浅析Windows NT内核下病毒防火墙原理.docVIP

浅析Windows NT内核下病毒防火墙原理 　　摘要：随着科学技术与计算机网络的不断发展，病毒防火墙作为计算机系统防病毒的主要工具，发展前景越来越广阔。本文就Windows NT内核下的病毒防火墙原理进行探讨，以期病毒防火墙更好地发挥作用，保障计算机系统安全、稳定地运行。 　　关键词：Windows NT内核；病毒防火墙；原理 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 15-0000-02 　　计算机目前已经广泛的应用到社会各个领域，网络使得千家万户能更加便捷的交流，计算机和网络的结合给人类社会生活带来便捷的同时，也引发了一些不安全的因素。计算机网络由于其特定的脆弱性，被很多有居心的不法分子不断的专空子，给广大网民带来困扰的同时也造成了很多经济损失，因此反病毒技术势在必行。目前，病毒防火墙作为计算机系统的安全防护工具，具有实时检测病毒和清除系统、保护计算机??受病毒的侵害的优点，因此，其应用前景越来越广阔。 　　1 Windows NT 内核 　　Windows NT内核是微软公司推出的一款面向网络应用的操作系统，在和通信技术密切融合的基础上提供打印等各种附加服务，由于其非常周到的人性化服务，得到了许多用户的青睐，具有广泛的市场。 　　Windows NT内核为32位操作系统，具有多重引导功能，并支持兼容；在线程操作方面也很有特色，具备多线程多任务的特点外，还具有抢先式的功能，为用户提供了多种多样地选择；采用SMP技术，并支持多处理器系统；支持CISC（如Intel系统）和RISC（如Power PC、R4400等）多种硬件平台；提供安全存取控制及容错能力，可与各种网络操作系统协调合作，如：UNIX、Novel。Windows NT内核的意义在于将用户模式和内核模式分离，这可使得系统更安全，稳定。 　　实际上，所有的Windows NT内核的组件来说其本身都是DLL、PE格式的.EXE文件以及导入导出函数。因此，Windows NT内核的主要组件可以分为以下一种： 　　第一种就是*Ntoskrnl.exe，其作为系统的核心，因而系统中所有涉及到的执行函数全部集中在这里，与此同时这些函数又能够起到调用其它组件的作用。对于这一部分的核心组件主要包括有进线程创建、LPC、对象管理器、安全管理、文件系统、进线程控制、异常处理、内存管理器、VDM、输入输出和т.д.这些组件一般情况下均位于大的地址上。 　　第二种就是作为硬件抽象层（Hardware Abstraction Layer）也就是处于硬件相关的模块的*Hal.dll。该隔离层主要的任务就是将操作系统中与硬件相关的部分进行隔离出来，以此提高系统的可移植性。主要的模块的任务就是负责实现程序控制中断以及硬件输入输出等等非常底层的函数。一般情况下同样是位于大的地址之上的。 　　第三种就是*Ntdll.dll，其作为某些Win32 API的实现函数，主要负责提供核心模式与用户模式之间的接口。其一般情况下是位于用户空间，即系统函数调用的过程就是从这里导出。 　　第四种就是*Kernel32.dll，其作为类似于Win9x的核心的一项组件主要是负责实现一些函数，并且其中有很多的函数封装在ntdll.dll中。 　　还有就是作为进程服务器子系统的*Csrss.exe，它是一个单独的进程的特征是其受到保护而避免受到其它进程（位于其它进程的地址空间中）的干扰与影响。但与此同时，该组件对服务的请求通常情况下要借助于LPC产生。 　　最后一种就是作为驱动程序的*Win32k.sys，其主要功能就是用来减少调用Csrss服务而造成的开销损失。在此程序中通过对于GDI和USER函数的使用，使其用系统调用而减少了对于LPC的使用，这在一定程度上有效地提高了Windows NT4.0和2K的图形处理性能。 　　2 病毒防火墙 　　防火墙，确切的称之为“病毒实时检测和清除系统”，是一种反病毒软件的工作模式。通俗的来说就是指在网络上用以保护系统安全而广泛使用的一个软件，在系统和网络上其他机器设备之间设置一道安全措施，能有效的拦截病毒，防止网络恶意攻击。 　　当病毒防火墙运行的时候，内存中会自动存储着一些用以病毒特征监控的程序，对系统进行实时的监控，随时观察并发现系统运行过程中是否存在有病毒的迹象；如果监控病毒程序的检测结果表明文件中携带有病毒或者是具有携带病毒的痕迹，病毒防火墙就会自动启动激活，对相关文件进行对应处理。防火墙在激活之后首要步骤就是阻止病毒的进入过程，并且阻止携毒文件的开启或运行，紧接着对带毒的文件进行二次查杀，最终将病毒消灭。病毒防火的工作方式大致上就是如上述文字所描述的那样，对计算机系统进行保护以