1 计算机安全监控对象

计算机安全监控对象总的来讲包括信息和操作两类，其中信息主要指系统中文本、文件信息，操作主要是用户进行的操作行为。计算机监控系统的工作是对文本、文件的复制、变更以及用户操纵进行监控、鉴别，并能阻止有关威胁信息的传播。

文件是信息的主要载体，尤其在信息安全领域更加重视文件的安全保护。因此，计算机安全监控系统应将文件的保护放在重要地位，尤其对文件的修改、复制、删除等应严密监控，必要情况时应主动干预，防止重要文件的丢失。

文本能够直接体现信息的表达形式，文本内容来自的范围比较广泛，文本监控保护主要体现在文本内容的复制上，从而能够有效阻止敏感词汇的传播等。

用户操作确定起来难度较大，破坏作用不可估量，因此为了方便监控人为操作带来的巨大损失，计算监控系统主要通过监控键盘、鼠标的行为结合操作对象进行监控，从而防止有害信息在互联网的传播。

2 文件变更监控技术

文件变更监控主要记录文件目录、文件新建、文件复制、文件修改、文件删除等操作，并且保存更改文件的位置和时间等内容。监控可以具体到指定的存储内容，也可以对整个系统的文件操作进行监控。根据文件监控实现的策略可以将其划分成三个方面：基于Windows API策略、基于拦截系统调用策略以及基于中间层驱动程序的策略。

2.1基于Windows API策略

Windows应用程序中API是操作系统留给应用程序的一个调用接口，应用程序通过调用操作系统的 API 使操作系统去执行应用程序的命令。其中和文件操作相关的API函数是ReadDirectoryChangesW，该函数对文件的监控主要通过同步和异步两种方式实现。

例如，该函数以异步方式工作时，首先通过ReadDirectoryChangesW函数注册回调函数后立即返回，当指定监控事件发生时程序会进入回调函数进行处理，如果该事件需要持续监控，就需要重新调用ReadDirectoryChangesW函数并反复执行该过程完成监控任务。

2.2基于拦截系统调用策略

拦截系统调用(API Hook)的主要作用是设法对进程中的代码进行监控，当发生API调用时转向编程者事先准备的代码，最终实现拦截调用功能。

API Hook执行过程主要包括API拦截和DLL注入两方面内容。应用程序打开文件其工作流程是：首先会调用Kernel32.DLL模块提供的API函数CreateFileA对相关参数进行处理，结束后调用Ntdll.DLL模块提供的API函数NtCreateFileA，然后Ntdll.DLL会执行软中断指令调用相应系统的NtCreateFileA。因此对拦截系统调用只需要将含有监控代码的模块，注入到Ntdll.DLL中，同时拦截NtCreateFileA函数执行的操作，就能对文件的打开操作进行监控。

2.3基于中间层驱动程序策略

设备驱动程序是管理相关设备的代码，实现数据缓冲区和设备缓冲区的数据交换工作。当进行文件操作时应用程序会将LOCTL制约代码传递给文件设备驱动程序，以此实现文件的相关操作。例如当执行文件的读写操作时需要将LOCTL制约代码中的IRP_MJ_WRITE以及IRP_MJ_READ传给文件设备驱动程序。

3 文本复制监控技术

文本复制时均首先将复制内容复制到剪贴板上，然后进行粘贴操作。因此，对文本复制进行监控实质上是对剪切板的监控。Windows应用程序中对剪贴板均有访问的权利，复制程序执行时主要通过响(下转第25页)(上接第23页)应剪贴板消息以及利用剪贴板API执行读写操作。众所周知Windows系统由信息触发，剪贴板内容发生变化时Windows会提示剪贴板的变化信息。所以监控系统能够对剪贴板内容实时监控，应能够及时响应和处理触发剪贴板变化信息。剪贴板监控关键技术的实现主要通过两部分实现：注册、注销剪贴板监控链和响应剪贴板的变化信息。

3.1注册、注销剪贴板制约链

剪贴板监控链主要由剪贴板监控器组成的一种链表结构，Windows系统通过SetClipboardViewer函数将自身注册成监控器，然后将其挂接到监控链上，当剪贴板事件被触发时剪贴板消息会在监控链上传递，当监控器获得消息后就会对其进行处理。结束剪贴板消息时，系统会调用ChangeClipboardChain函数将自身的监控器注销。

3.2响应剪贴板消息

当剪贴板信息发生变化时将触发Windows的一个消息，同时会将触发的消息传递给ClipboardViewerChain的第一个窗口，当每个窗口对该消息响应和处理后，需将其传递给下一个ClipboardViewer窗口。

剪贴板内容的读取主要通过Windows剪贴板中的API实现，用户只需提取剪贴板中对自身有用的数据类型即可。

4 人为操作监控技术

人为操作监控技术主要通过监控鼠标和键盘行为实现。Window消息处理时允许程序建立消息挂钩函数，通过该函数能够实现对消息传递线路的监控。系统会将各种信息传递给对应的挂钩函数进行处理，这些挂钩函数会根据自己的功能对相关信息进行监控。

Windows挂钩函数能够响应系统中多种类型的消息，其中包括鼠标和键盘事件消息。挂钩函数执行的具体步骤是：首先由SetWindowsHookEx函数注册Hook，并定义Hook挂接的事件类型和用于处理消息的挂钩回调函数Hook Procedure，当事件发生时相关信息会进入挂钩函数进行处理，处理结束后通过相关函数将挂钩函数卸载。

5 总结

计算机安全监控系统能够实现计算机各项信息和拥护操作的监控。通过对文本、文件和拥护操作的监控的探究，能够选择有效的应对措施，提高监控工作效率，为计算机系统的安全运转奠定坚实的基础。