Win7用户模式文件审计的研究与实现

摘要

随着内网安全威胁的日益加重，内网安全审计系统应运而生，安全审计内容不断细化。文件审计能对内网中计算机上的敏感文件进行监控，记录相关的文件操作信息，当有机密泄漏时，便于追查相关的记录。本文通过研究分析Win7及Win7以前操作系统文件操作方式的差异，解决Win7下一些新安全机制如session 0隔离，特权等级等带来的问题，根据XP系统下的IAT HOOK原理，通过Windows消息钩子和替换COM接口虚函数表中函数地址的方式实现了Windows 7用户模式下的文件审计，从而加强了内网主机的监管，提高了内网的安全性。同时根据测试的实验结果，总结和分析了该方法的文件审计的优点和存在的缺陷。