采用路径IRP的Windows恶意进程检测方法

针对程序在同一操作系统的不同环境下运行产生的IRP(I/O request packets)序列不完全相同,对检测结果有一定影响的问题,提出了采用路径IRP的Windows恶意进程检测方法.单独提取每一个操作路径的IRP请求序列,应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树及改进的人工免疫算法(IAIS)进行检测,并比较了各种算法在不同特征选择方法下的检测效果.实验结果表明,本文所提出的采用路径IRP的Windows恶意进程检测方法是有效可行的,在所有方法中,采用Fisher Score进行特征选择的朴素贝叶斯方法得到了最高的检测率99.2%,优于基于IRP序列的恶意进程检测方法.

Windows2000/XP下WDM设备驱动程序的开发

介绍了Windows 2 0 0 0 /XP的体系结构和Windows驱动程序模型 (WDM)的概念 ,分析了WDM驱动程序的工作原理 ,并详细地描述了WDM驱动程序的结构和各分发例程应完成的工作。

Windows 2000下WDM驱动程序的研究与开发

分析研究了Windows 2000下WDM驱动程序的基本原理。以Microsoft的DDK为开发工具,开发了基于PCI总线的通信接口板的WDM驱动程序。证实了该驱动程序有很大的实用价值,且有助于对操作系统的理解。

WindowsNTI/O子系统对象结构分析

在面向对象技术中，数据结构被封装到一个对象中，对外部不可见，它们同外部的通信通过一组定义好的访问接口函数来完成的．在ＷｉｎｄｏｗｓＮＴ系统中使用面向对象技术来管理所有的数据结构，在ＷｉｎｄｏｗｓＮＴ输入输出子系统中的各个部分（如驱动程序、设备等），都采用对象来描述，它们在Ｉ／Ｏ管理器的作用下，统一协调地完成系统的输入输出功能．本文较为深入地分析了ＷｉｎｄｏｗｓＮＴＩ／Ｏ子系统所涉及各种对象以及它们的作用、数据结构及其相互关系．

基于IRP的未知恶意代码检测方法

目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的IRP序列进行检测,并比较了各种算法在不同特征选择方法下的检测效果.结果表明:所提出的基于IRP的未知恶意代码检测方法是可行的;在所有方法中,采用Fisher score进行特征选择的Boosting决策树算法可获得最高的检测率(98.3%);采用改进的人工免疫算法,通过精选的少量仅在恶意代码中存在的IRP序列,可获得95.0%的检测率,且误检率为0.

Windows2000设备驱动程序的设计与开发

在分析Windows设备驱动模型(WDM)的基本结构、设计和开发等基本问题的基础上,采用WDM技术设计 开发了体外反搏辅助循环装置的软件系统.该系统在临床实验中运行稳定,实现了实时、高速、多通道I/O设备驱 动,较好地满足了系统(用户)对I/O设备的管理.

适配器驱动层并行I/O调度性能分析

对适配器驱动技术进行了研究 ,提出了一种可扩展的并行I/O方法 .这种方法将多DMA通道和I/O接口集成到适配器中 ,可实现I/O命令的多通道并行处理 ,从而以较低代价实现外围设备I/O性能扩展 .建立并行I/O的SPN模型 ,对这种结构下各I/O环节对设备栈I/O性能的影响进行了分析 ,重点研究I/O请求量与系统IRP流量和I/O通道利用率的关系 ,并结合测试数据对分析结论给予了证明 .

Windows2000驱动程序开发

本文以作者开发的基于 TMS32 0 C5 0数据采集板的驱动程序的中一部分为实例 ,介绍了如何开发Windows2 0 0 0设备驱动程序 ;及设备驱动程序的整个工作过程。

一种基于Windows的通用外设管控系统

提出一种基于Windows设备过滤驱动实现的外设管控方案,主要讨论建立一种通用的Windows外部设备的管控系统,即无需针对新型设备另外开发一套新的系统.该外部设备主要指USB移动存储设备、串口、并口、蓝牙、红外等物理设备.系统包括对设备使用权限的控制以及设备使用行为的审计并形成日志存储在本地.该方法具有与操作系统联系紧密,安装监控模块便捷,在用户无感知的情况下完成对终端外部设备的管控.

电子文件保护系统的设计与实现

为了解决现有的电子文件保护系统存在的问题,设计并实现了一种电子文件保护系统。首先分析了现有的电子文件保护系统存在的弊端,在此基础上提出了系统的设计思想,建立了总体设计框架,然后对系统的关键技术进行了详细地阐述,提出了一种隐藏文件加密标志的方法。设计了文件打开、文件读写和文件关闭的流程,并提出了一种移动介质控制方法。通过了权威机构的认证测试,测试结果表明,该系统安全性高、功能稳定、操作简洁、易于使用。最后,指出了电子文件保护技术的发展趋势。

基于DSP的PCI驱动程序开发

为了让用户应用程序能以一种规范的方式打开、关闭、读、写带有PCI接口的硬件,提出在用户应用程序与硬件之间建立一座桥梁,使它能够完成上述功能。首先利用微软的驱动程序开发包将驱动程序所包含的基本例程编写完毕,然后再编写用户应用程序,此应用程序就可以通过调用基本例程来达到访问硬件的目的。采用DM642中集成的PCI接口,使用DDK开发工具,开发出的驱动程序通用性好,兼容性强,使板卡与PC机的通信速度得到了很大的提高。

终身学习的否定选择算法

针对否定选择算法(NSA)仅模拟了人类适应性免疫系统的中枢耐受过程,而未模拟其外周耐受过程,不具备终身学习能力的问题,提出了具有终身学习能力的否定选择算法(LNSA).LN-SA的学习过程模拟淋巴细胞经历中枢耐受和外周耐受的成熟过程,通过外周耐受实现终身学习,从而提高了抗体区分自体与非自体的能力.与NSA和树突细胞算法(DCA)的比较结果表明,LNSA可有效降低检测误报率,并具有与NSA同样高的检测率.

基于WDM的设备驱动程序开发

Windows驱动程序模型(WDM)是Microsoft公司新推出的设备驱动程序开发模型.分析了WDM驱动程序模型、结构和WDM程序的实现过程,并给出了使用DriverStudio3.2与VC++开发并口驱动程序的实例.

基于CPCI总线的智能CAN通信卡设计

为满足容错计算机联锁系统与现场设备之间通信的传输速率和可靠性的要求,研制了一种基于CPCI总线的新型智能双通道CAN通信卡,给出了Windows平台下具有内存及I/O读写、中断处理驱动程序的设计方法。现场运行结果表明,该CPCI-CAN通信卡及其驱动程序工作正常,较好的满足了容错计算机联锁系统对通信的要求,应用前景广泛。

高速网络环境下数据的压缩存储

针对高速网络环境下数据的压缩存储问题,提出一种实用的解决方案,该方案采用软硬件相结合的压缩存储方法,在不影响网络速度的前提下,可以对数据进行实时的压缩存储.方案在硬件上使用汉帆公司(HIFN)的DR系列高性能无损数据压缩卡,该卡由多个9 630压缩芯片组成,采用拥有汉帆自主专利的增强型LZS技术,能够在满足压缩比的前提下提供快速的数据加解压功能.当硬件出现故障时,该方案将采用设备驱动程序中内嵌的eLZS软件模块对数据进行无缝的加解压处理,以保障系统的正常运行.为了使DR压缩卡在Windows环境下有效工作,开发DR压缩卡的Windows驱动程序.该方案在Linux及Windows环境下得到实现,在测试过程中表现出较好的性能.

服务高可用决策研究与Agent实现

研究并设计了基于存储设备冗余的集群系统节点服务高可用决策方案,具有成本低、易维护、资源利用率高等特点;提出了一种基于原子性成对请求处理的数据同步机制,能够确保同步数据较强的一致性,保证服务数据的无损性恢复。在此基础上,通过系统内核级研发,实现了基于Agent的同步高可用原型系统,在网络传输速率较高且带宽高于写速率峰值的环境中应用情况较好,在系统性能及可用性等方面均达到了预期目标。

基于Hyperic HQ的文件监控系统研究

针对中小企业内部敏感信息的外泄问题,研究开源监控软件Hyperic HQ的系统架构和监控体系,设计文件一体化监控系统。利用基于内核级的文件过滤驱动技术截获I/O管理器向文件系统驱动路由的I/O请求包(IRP),在IRP进入文件系统驱动前执行用户自定义例程,并通过应用程序与驱动程序的通信,实现对文件操作的监控。该系统可实现对局域网中文件系统的一体化监控,避免对文件系统的非法操作,提高局域网内文件系统的安全性。

基于CPCI的ARINC429总线通信卡的WDM驱动程序开发

本文介绍了Windows 2000下WDM的基本原理及ARINC429总线通信卡的硬件组成。以该通信卡的驱动程序设计为例,本文详细阐述了利用DDK、Driver Studio和VC++工具开发Windows平台下具有内存和I/O方式读写及中断处理的WDM驱动程序的方法和注意事项,同时介绍了应用程序如何及时响应硬件事件。

光纤通道网络设计

通过设计Gigworks1062PCIAdapter构造的光纤通道网络监控测试软件和基于TCP、UDP网络应用软件，实现了对光纤通道数传率、拓扑结构、主要类服务和协议层次结构的研究。

一种新型系统安全检测软件的设计与实现

基于SDK平台,采用内核检测技术,设计开发了一种监视注册表值的变化;检测病毒、木马等恶意软件隐藏的文件、进程及内核模块等主要功能的新型的系统安全检测软件。通过进程端口映射查找系统打开的端口信息有效地查找木马及NTFS流文件中的流病毒;通过查看BHO、LSP防止浏览器和网络被劫持;通过查看HOOK的SSDT及SSDT Shadow恢复被修改的内容。经实际系统测试与比较表明,系统能有效地保障系统软件的安全。