Windows进程管理系统的分析与设计.pdf

Windows进程管理系统的分析与设计 Windows操作系统是一种广泛使用的操作系统，然而，随着计算机技术的普及和发展，计算机安全问题也日益凸现出来。为了保护系统安全，必须对进程进行监控和管理。本文主要讨论Windows下内核级进程的监控和管理，并实现一个具有实际意义的进程管理系统。 一、被动式进程管理 （一）枚举进程原理 在Windows系统中，存在一个叫pspcidtable的表，该表的结构非常复杂，且独立于系统进程链表，使得从pspcidtable表隐藏进程非常困难。通过使用系统内核pspcidtable表来实现进程枚举，然后在应用态下调用toolhlp32 api来检测隐藏进程。 （二）终止进程原理 一般的进程管理器使用win32 api的openprocess和terminateprocess或native api的zwopenprocess和zwterminateprocess函数来打开和终止进程，但木马病毒可能通过拦截api来实现进程保护。在内核态，可使用系统内核未导出的内核函数pspterminatethreadbypointer来终止进程，越过木马病毒的应用态或内核态的api拦截，直接终止进程，达到保护程序的效果。 （三）获取进程路径原理 对于进程路径的获取，一般进程管理器也是通过toolhlp32、psapi或rtldebug*实现的，但笔者认为，通过内核级函数kestackattachprocess和定位进程peb来实现读取目标进程路径，越过木马病毒的api拦截，获取可靠的进程路径。 二、主动式进程管理 Windows的内核例程是集中式管理的，内核例程地址保护系统服务描述表，可通过修改系统服务描述表来实现监控进程操作。系统服务描述表位于系统高端内存内，现存木马很难越过该监控。 三、内核级钩子 Windows大致有两种钩子可监控系统事件，一种为用户级钩子，一种为内核级钩子。用户级钩子只能监控一些Windows shell操作，很难监控到木马病毒的非法行为。虽然微软没有完全公开Windows内核级钩子的创建，但可以使用md5文件校验方法、建立自动处理进程事件规则库等新方法、新技术和新手段来保护系统。 本文讨论了Windows进程管理系统的分析与设计，旨在实现一个具有实际意义的进程管理系统。通过使用pspcidtable表、内核级函数kestackattachprocess、内核级钩子等新方法、新技术和新手段，可以更好地监控和管理进程，保护系统安全。