基于内核驱动层的操作系统监控技术研究.pdfVIP

第 卷 第 期 11 3 柳州职业技术学院学报 Vol.11 No.3 年 月 2011 6 JOURNAL OF LIUZHOU VOCATIONAL TECHNICAL COLLEGE Jun.2011 ［理工农学研究］ 基于内核驱动层的操作系统监控技术研究 罗海波 柳州职业技术学院 信息工程系 广西 柳州 （ ， 545006 ） 摘要 根据基于驱动层的操作系统内核监控技术可以截获操作系统底层运行的细节情况 探讨了 ： ， 采用内核态的监控技术 实现对操作系统底层外设操作驱动的监控 首先 阐述内核驱动拦截技术的 ， 。 ， 核心思想 实现步骤和典型过程 然后 对内核驱动数据结构进行详细分析 给出了 、 ； ， ， DRIVER_OB- 的数据结构 为开发相应拦截程序奠定基础 最后介绍基于内核驱动的监控程序实现过程 给 JECT ， 。 ， 出了内核驱动监控的具体实现流程 并以一个具体的内核函数调用为例 介绍了信息拦截过程 ， ， 。 关键词 驱动 内核监控 数据结构 拦截程序 ： ； ； ； 中图分类号： TP316 文献标志码： A 文章编号： 1671-1084 （2011 ） 03-0051-04 引言 通信的顶层驱动 中间的一个或多个中间层驱 0 、 动以及最底层与具体物理设备的通信的底层驱 在 操作系统下 用户的所有对底 ， Windows 动 设备驱动程序采用这种开发结构看似把问 层硬件的操作动作都是通过驱动程序完成 而 。 ， 题变得复杂化了 实现的代码也明显增加 但 不是由操作系统直接给硬件设备发出操作信号。 ， 。 是这种结构却非常有利于代码的共享重用 处 因此 对于计算机中应用程序的开发者而言 。 ， ， 于中间层的驱动可以被不同设备的驱动程序重 可以既不了解每一种硬件实体的操作规程 通 、 用 这将大大降低设备驱动程序的总体代码开 信协议和使用方法 也可以不了解如何识别硬 ， ， 发量 各层驱动程序工作时 通过其提供的