吳海兵，劉 萍，黎明曦，范希輝

(陸軍軍官學(xué)院 六系軍軍事測(cè)繪教研室，安徽 合肥230031)

0 引 言

隨著軍隊(duì)信息化進(jìn)程的推進(jìn)，很多傳統(tǒng)的軍事裝備操作訓(xùn)練被計(jì)算機(jī)模擬器材所替代［1-2］。計(jì)算機(jī)模擬訓(xùn)練具有節(jié)約成本、可重復(fù)性、與氣候無(wú)關(guān)等優(yōu)點(diǎn)。近年來(lái)，我軍花大力氣自行研發(fā)了各類(lèi)模擬訓(xùn)練軟件。為了增強(qiáng)訓(xùn)練的逼真，模擬訓(xùn)練軟件在開(kāi)發(fā)時(shí)通常采取與實(shí)裝相同的參數(shù)，如果軟件或文件資料被竊取丟失，將會(huì)造成重大的失泄密事件。

利用模擬訓(xùn)練軟件進(jìn)行教學(xué)時(shí)，通常將計(jì)算機(jī)組成一個(gè)小型局域網(wǎng)，并與外網(wǎng)物理隔離。在傳統(tǒng)意義上來(lái)說(shuō)，訓(xùn)練模擬軟件在封閉的網(wǎng)絡(luò)環(huán)境下是相對(duì)安全的，但近年來(lái)出現(xiàn)的內(nèi)部網(wǎng)絡(luò)重要資料(包括文件、軟件等，本文統(tǒng)稱(chēng)資料)失泄密事件的發(fā)生給用戶(hù)敲響了警鐘。究其原因在于在內(nèi)外網(wǎng)之間存在利用移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)男袨椋?］，如用移動(dòng)存儲(chǔ)設(shè)備將因特網(wǎng)上下載的最新殺毒軟件拷貝到內(nèi)網(wǎng)，或者從一個(gè)內(nèi)網(wǎng)計(jì)算機(jī)上將重要資料通過(guò)移動(dòng)存儲(chǔ)設(shè)備拷貝到另一內(nèi)網(wǎng)計(jì)算機(jī)。擺渡木馬能夠通過(guò)移動(dòng)存儲(chǔ)設(shè)備(包括U 盤(pán)、移動(dòng)硬盤(pán)、MP3、MP4、可擦寫(xiě)光盤(pán)等)感染沒(méi)有聯(lián)網(wǎng)的計(jì)算機(jī)，然后搜索存儲(chǔ)計(jì)算機(jī)中的敏感信息(涉密信息)，隱蔽地存儲(chǔ)到U 盤(pán)上，在U 盤(pán)連接到聯(lián)網(wǎng)的計(jì)算機(jī)時(shí)，再發(fā)送給竊取者，從而造成失泄密事件的發(fā)生。

長(zhǎng)期以來(lái)，管理者都是強(qiáng)調(diào)從管理的角度防止失泄密事件的發(fā)生，如禁止在涉密的內(nèi)網(wǎng)計(jì)算機(jī)上接入移動(dòng)存儲(chǔ)設(shè)備。但受限于現(xiàn)實(shí)情況，仍然存在將移動(dòng)存儲(chǔ)設(shè)備接入涉密內(nèi)網(wǎng)的現(xiàn)象，如殺毒軟件升級(jí)、將最新的文件資料拷入計(jì)算機(jī)等都需要在內(nèi)網(wǎng)計(jì)算機(jī)上接入移動(dòng)存儲(chǔ)設(shè)備。本文從技術(shù)角度研究涉密環(huán)境下的實(shí)驗(yàn)教學(xué)網(wǎng)絡(luò)安全應(yīng)對(duì)策略，通過(guò)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)接入的移動(dòng)存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)出(Input/Output，I/O)進(jìn)行監(jiān)控的方式，來(lái)解決網(wǎng)絡(luò)安全問(wèn)題。

1 擺渡木馬傳播機(jī)制分析

擺渡攻擊的工具是擺渡木馬，它是一種特殊的木馬，它最突出的行為就是掃描系統(tǒng)中的文件資料，利用關(guān)鍵字匹配等手段將敏感文件悄悄寫(xiě)回U 盤(pán)中，一旦這個(gè)U 盤(pán)再插入到連接互聯(lián)網(wǎng)的計(jì)算機(jī)上，就將這些敏感文件自動(dòng)發(fā)送到互聯(lián)網(wǎng)上指定的計(jì)算機(jī)［3］。擺渡木馬隱蔽性、針對(duì)性很強(qiáng)，一般只感染特定的計(jì)算機(jī)，普通殺毒軟件和木馬查殺工具很難及時(shí)發(fā)現(xiàn)。

擺渡木馬攻擊原理見(jiàn)圖1。

圖1 擺渡木馬攻擊原理

其攻擊過(guò)程為:①竊密者將木馬掛在互聯(lián)網(wǎng)上，隨時(shí)準(zhǔn)備感染用戶(hù)的上網(wǎng)機(jī)。②當(dāng)移動(dòng)存儲(chǔ)設(shè)備在被植有擺渡型木馬的外網(wǎng)計(jì)算機(jī)中使用時(shí)，木馬隱蔽地復(fù)制到移動(dòng)存儲(chǔ)設(shè)備中。③當(dāng)已經(jīng)感染木馬的移動(dòng)存儲(chǔ)設(shè)備連接到內(nèi)網(wǎng)計(jì)算機(jī)中時(shí)，木馬自我復(fù)制到內(nèi)網(wǎng)計(jì)算機(jī)中并通過(guò)該機(jī)在內(nèi)網(wǎng)中傳播。④木馬程序在內(nèi)網(wǎng)計(jì)算機(jī)中搜索感興趣的資料。⑤內(nèi)網(wǎng)計(jì)算機(jī)中的木馬程序一旦發(fā)現(xiàn)有移動(dòng)存儲(chǔ)設(shè)備連接，首先感染移動(dòng)存儲(chǔ)設(shè)備，并且將感興趣的資料悄悄寫(xiě)入移動(dòng)存儲(chǔ)設(shè)備(有兩種寫(xiě)入方式:通過(guò)文件系統(tǒng)寫(xiě)入和通過(guò)底層協(xié)議寫(xiě)入。如果是通過(guò)底層協(xié)議寫(xiě)入，我們?cè)谝苿?dòng)存儲(chǔ)設(shè)備中根本就看不到被秘密寫(xiě)入的資料)。⑥當(dāng)隱藏有涉密資料的移動(dòng)存儲(chǔ)設(shè)備連接到外網(wǎng)計(jì)算機(jī)時(shí)，木馬將移動(dòng)存儲(chǔ)設(shè)備中的隱藏資料發(fā)送到竊密者指定的位置［4］。

2 涉密環(huán)境下的實(shí)驗(yàn)教學(xué)網(wǎng)絡(luò)安全應(yīng)對(duì)策略

在深入分析擺渡木馬的運(yùn)行傳播機(jī)制后，可以發(fā)現(xiàn)，擺渡木馬要通過(guò)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行擺渡，則會(huì)引起計(jì)算機(jī)的文件系統(tǒng)、注冊(cè)表系統(tǒng)和移動(dòng)存儲(chǔ)設(shè)備的文件系統(tǒng)的狀態(tài)改變。本文設(shè)計(jì)并實(shí)現(xiàn)內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)I/O 監(jiān)控系統(tǒng)，對(duì)內(nèi)網(wǎng)計(jì)算機(jī)上的移動(dòng)存儲(chǔ)設(shè)備的數(shù)據(jù)I/O 進(jìn)行監(jiān)控。該系統(tǒng)在用戶(hù)接入移動(dòng)存儲(chǔ)設(shè)備時(shí)自動(dòng)啟動(dòng)監(jiān)控系統(tǒng)，在拔出設(shè)備時(shí)將監(jiān)控記錄形成報(bào)告顯示給用戶(hù)，用戶(hù)對(duì)比監(jiān)控報(bào)告和自己操作可以很容易發(fā)現(xiàn)異常情況，降低了重要資料被擺渡木馬竊取的可能性。同時(shí)，監(jiān)控結(jié)果發(fā)送到內(nèi)網(wǎng)服務(wù)器上進(jìn)行存儲(chǔ)，以便用戶(hù)和管理者查閱移動(dòng)設(shè)備使用情況，也為發(fā)生失泄密事件后管理部門(mén)的取證提供依據(jù)。

根據(jù)調(diào)研，目前有些專(zhuān)業(yè)的軟件產(chǎn)品可以對(duì)計(jì)算機(jī)的文件系統(tǒng)進(jìn)行監(jiān)控，如比較知名的FileMon［5-6］，能對(duì)計(jì)算機(jī)文件系統(tǒng)進(jìn)行較為全面的監(jiān)控，其主要問(wèn)題在于監(jiān)控結(jié)果太繁雜，用戶(hù)很難從結(jié)果中篩選出有用信息，且其不是以監(jiān)控?cái)[渡型木馬為主;在注冊(cè)表監(jiān)控方面，目前主要通過(guò)HOOK 注冊(cè)表API 函數(shù)和基于驅(qū)動(dòng)的注冊(cè)表監(jiān)控［7］，利用驅(qū)動(dòng)進(jìn)行注冊(cè)表監(jiān)控的典型代表為RegMon，但監(jiān)控結(jié)果同樣較繁雜，且驅(qū)動(dòng)程序開(kāi)發(fā)調(diào)試比較復(fù)雜，一旦出錯(cuò)將導(dǎo)致系統(tǒng)崩潰、藍(lán)屏等。要對(duì)付擺渡型木馬，需要同時(shí)對(duì)計(jì)算機(jī)的文件系統(tǒng)、注冊(cè)表系統(tǒng)進(jìn)行監(jiān)控。

本文所設(shè)計(jì)的內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)I/O 監(jiān)控系統(tǒng)在對(duì)計(jì)算機(jī)文件系統(tǒng)進(jìn)行監(jiān)控時(shí)通過(guò)調(diào)用微軟未公布的Windows API(ReadDirectoryChangesW)的方法實(shí)現(xiàn)［8-10］，并制定合理的監(jiān)控規(guī)則對(duì)監(jiān)控結(jié)果進(jìn)行篩選，減少無(wú)關(guān)數(shù)據(jù)對(duì)用戶(hù)的干擾;系統(tǒng)對(duì)注冊(cè)表系統(tǒng)的監(jiān)控是通過(guò)鉤子程序掛鉤注冊(cè)表API 函數(shù)實(shí)現(xiàn)［11-14］。

3 內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)I/O 監(jiān)控系統(tǒng)

3.1 系統(tǒng)結(jié)構(gòu)

系統(tǒng)分為監(jiān)控子系統(tǒng)和查詢(xún)子系統(tǒng)，其中監(jiān)控子系統(tǒng)采用C/S(Client/Server)模式，查詢(xún)子系統(tǒng)采用B/S(Brower/Server)模式，系統(tǒng)拓?fù)鋱D見(jiàn)圖2。

圖2 局域網(wǎng)移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)I/O 監(jiān)控預(yù)警系統(tǒng)拓?fù)鋱D

監(jiān)控子系統(tǒng)包括服務(wù)器端程序和客戶(hù)端程序兩部分。服務(wù)器端程序運(yùn)行在局域網(wǎng)的服務(wù)器上，用于對(duì)局域網(wǎng)內(nèi)電腦上使用的移動(dòng)存儲(chǔ)設(shè)備的數(shù)據(jù)I/O 進(jìn)行監(jiān)控，并將監(jiān)控的信息寫(xiě)進(jìn)數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ);客戶(hù)端程序安裝在局域網(wǎng)內(nèi)的各臺(tái)計(jì)算機(jī)上，隨著計(jì)算機(jī)的啟動(dòng)而運(yùn)行，在客戶(hù)端插入移動(dòng)存儲(chǔ)設(shè)備時(shí)激活并開(kāi)始監(jiān)控，同時(shí)將監(jiān)控信息發(fā)給服務(wù)器。最后，在移動(dòng)存儲(chǔ)設(shè)備退出時(shí)將監(jiān)控信息報(bào)告給用戶(hù)。

查詢(xún)子系統(tǒng)主要向用戶(hù)提供移動(dòng)存儲(chǔ)設(shè)備監(jiān)控信息的查詢(xún)，用戶(hù)通過(guò)瀏覽器即可登錄服務(wù)器，查詢(xún)本機(jī)的歷史監(jiān)控信息。同時(shí)管理者也可在失泄密事件發(fā)生后，使用查詢(xún)系統(tǒng)里面的歷史記錄進(jìn)行取證。

3.2 工作流程

監(jiān)控子系統(tǒng)采用C/S 模式，是本系統(tǒng)的核心部分，負(fù)責(zé)對(duì)用戶(hù)計(jì)算機(jī)的文件系統(tǒng)和注冊(cè)表系統(tǒng)進(jìn)行監(jiān)控，并在服務(wù)器端存儲(chǔ)監(jiān)控信息。

監(jiān)控子系統(tǒng)的工作流程如圖3 所示。

圖3 監(jiān)控子系統(tǒng)的工作流程

服務(wù)器端和客戶(hù)端的程序都隨著操作系統(tǒng)的啟動(dòng)而運(yùn)行。服務(wù)器端程序創(chuàng)建接受進(jìn)程，準(zhǔn)備接受連接請(qǐng)求?？蛻?hù)端程序啟動(dòng)后判斷是否已經(jīng)設(shè)置IP，如已經(jīng)設(shè)置，則利用設(shè)置地址建立連接;若未設(shè)置，提示用戶(hù)設(shè)置地址并測(cè)試連接，設(shè)置完畢后(以后直接使用已設(shè)置的IP)，通過(guò)用戶(hù)設(shè)置的IP 地址與服務(wù)器端程序建立連接?？蛻?hù)端程序檢測(cè)到設(shè)備接入消息后開(kāi)始監(jiān)控，并將監(jiān)控信息發(fā)往服務(wù)器程序，服務(wù)器將接收到的數(shù)據(jù)解析后存入數(shù)據(jù)庫(kù)。客戶(hù)端程序在設(shè)備退出時(shí)形成檢測(cè)報(bào)告呈現(xiàn)給用戶(hù)。

查詢(xún)子系統(tǒng)采用B/S(Browser/Server)模式，為用戶(hù)和管理員提供查詢(xún)操作。

查詢(xún)子系統(tǒng)的工作流程比較簡(jiǎn)單，首先是用戶(hù)登錄界面;根據(jù)登錄用戶(hù)所具有的權(quán)限，系統(tǒng)跳轉(zhuǎn)到普通頁(yè)面或管理員頁(yè)面;在普通頁(yè)面，用戶(hù)可以查詢(xún)自己計(jì)算機(jī)的監(jiān)控信息;在管理員界面，可以對(duì)所有用戶(hù)監(jiān)控信息進(jìn)行查詢(xún)，同時(shí)還可對(duì)所有的用戶(hù)進(jìn)行管理。

3.3 監(jiān)控子系統(tǒng)客戶(hù)端程序功能設(shè)計(jì)

監(jiān)控子系統(tǒng)客戶(hù)端在設(shè)計(jì)模式上采取當(dāng)前主流殺毒軟件的風(fēng)格，在程序運(yùn)行后最小化到托盤(pán)，其菜單如圖4 所示。

圖4 客戶(hù)端托盤(pán)菜單

雙擊任務(wù)欄托盤(pán)圖標(biāo)或選擇托盤(pán)菜單項(xiàng)“顯示窗口”會(huì)彈出客戶(hù)端主界面，主界面采用屬性頁(yè)的形式，分別記錄U 盤(pán)監(jiān)控、系統(tǒng)監(jiān)控和注冊(cè)表監(jiān)控信息。

其中，連接服務(wù)器菜單主要完成設(shè)置監(jiān)控結(jié)果存儲(chǔ)的服務(wù)器的IP 地址功能;監(jiān)控設(shè)置菜單可以由用戶(hù)設(shè)置自己感興趣的選項(xiàng)，如圖5 所示。

圖5 監(jiān)控設(shè)置

當(dāng)移動(dòng)存儲(chǔ)設(shè)備拔出后，桌面右下角彈出對(duì)話框，給用戶(hù)展示設(shè)備在插入期間程序所監(jiān)測(cè)到的操作。

3.4 監(jiān)控子系統(tǒng)服務(wù)器端功能設(shè)計(jì)

監(jiān)控子系統(tǒng)服務(wù)器主要功能是接收數(shù)據(jù)并將數(shù)據(jù)存入數(shù)據(jù)庫(kù)中，便于后續(xù)查詢(xún)子系統(tǒng)的使用。系統(tǒng)運(yùn)行后，最小化到托盤(pán)，選擇(或雙擊)托盤(pán)菜單項(xiàng)“顯示”會(huì)彈出服務(wù)器端主界面。

3.5 查詢(xún)子系統(tǒng)功能設(shè)計(jì)

查詢(xún)子系統(tǒng)主要用于管理員對(duì)內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)I/O 監(jiān)控記錄進(jìn)行查閱，并實(shí)時(shí)進(jìn)行預(yù)警管理，管理員成功登錄后(默認(rèn)主頁(yè)面為最新文件監(jiān)控記錄)。

同時(shí)還可以根據(jù)用戶(hù)的主機(jī)IP，以及時(shí)間段進(jìn)行查詢(xún)，結(jié)果為該主機(jī)在此時(shí)間段內(nèi)的文件監(jiān)控記錄。

4 監(jiān)控效果驗(yàn)證

(1)測(cè)試環(huán)境搭建。在一個(gè)局域網(wǎng)內(nèi)選擇一臺(tái)主機(jī)作為服務(wù)器，運(yùn)行監(jiān)控子系統(tǒng)服務(wù)器端程序(同時(shí)將查詢(xún)子系統(tǒng)服務(wù)器程序運(yùn)行在該計(jì)算機(jī)上)。受限于條件，再選2 臺(tái)電腦作為客戶(hù)端，運(yùn)行監(jiān)控子系統(tǒng)客戶(hù)端程序。

(2)測(cè)試設(shè)備。計(jì)算機(jī)3 臺(tái)，U 盤(pán)一個(gè)。

(3)測(cè)試方法。從網(wǎng)上下載一個(gè)名為“boat.exe”的擺渡木馬程序［15］，本實(shí)驗(yàn)驗(yàn)證監(jiān)控系統(tǒng)對(duì)該擺渡木馬的監(jiān)控功能。①被感染電腦向U 盤(pán)植入擺渡木馬(外網(wǎng)計(jì)算機(jī)被植入擺渡木馬后接入U(xiǎn) 盤(pán)，擺渡木馬進(jìn)入U(xiǎn) 盤(pán))在計(jì)算機(jī)上插入U(xiǎn) 盤(pán)后，木馬程序會(huì)隱蔽的進(jìn)入U(xiǎn) 盤(pán)，并在U 盤(pán)中生成三個(gè)文件:AutoRun.inf，sendfile 文件夾和boat.exe。這三個(gè)文件偽裝為系統(tǒng)文件并隱藏，普通用戶(hù)無(wú)法發(fā)現(xiàn)。U 盤(pán)中的AutoRun.inf文件是U 盤(pán)插入時(shí)自動(dòng)播放的控制文件(文件內(nèi)容指向了boat.exe)，U 盤(pán)自動(dòng)運(yùn)行或雙擊U 盤(pán)圖標(biāo)時(shí)會(huì)運(yùn)行boat.exe 程序(木馬程序)。sendfile 文件夾存放了擺渡木馬從計(jì)算機(jī)里搜索的(敏感)特定文件資料。②被感染U 盤(pán)向內(nèi)網(wǎng)(涉密網(wǎng))計(jì)算機(jī)植入木馬(擺渡木馬通過(guò)U 盤(pán)進(jìn)入內(nèi)網(wǎng))，當(dāng)U 盤(pán)中的木馬程序運(yùn)行后，會(huì)將程序復(fù)制到D 盤(pán)中，并通過(guò)修改注冊(cè)表實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)并隱藏。③擺渡木馬自動(dòng)搜索所需文檔并存到U 盤(pán)，當(dāng)有U 盤(pán)接入被感染的內(nèi)網(wǎng)計(jì)算機(jī)時(shí)，木馬程序根據(jù)事先設(shè)置的敏感詞，自動(dòng)搜索敏感文檔，并隱蔽存儲(chǔ)到U 盤(pán)的隱藏文件夾中。

在上述木馬植入和竊取敏感信息過(guò)程中，木馬程序進(jìn)入計(jì)算機(jī)系統(tǒng)和將文件存入U(xiǎn) 盤(pán)的過(guò)程都被內(nèi)網(wǎng)移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)I/O 監(jiān)控系統(tǒng)監(jiān)控(其中系統(tǒng)監(jiān)控信息屬性頁(yè)顯示了木馬在計(jì)算機(jī)中存入的位置，注冊(cè)表監(jiān)控信息顯示了木馬寫(xiě)入注冊(cè)表中信息，U 盤(pán)監(jiān)控信息顯示了木馬程序往U 盤(pán)中存入文件信息)，監(jiān)控結(jié)果如圖6 所示。

5 結(jié) 語(yǔ)

以解決涉密環(huán)境下的實(shí)驗(yàn)教學(xué)網(wǎng)絡(luò)安全問(wèn)題為出發(fā)點(diǎn)，對(duì)涉密環(huán)境下的安全隱患進(jìn)行了深入的分析。在分析擺渡木馬的危害和工作機(jī)制進(jìn)行的基礎(chǔ)上，提出通過(guò)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)中的移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)I/O 監(jiān)控的方式解決涉密環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題，設(shè)計(jì)并實(shí)現(xiàn)了監(jiān)控系統(tǒng)，從實(shí)驗(yàn)效果來(lái)看，可以有效解決涉密環(huán)境下的實(shí)驗(yàn)教學(xué)的網(wǎng)絡(luò)安全問(wèn)題。

圖6 客戶(hù)端監(jiān)控到木馬的行為

［1］ 徐庚保，曾蓮芝.軍事仿真［J］.計(jì)算機(jī)仿真，2007(12):1-2.

［2］ 成 珙，劉小江，張文林.當(dāng)前軍事仿真領(lǐng)域內(nèi)新技術(shù)的應(yīng)用與發(fā)展［J］.計(jì)算機(jī)仿真，2004(2):1-3.

［3］ 王同洋，余鵬飛，吳俊軍，等.數(shù)據(jù)擺渡在安全移動(dòng)存儲(chǔ)中的應(yīng)用研究［J］.計(jì)算機(jī)工程與應(yīng)用，2010(28):12.

［4］ 李 倩. 擺渡木馬隱藏技術(shù)的防范［D］. 重慶:重慶大學(xué)，2008:15-26.

［5］ 楊政寰，祝躍飛.硬件虛擬機(jī)技術(shù)與可靠的文件監(jiān)控［J］.信息工程大學(xué)學(xué)報(bào)，2010(3):356-358.

［6］ 瞿 進(jìn).文件過(guò)濾驅(qū)動(dòng)在網(wǎng)絡(luò)安全終端中的應(yīng)用［J］. 計(jì)算機(jī)應(yīng)用，2007，27(3):624-626.

［7］ 李珂泂，寧 超.惡意腳本程序研究以及基于API HOOK 的注冊(cè)表監(jiān)控技術(shù)［J］.計(jì)算機(jī)應(yīng)用，2009(12):3198.

［8］ 張軍偉，羅 紅，喬向東.基于文件過(guò)濾的移動(dòng)存儲(chǔ)設(shè)備實(shí)時(shí)監(jiān)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［J］.通信技術(shù)，2009(2):283.

［9］ 謝 夢(mèng).文件級(jí)I/O 監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］. 武漢:華中科技大學(xué)，2008:15.

［10］ 孫瑩瑩，鄭扣根.基于微過(guò)濾驅(qū)動(dòng)的文件監(jiān)控系統(tǒng)［J］.計(jì)算機(jī)應(yīng)用，2010(11):3116.

［11］ 李珂泂，寧 超.惡意腳本程序研究以及基于API HOOK 的注冊(cè)表監(jiān)控技術(shù)［J］.計(jì)算機(jī)應(yīng)用，2009(12):3198.

［12］ 李曉東，羅 平，曾志峰. 利用木馬的自啟動(dòng)特性對(duì)其進(jìn)行監(jiān)控［J］.計(jì)算機(jī)應(yīng)用研究，2007，24(5):142-143.

［13］ 鮑欣龍，羅文堅(jiān)，曹先彬，等.可用于惡意腳本識(shí)別的注冊(cè)表異常檢測(cè)技術(shù)［J］.電子科技大學(xué)學(xué)報(bào)，2007，36(6):1120.

［14］ 李偉斌，王華勇，羅 平.通過(guò)注冊(cè)表監(jiān)控實(shí)現(xiàn)木馬檢測(cè)［J］. 計(jì)算機(jī)工程與設(shè)計(jì)，2006(10):2220.

［15］ http://www. pudn. com/downloads85/sourcecode/windows/system/detail328471.html.