返回
基于内核驱动层的操作系统监控技术研究

基于内核驱动层的操作系统监控技术研究

ID:4164652

大小:466.97 KB

页数:4页

时间:2017-11-29

基于内核驱动层的操作系统监控技术研究_第1页
基于内核驱动层的操作系统监控技术研究_第2页
基于内核驱动层的操作系统监控技术研究_第3页
基于内核驱动层的操作系统监控技术研究_第4页
资源描述:

《基于内核驱动层的操作系统监控技术研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11卷第3期柳州职业技术学院学报Vol.11No.32011年6月JOURNALOFLIUZHOUVOCATIONAL&TECHNICALCOLLEGEJun.2011[理工农学研究]基于内核驱动层的操作系统监控技术研究罗海波(柳州职业技术学院信息工程系,广西柳州545006)摘要:根据基于驱动层的操作系统内核监控技术可以截获操作系统底层运行的细节情况,探讨了采用内核态的监控技术,实现对操作系统底层外设操作驱动的监控。首先,阐述内核驱动拦截技术的核心思想、实现步骤和典型过程;然后,对内核驱动数据结

2、构进行详细分析,给出了DRIVER_OB-JECT的数据结构,为开发相应拦截程序奠定基础。最后介绍基于内核驱动的监控程序实现过程,给出了内核驱动监控的具体实现流程,并以一个具体的内核函数调用为例,介绍了信息拦截过程。关键词:驱动;内核监控;数据结构;拦截程序中图分类号:TP316文献标志码:A文章编号:1671-1084(2011)03-0051-040引言通信的顶层驱动、中间的一个或多个中间层驱动以及最底层与具体物理设备的通信的底层驱在Windows操作系统下,用户的所有对底动。设备驱动程序采用这

3、种开发结构看似把问层硬件的操作动作都是通过驱动程序完成,而题变得复杂化了,实现的代码也明显增加。但不是由操作系统直接给硬件设备发出操作信号。是这种结构却非常有利于代码的共享重用。处因此,对于计算机中应用程序的开发者而言,于中间层的驱动可以被不同设备的驱动程序重可以既不了解每一种硬件实体的操作规程、通用,这将大大降低设备驱动程序的总体代码开信协议和使用方法,也可以不了解如何识别硬发量。各层驱动程序工作时,通过其提供的API件是否工作正常、如何从硬件设备中读取信息函数完成访问功能。这种API函数统一采用

4、I/O和控制硬件设备执行具体操作。所有这一切的请求包结构进行编写和管理。I/O请求包结构通工作都可以交给硬件设备相关的驱动程序完成。常也被简称为IRP结构,是Windows操作系统每一种硬件设备都有与其对应的驱动程序,中调用和访问驱动程序必须使用的数据结构。这种驱动程序通常被称为设备驱动程序。其内在整个Windows操作系统中,存在着大量的部包含了各种可能对硬件设备的操作程序,通IRP,这些IRP完成着所有操作系统所交给任过这些程序,既可以获知硬件设备的工作状态务,不管是合法的还是非法的。因此,从如

5、何和提取硬件设备上的相关数据、也可以根据这提高计算机安全性的角度来看,相比在应用层些状态控制硬件设备完成指定的操作。设备的拦截用户操作,并分析用户访问的合法性及危驱动程序一般都是由设备开发商连同设备一起害,从操作系统的内核驱动层进行拦截和分析开发好,供用户使用。将有巨大的优势。因此,本文也将重点以内核需要注意的设备驱动程序虽然随着每个设驱动层的拦截与分析,探讨如何提高计算机上备不同,而在开发过程中使用不同的代码。但各种行为的安全性。是设备驱动程序的总体结构却不是一个独立的结构,而是一种分层次的结构。

6、一个驱动程序1Windows操作系统内核驱动拦截技术由多个层次组成,分别是一个与上层应用程序为了实现对操作系统中各种操作的安全性收稿日期:2011-03-28作者简介:罗海波(1973-),男,广西柳州人,柳州职业技术学院高级实验师,工程硕士,主要研究方向:计算机应用技术。52柳州职业技术学院学报2011年6月检查和分析,首先需要活动每个动作的具体操作细节。比如是读取硬盘还是外设,所访问的 ,,,,,,,区域是在硬盘中的系统区还是用户的数据文件,,,,,,, 等等。只有获

7、得了这些详细的操作细节,才能,,,,够对用户的具体操作是否违反安全策略、所有,,IO_Creat_Device,的操作是否合法等做出判断。如果在用户层对,,,,,用户进程进行分析,那么针对每一个用户程序,,Add_Device,,,,,,,,,,,,,,都需要开发相应的检测和拦截程序。随着用户程序的千变万化,很难准确、实时地开发那么,,,,,,,,,,,,,,,,,,,,,,,,,,IRP多的拦截程序。因此,对Windows操作系统的用户行为安全性分析不能停留在应用层的程序,,

8、,,,,,,,,,上,而应该通过对Windows操作系统中的内核,,,,,,, ,,驱动层进行拦截。在实现Windows操作系统内核驱动拦截程图1Windows操作系统中序之前,首先需要分析内核驱动的工作机制和内核驱动工作和拦截示意图原理,掌握驱动程序工作时数据的流向和相关特性。通过分析可知,在内核驱动程序加载过2Windows操作系统内核驱动数据结构分析程中,每个内核驱动程序首先会对其管理和控制的物理设备创建一个数据过滤器,然后再将Windows操作系统内核驱动程

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。