基于WindowsNT内核的进程监控系统设计与实现

1、基于内核的进程监控系统设计与实现王全民张旭何涛吴艳华北京工业大学计算机学院北京摘要：本文是要实现一个能够检测系统全部进程的系统，特别是针对某些恶意代码的隐藏进程的发现，并找出相应的文件。检测方法是通过对系统服务进行拦截，编写自己的系统进程检测函数，从而达到保护主机安全的目的。关键词：进程；系统服务；钩挂引言进程是程序在计算机上的一次执行活动。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身；用户进程就是所有由用户启动的进程。进程是操作系统进行资源分配的单位。本文的目的是要实现一个能够管理进程的系统，特别是针对隐藏进程及一些恶

2、意代码启动的进程。方法是对系统调用进行截获，编写自己的系统调用函数。针对目前的网络环境，仅仅依靠反病毒软件保护系统是不完善的，而目前网络对主机的攻击方式又是趋于多元化，针对性强。所以实现这样一个基于进程管理的主机安全系统是有现实意义的。本文采用钩挂技术，从内核级对进程进行实时监控，从而更可靠地截获系统进程的相关信息，实现对主机安全的保护。根据请求的系统服务的检索，找到该对应函数地址，用新的系统服务函数入日地址替换原地址。在新的系统服务函数中同样要保存原系统服务函数的入口现场，当新的系统服务函数返回时，恢复现场并调用原来的系统服务函数。当需要阻断正常的系统调用时，则要在新的系统服务函数执行完后直

3、接返回，不再执行原系统服务函数，但在返回前要根据原系统服务函数对返回值的要求进行相应的设置，以保证系统服务函数传递的完整性。截获系统调用（挂钩）技术是实现系统调用截获最为通用的技术，它提供了一种截获执行代码的通用机制。也可以认为是一类代码截获技术的通称，可以有多种方法去实现技术（本文所称的系统调用截获技术主要指技术）。对系统调用截获又分为用户级系统调用截获和核心级系统调用截获，如图所示。由于对系统进程进行比较深入的研究，所以采用了利用核心级系统调用截获获得系统进程信息。通过截获执行体系统服务分配表的查找操作，改变中某系统服务号对应的系统服务函数指针，将指针指到开发者插入的其他函数入口点。得到的

4、基地址后，图系统不同层次的服务调用拦截点隐藏进程的发现隐藏的本质就是欺骗使用者，使得运行中的进程和存在的文件信息不显示给用户。实现进程隐藏和文件隐藏的方法），男，北京工业大学计算机学院计算中心主任、副教授，硕士生导师，天津大学在读博士生。张旭（），级硕士研究生，研究方向：信息安全。何涛（），男，北京工业大学计算机学院级硕士研），女，北京工业大学计算机学院级硕士研究生，研究方向：信息安全。44比较多，较为常见的技术是使用技术修改系统函数，其中又以修改内核层函数的方法居多。操作系统是一种分层的架构体系。应用层的程序是通过来访问操作系统。而又是通过里面的核心来进行系统服务的查询。核心通过对的切换，从

5、用户模式转换到内核模式。中断的功能是通过的一个函数（）来实现的。（）是根据的值来决定哪个函数将被调用。而系统在中维持了一个数组，专门用来索引特定的函数服务地址。可以通过由导出的变量来完成对的访问与修改。对应于一个数据结构，定义如下：；，；其中指向系统服务程序的地址（），则指向中的参数地址，它们都包含了这么多个数组单元。大多数恶意代码都是通过修改通过把真实返回的数进行添加或者是删改，因此要发现恶意代码故意隐藏的进程，可以掉，将结果与普通快照方法获得的进程进行比较，即可发现恶意代码隐藏的进程。码具有很大的访问权限，如果攻击者把恶意代码插入内核，就有可能将该系统删除，从而失去对主机的保护。所以，一方

6、面要限制任意内核模块的加载，另一方面还有防止内核模块被恶意删除。本系统所采取的策略是：当该系统启动后，就限制任意内核模块的加载；如果需要安装内核程序，用户需要先通知该系统禁用该功能，安装后再启用该功能。具体实施办法是：通过修改相关的系统调用监视模块的加载。在系统中，要想使程序运行在核心态，必须通过编写设备驱动程序来实现。而加载驱动程序最终要调用系统服务来实现，如果要截获该系统服务调用，限制执行该服务，则就可以限制驱动程序的加载。内核模块卸载保护也是通过截获系统服务调用来实现的。当卸载驱动程序时，最终要调用系统服务来实现，所以只要截获该系统服务，根据访问控制规则判断是否允许卸载该驱动程序，则就可

7、以限制驱动程序的卸载。通过限制内核模块的任意加载，可以防止黑客插入恶意模块传播病毒、留下后门、修改重要文件和销毁攻击痕迹等。通过限制删除内核模块，可以防止部分系统功能被非法终止。结论以上对基于内核的进程监控系统进行了一个简单的介绍，该系统可大大增强主机的安全性，使用户在使用过程中避免了由于恶意代码给主机安全带来的破坏。信息安全将是未来发展的一个重点，攻击和侦测都有一个向底层靠拢的趋势。对于系统服务的截获只是信息安全中的很小的一个部分。未来病毒和反病毒底层化是一个不可逆转的事实。通过对系统底层分析能更好的了解病毒技术，从而能够有效的进行查杀。为以后从事信息安全方面的研究奠定一个好的基础。进程与应用程序及文件的关系每个进程都由一个块来表示。块中不仅包含了进程相关了很多信息，还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个块表示的线程。进程的名字，和在用户空间的（进程环境）块等等。中除了成员块在是用户空间，其他都是在系统空间中的。因此只要对进行，即可发现恶意代码启动的进程与相应的文件的关系，并精确确定文件所在的位置，及时清楚恶意代码相关的