基于Windows NT平臺進程監(jiān)控系統(tǒng)研究與實現(xiàn).pdf

1、隨著計算機的普及和計算機網(wǎng)絡(luò)的使用，計算機越來越多地服務(wù)于人們的生產(chǎn)和生活。主機與網(wǎng)絡(luò)安全成為人們關(guān)注的重要問題，進程是計算機系統(tǒng)的主體，目前許多網(wǎng)絡(luò)攻擊手段都是通過運行非法進程來入侵和攻擊目標計算機的。越來越多的后門程序深入到系統(tǒng)內(nèi)核隱藏自身，在用戶不知不覺中竊取信息、收集數(shù)據(jù)、破壞系統(tǒng)。因此，如何阻斷非法進程的入侵并保障合法進程的安全運行，已成為計算機安全領(lǐng)域研究的重點。
　　 目前主流的Windows操作系統(tǒng)自帶的任務(wù)管理

2、器是較為優(yōu)秀的進程監(jiān)控工具，通過它可了解當前系統(tǒng)中正在運行的進程信息，并可以禁止進程的運行。但是，借助這些工具無法判別當前運行的進程的合法性。
　　 本文深入研究了隱藏進程常用的技術(shù)，分析了用戶模式和內(nèi)核模式下各種掛鉤的原理，包括IAT掛鉤、Inline掛鉤、IDT掛鉤、SSDT掛鉤等；接著對使用直接內(nèi)核對象操作進行進程隱藏的技術(shù)進行了深入的剖析，分析了內(nèi)核對象的結(jié)構(gòu)、DKOM的基本原理和技術(shù)實現(xiàn)。在分析了隱藏進程所采用的各種技

3、術(shù)手段的基礎(chǔ)之上，針對當前監(jiān)控工具的不足，設(shè)計并實現(xiàn)了一個通用、有效、智能的進程監(jiān)控系統(tǒng)。該系統(tǒng)采用模塊化設(shè)計，便于系統(tǒng)的擴展與更新。
　　 本文闡述了整個系統(tǒng)功能模塊設(shè)計的總體框架，并對單機版的框架進行擴展得到網(wǎng)絡(luò)版的設(shè)計框架。在系統(tǒng)模型中，采用用戶態(tài)與內(nèi)核態(tài)兩種方式獲取進程信息，并對信息進行對比，可以判斷出系統(tǒng)中運行的隱藏進程。
　　 本文的核心部分是對進程行為的監(jiān)控技術(shù)，包括對進程創(chuàng)建與注銷的監(jiān)控、注冊表監(jiān)控、文件