |
5.4 本章小节 |
第六章 软件测试与验证 |
6.1 测试准备 |
6.2 人机交互软件测试 |
6.2.1 本地人机交互软件测试 |
6.2.2 远程人机交互软件测试 |
6.3 功率参数运算测试 |
6.4 波形显示数据处理测试 |
6.5 历史模块数据处理测试 |
6.6 本章小结 |
第七章 本文总结及展望 |
7.1 本文总结 |
7.2 展望 |
致谢 |
参考文献 |
攻读硕士学位期间取得的成果 |
(7)基于硬件虚拟化的实时内存取证技术(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景及意义 |
1.2 国内外研究现状 |
1.2.1 传统的基于硬件的内存取证 |
1.2.2 传统的基于软件的内存取证 |
1.2.3 基于虚拟化技术的内存取证方法 |
1.3 研究内容 |
1.4 论文组织结构 |
第二章 相关技术研究 |
2.1 Intel-VT硬件虚拟化技术 |
2.1.1 CPU虚拟化 |
2.1.2 内存虚拟化 |
2.1.3 VMM虚拟机监控器的基础架构设计及初始化 |
2.2 瞬时性攻击对象研究 |
2.2.1 瞬时性攻击对象的核心shellcode |
2.2.2 shellcode注入 |
2.3 本章小结 |
第三章 绕过PatchGuard保护机制的内核函数监控技术实现 |
3.1 内核函数地址获取模块实现 |
3.1.1 ntoskrnl导出表解析函数地址 |
3.1.2 SSDT表解析计算函数地址 |
3.2 Trampoline跳板构建模块实现 |
3.3 绕过PatchGuard保护机制的核心模块技术实现 |
3.3.1 控制虚拟地址GVA到物理地址HPA的转译过程 |
3.3.2 绕过PG的初始化阶段 |
3.3.3 绕过PG的运行时阶段 |
3.4 本章小结 |
第四章 基于EPT访问控制的内存实时取证技术实现 |
4.1 信息交互模块实现 |
4.2 物理内存标记模块实现 |
4.3 基于EPT访问控制的内存页控制模块 |
4.3.1 第一类虚拟内存块的访问控制 |
4.3.2 第二类虚拟内存块的访问控制 |
4.4 物理内存提取分析模块实现 |
4.5 本章小结 |
第五章 基于硬件虚拟化的实时内存取证系统总体实现 |
5.1 总体架构设计 |
5.1.1 内核函数地址获取模块 |
5.1.2 跳板构建模块 |
5.1.3 绕过PG保护机制的核心模块 |
5.1.4 信息交互模块 |
5.1.5 物理内存标记模块 |
5.1.6 基于EPT访问控制的内存页控制模块 |
5.1.7 物理内存提取分析模块 |
5.2 系统测试 |
5.2.1 系统测试环境 |
5.2.2 系统功能性测试 |
5.2.3 系统性能测试 |
5.3 本章小结 |
第六章 总结与展望 |
6.1 总结 |
6.2 不足与展望 |
参考文献 |
致谢 |
(8)面向Windows 10系统段堆的内存取证研究(论文提纲范文)
摘要 |
Abstract |
第1章 绪论 |
1.1 课题研究的背景和意义 |
1.1.1 研究背景 |
1.1.2 研究意义 |
1.2 国内外研究现状 |
1.2.1 国内内存取证技术研究现状 |
1.2.2 国外内存取证技术研究现状 |
1.3 课题研究内容 |
1.3.1 Windows10 段堆及其组件研究 |
1.3.2 Windows10 系统中段堆信息的提取研究 |
1.3.3 段堆溢出及其检测研究 |
1.4 论文组织结构 |
第2章 Windows堆及取证技术分析 |
2.1 引言 |
2.2 内存转储 |
2.3 虚拟内存 |
2.3.1 虚拟内存作用 |
2.3.2 虚拟地址翻译 |
2.4 内存对象结构 |
2.5 进程堆 |
2.5.1 进程环境块 |
2.5.2 进程堆管理器 |
2.5.3 NT堆 |
2.6 内存取证技术 |
2.7 本章小结 |
第3章 段堆及其组件结构研究 |
3.1 引言 |
3.2 SHMMC算法 |
3.2.1 GIJIA算法实现 |
3.2.2 SHMMC算法实现 |
3.3 HMOSIE算法 |
3.4 Windows10 段堆研究 |
3.4.1 段堆研究 |
3.4.2 低碎片堆分配组件研究 |
3.4.3 可变大小分配组件 |
3.4.4 后端分配组件 |
3.4.5 大块分配组件 |
3.5 本章小结 |
第4章 段堆及其组件结构内部信息提取研究 |
4.1 引言 |
4.2 池扫描技术 |
4.3 段堆信息提取方法研究 |
4.3.1 扫描堆内存空间 |
4.3.2 解析可变大小分配组件 |
4.3.3 解析低碎片堆分配组件 |
4.3.4 解析大块分配组件 |
4.3.5 解析后端分配组件 |
4.4 插件测试 |
4.4.1 实验环境 |
4.4.2 heapscan插件测试 |
4.4.3 showvscontext插件测试 |
4.4.4 showlfhcontext插件测试 |
4.4.5 showlargeblockinfo插件测试 |
4.4.6 showsegcontext插件测试 |
4.5 本章小结 |
第5章 基于内存取证的段堆溢出检测研究 |
5.1 引言 |
5.2 段堆的安全机制及漏洞 |
5.2.1 NT堆溢出攻击分析 |
5.2.2 段堆溢出情景分析 |
5.2.3 段堆的安全机制 |
5.2.4 段堆溢出利用研究 |
5.3 段堆溢出检测方法研究 |
5.4 堆溢出攻击检测测试 |
5.4.1 实验环境 |
5.4.2 虚表地址泄漏攻击检测测试 |
5.4.3 虚表地址覆盖攻击检测测试 |
5.5 本章小结 |
结论 |
参考文献 |
攻读硕士学位期间所发表的学术论文 |
致谢 |
(9)抗逆向分析PE文件保护系统研究与实现(论文提纲范文)
摘要 |
Abstract |
第1章 绪论 |
1.1 课题研究的目的和意义 |
1.2 国内外研究现状 |
1.2.1 国内研究现状 |
1.2.2 国外研究现状 |
1.3 课题的主要研究内容 |
第2章 抗逆向分析的PE文件保护技术 |
2.1 PE文件格式 |
2.1.1 PE文件总体结构 |
2.1.2 DOS MZ Header |
2.1.3 PE文件头 |
2.1.4 相对虚拟地址 |
2.1.5 区块表 |
2.1.6 导入表 |
2.2 PE文件对抗逆向分析的常见方法 |
2.2.1 压缩壳 |
2.2.2 加密壳 |
2.2.3 工具脱壳 |
2.2.4 手工脱壳 |
2.2.5 壳的类型分析 |
2.2.6 反调试技术种类 |
2.3 本章小节 |
第3章 多样化Handler虚拟机加壳的研究与实现 |
3.1 虚拟机保护方法基本原理 |
3.1.1 相关反汇编工具 |
3.1.2 X86指令 |
3.2 调用约定和框架 |
3.2.1 虚拟环境 |
3.2.2 调度器 |
3.3 多样化Handler设计 |
3.3.1 辅助和普通Handler的实现 |
3.3.2 多样化Hanlder实现 |
3.4 本章小结 |
第4章 静态分析混淆技术研究与实现 |
4.1 反调试技术方案 |
4.1.1 花指令 |
4.1.2 文件完整性检验 |
4.2 建立索引进行函数间基本块交换的混淆算法 |
4.2.1 基本思想 |
4.2.2 算法描述 |
4.3 二进制混淆器设计与实现 |
4.3.1 总体设计 |
4.3.2 二进制分析器设计与实现 |
4.3.3 混淆器的设计与实现 |
4.3.4 二进制文件重建 |
4.4 本章小结 |
第5章 系统实现与测试 |
5.1 总体设计方案 |
5.1.1 编程语言和测试工具的选择 |
5.1.2 软件的系统构架 |
5.2 功能验证 |
5.2.1 虚拟机加壳功能验证 |
5.2.2 二进制混淆器功能验证 |
5.3 性能评估 |
5.3.1 虚拟机加壳性能评估 |
5.3.2 二进制混淆器功能评估 |
5.4 本章小结 |
结论 |
参考文献 |
攻读硕士学位期间发表的学术论文与研究成果 |
致谢 |
(10)面向云平台的Windows虚拟机监控与控制系统(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 研究背景与现状 |
1.1.1 国外现状 |
1.1.2 国内现状 |
1.2 研究意义与工作内容 |
1.3 本论文的结构安排 |
第二章 相关技术基础研究 |
2.1 高并发网络IO模型 |
2.2 ZAB分布式选举算法 |
2.3 MFC编程框架 |
2.4 本章小结 |
第三章 云平台下虚拟机监控与控制系统研究与设计 |
3.1 需求分析 |
3.1.1 功能需求分析 |
3.1.2 性能需求分析 |
3.2 系统架构 |
3.2.1 网络拓扑结构设计 |
3.2.2 系统整体架构设计 |
3.3 系统模块设计 |
3.3.1 自动化构建模块设计 |
3.3.2 虚拟机硬件资源监控模块设计 |
3.3.3 虚拟机用户会话监管模块设计 |
3.3.4 文件传输模块设计 |
3.3.5 命令传输模块设计 |
3.3.6 远程调控模块设计 |
3.3.7 消息推送模块设计 |
3.4 本章小结 |
第四章 云平台下虚拟机监控与控制系统实现 |
4.1 系统网络通信模块实现 |
4.2 自动化构建模块实现 |
4.2.1 主机发现功能实现 |
4.2.2 分组管理功能实现 |
4.2.3 集合管理功能实现 |
4.2.4 主机动态加入退出管理功能实现 |
4.3 虚拟机硬件资源监控模块实现 |
4.4 虚拟机用户会话监管模块实现 |
4.5 文件传输模块实现 |
4.5.1 管理主机向代理主机传输阶段 |
4.5.2 代理主机向应用主机传输阶段 |
4.5.3 大文件传输及断点续传 |
4.6 命令传输模块实现 |
4.7 远程调控模块实现 |
4.8 消息推送模块实现 |
4.9 本章小结 |
第五章 系统测试与分析 |
5.1 测试环境 |
5.2 功能测试 |
5.2.1 系统自动化构建测试 |
5.2.2 虚拟机硬件资源监控测试 |
5.2.3 虚拟机用户会话监管测试 |
5.2.4 文件传输测试 |
5.2.5 命令传输测试 |
5.2.6 远程调控测试 |
5.2.7 消息推送测试 |
5.3 性能测试 |
5.3.1 系统高响应及并发性能测试 |
5.3.2 系统硬件资源消耗性能测试 |
5.3.3 文件传输性能测试 |
5.4 本章小结 |
第六章 全文总结与展望 |
6.1 论文全文总结 |
6.2 后续工作展望 |
致谢 |
参考文献 |
四、简介Windows的虚拟内存(论文参考文献)
- [1]基于元数据和指令流的64位Windows堆栈取证[J]. 翟继强,徐晓,陈攀,杨海陆. 哈尔滨理工大学学报, 2021(05)
- [2]软件使用手册本地化英译中翻译实践报告 ——以Azure为例[D]. 于承志. 大连理工大学, 2021(02)
- [3]64位Windows的堆栈内存取证研究[D]. 徐晓. 哈尔滨理工大学, 2021(02)
- [4]使用Windows API进行恶意软件检测的研究[D]. 雷凯. 北京邮电大学, 2021(01)
- [5]Windows下支持RDMA的数据卡驱动设计与实现[D]. 曲宏欣. 北京邮电大学, 2021(01)
- [6]功率波形分析仪人机交互与数据处理软件设计及实现[D]. 王智. 电子科技大学, 2021(01)
- [7]基于硬件虚拟化的实时内存取证技术[D]. 唐宏艺. 北京邮电大学, 2021(01)
- [8]面向Windows 10系统段堆的内存取证研究[D]. 陈攀. 哈尔滨理工大学, 2021(09)
- [9]抗逆向分析PE文件保护系统研究与实现[D]. 田淞煜. 哈尔滨理工大学, 2021(09)
- [10]面向云平台的Windows虚拟机监控与控制系统[D]. 丁宇勋. 电子科技大学, 2021(01)