基于C++的云安全主动防御系统客户端服务端设计

目录
开发目的 2
系统特性 4
一. 使用RootiKit技术，精确拦截木马，曝光恶意行为 4
二. 提供详细行为描述信息，帮助用户判断 4
三. 云安全概念融入，精确判断文件安全级别 4
四. 支持白名单、黑名单，引入云规则，减少提醒 4
五. 多模块相互配合，将木马及其衍生物一网打尽 4
使用说明 5
安装服务与启动监控 5
停止监控与停止服务 6
系统设计与架构 7
开发环境 7
系统结构 7
系统流程 8
系统原理 9
一. Hook SSDT 9
二．监视进程创建和销毁原理 14
三．监视注册表修改/创建原理 22
三．监视文件修改/创建原理 28
四．内存映射监控原理 33
五．云安全模块原理 35
六．规则动态加载原理 36
性能与测试 38
一. 进程监控测试 38
二. 注册表监控测试 42
三. 文件监控测试 46
四. 内存加载监控测试 49
参考文献： 51
系统原理
一. Hook SSDT
在 Windows NT 下，用户模式（User mode）的所有调用，如Kernel32.dll，User32.dll, Advapi32.dll等提供的API，最终都封装在Ntdll.dll中，然后通过Int 2E或SYSENTER进入到内核模式，通过服务ID，在System Service Dispatcher Table中分派系统函数。这些本地系统服务的地址在内核结构中称为系统服务调度表(System Service Dispatch Table，SSDT)中列出，该表可以基于系统调用编号进行索引，以便定位函数的内存地址。下图是Windows NT系列操作系统的体系结构，系统服务调用只是一个接口，它提供了将用户模式下的请求转发到Windows 2000内核的功能，并引发处理器模式的切换。在用户看来，系统服务调用接口就是Windows内核组件功能实现对外的一个界面。系统服务调用接口定义了Windows内核提供的大量服务。本文转载自http://www.biyezuopin.vip/onews.asp?id=15281
性能与测试

测试环境
本系统的测试环境为：
VMware 6.0，Windows XP SP3，卓然驱动级云安全主动防御，迅雷，木马等。

一.进程监控测试
测试项目：测试本系统是否能够有效监控进程创建
测试工具：卓然驱动级云安全主动防御、记事本程序、SRVINSTW.EXE(病毒)
测试过程：
（1）开启本系统进程监控
（2）运行”记事本” 程序
（3）将”记事本” 程序行为加入白名单,再次运行
（4）运行SRVINSTW.EXE(病毒)
（5）将SRVINSTW.EXE(病毒)行为加入黑名单,再次运行

结果及分析：

下图为在部署了本系统的主机上打开桌面” 新建 文本文档.txt”时, ” 新建 文本文档.txt”并没有被打开,而是弹出了本系统的用户确认对话框，在云安全模块已经开启的情况下，系统自动联网查询该文件信息，在行为描述一栏有提示“windows自带记事本，该程序是安全的”，用户点击”放行一次”, ” 新建 文本文档.txt”将被打开；用户点击”我认识它，永久放行”, 以后打开记事本程序将都不再提醒。