局域网进程监视和病毒预警系统设计.pdfVIP

稻。 “svchost．exe”进程对应 的可执行文件位 码页，指定VerQueryValue()的第二个参数为 ”＼ 于 “C：＼WINDOW S＼system32” 目录下 ，查看 StringFileInfo＼” TmpStr ”CompanyName” “ svchost．exe”的可执行文件路径，如果在别的目 第二次调用VerQueryValue()函数获取出版公 录，那么就可以判定是病毒了。 “rundl132．exe”的 司，指 定VerQUeryValHe()的第二 个参数 为 路径为 “C：＼Windows＼system32”，在别的 目录则 ”＼StringFileInfO＼’’ TmpStr ’’FileVersion’’ 可以判定是病毒。此外，病毒进程的出版公司、版 再次调用VerQueryValue()函数获取版本号。进 本号不够完整或没有，进程创建 日期、进程大小也 程创建 日期 、进程大小的检测方法为：首先调用 会发生改变 。为使管理员判断进程是病毒进程还是 CreateObject(”Scripting．FileSystemObject”)创建 正常进程并能终止病毒进程，需检测进程的进程名、 文件系统对象，通过文件系统对象的GetFile方法 进程 ID、出版公司、版本号、路径、进程创建 日期、 返回与指定路径中某文件相应的文件对象，根据文 进程大小七个方面的内容。上述内容暂时添加到窗 件对象的Size属性获取进程大小，根据文件对象的 口 ListView1控件中。 DateCreated属性获取进程创建 日期。将检测到的 (2)进程检测的具体实现 进程名、进程 ID、出版公司、版本号、路径、进 为 检 测 进 程 的 上 述 信 息， 首 先 定 程创建 日期、进程大小添加到ListViewl控件中。 义 进 程 结 构 PR0CESSENTRY32， 用 循环调用ProcessNext()获取下一个进程的结构信 CreateToolhelpSnapshot()函数为指定进程建 息数据直至结束。(进程检测代码见文献 4【】)。 立快照，然后用ProcessFirst()函数从快照中 2．2 将进程信息保存在数据库新进程表中，以供 获 取 第一 个进程 的结构 信息数 据。结构 元 素 分析处理 SZExeFile中为进程名 ，th32ProcessID 中为进 用ACCESS 2003建 立数 据库，包 含一 新 程 ID。获取进程执行路径是通过枚举进程模块 进程 表，由于进程 ID在每次 进程 执行是不 同 函数Module32First、MOdule32Next函数来实 的，无需保存，其余进程信息包括进程名、出版 现 的，当成功枚举到一个进程 模块 ，其控制信 公司、版本号、路径、创建 日期、进程大小六个 息就被 复制 到MODULEENTRY32结构类 型 字段需保存 ，其字段类型均为文本型。在窗体 中 变量 中，结构元素 szExePath即为进程执行路 添加ADO Data控件adodcl用来连接本地数据 径。出版公司、版本号的检测较为复杂，首先调用 库并打开一个指定的数据库表。调用 白定义函数 GetFileVersionlnfoSize()获取版本信息的大小，如 connect(filenameAsString， tableAsString) 果存在版本信息块，则返 回的值不为 0，可调用 实现与数据库文件 filename中的表 table的连 GetFileVersionInfo函数获取版本资源信息并复制 接。在 自定义 函数 connect()中通过设定 Adodcl 到缓存区，之后就可以调用VerQueryValue()函数 控件的 ConnectionString、UserName、Password、