基于Windows平臺的程序運行識別系統(tǒng)及其應用.pdf

1、隨著Windows操作系統(tǒng)的廣泛應用，網(wǎng)絡(luò)和系統(tǒng)安全已成為一個非常重要的研究課題。Windows操作系統(tǒng)上已發(fā)現(xiàn)了不少的安全問題，例如很多系統(tǒng)病毒能導致嚴重的信息漏洞或者破壞重要的文件。因此，在存在問題的系統(tǒng)上運行軟件將會對系統(tǒng)的安全保障提出挑戰(zhàn)。識別程序運行的規(guī)律將有助于這些問題的解決。 程序運行模型(ProgramExecutionModel，PEM)為程序運行的識別建立了框架。在此模型中，程序調(diào)用文件處理或網(wǎng)絡(luò)訪問的功能將

2、被認為發(fā)生了程序運行事件。目前在Linux系統(tǒng)上做了分析程序運行事件的試驗，事件發(fā)生的可能方式被稱作SCFs(SystemCallFootprints，系統(tǒng)調(diào)用序列)，這種方式被應用于程序的識別和驗證上。 本文提出并實現(xiàn)了一種在Windows平臺上實現(xiàn)的程序運行識別系統(tǒng)。本系統(tǒng)采用了DLL(DynamicLinkedLibrary，動態(tài)鏈接庫)替換技術(shù)來攔截并記錄應用程序運行時的系統(tǒng)APl(ApplicationProgramm