智能主动防御系统(08-100)

  作者:赵宇宸 齐鹏 毛宁祥 胡建伟 西安电子科技大学 时间:2009-02-26来源:电子产品世界

  下面是Shadow SSDT表中钩挂的函数:

  NtSetUserWindowsHookEx。

  通过替换系统中的这些函数,来实现对一个程序的行为监控,并进行主动判断来检测病毒或者木马,其原理如图4所示。

 

  图4 病毒主动防御原理

  可以看到,应用层的软件都会经过我们拦截模块的过滤,然后把信息传给我们的用户接口。用户态程序主要用于显示程序执行时调用的函数,以及发现危险操作时进行告警。内核态的驱动程序主要用于信息的截获,以及分析处理,判断危险调用,然后通知用户。内核态程序和用户态程序采用了事件进行同步,因此可以实时的进行信息的传递,大大提高了效率,同时用一个缓冲区队列把实时信息传到用户态的程序。

  用户态程序和内核态程序交互的示意图如图5所示。

1 2 3 4 5

关键词: 防火墙 ARP

加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW

或用微信扫描左侧二维码

相关文章

查看电脑版