劉意先　劉宏偉

摘要：為了實現(xiàn)對計算機主機的安全檢測，并對其安全性做出合適的評估，設(shè)計并實現(xiàn)了一種采用Windows API接口對計算機安全狀態(tài)進行檢測的系統(tǒng)。系統(tǒng)首先調(diào)用操作系統(tǒng)的系統(tǒng)調(diào)用提取計算機的各種軟硬件信息，然后將該結(jié)果與信任項、黑名單進行比對。比對的結(jié)果通過打分的方式顯示出計算機的安全程度，分值越高相應(yīng)的安全程度越高。經(jīng)過測試，該系統(tǒng)能正確的提取操作系統(tǒng)注冊表注冊表、瀏覽器、進程、軟硬件配置等信息，并能根據(jù)這些信息給相應(yīng)對的安全評估。

關(guān)鍵詞：計算機安全；安全檢測；安全評估；Windows編程接口

中圖分類號：TP309 文獻標(biāo)識碼：A 文章編號：1009-3044（2014）16-4034-04

The Design and Implementation of Computer Detection and Evaluation System

LIU Yi-xian， LIU Hong-wei

（Information Security and Countermeasure Experiment Teaching Center of Xian University of Posts and Telecommunications， Xian 710121， China）

Abstract： To realize the security detection and make a appropriate evaluation to the computer， design and implement a system with Windows application programming interface to detect the computer security status. First the system extracts all kinds of software and hardware information of the computer. Then it compares the detection result with the trust list and black list. After the comparison the system gives the score to the computer to show the safety level of the computer. The test result of the system shows it can correctly extracts information about the registry table of the operating system， the browser， the processes， the software and hardware configuration. It also shows the system can make the corresponding security evaluation according to the information.

Key words： computer security； security detection； security evaluation； Windows API

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計算機使用者可以快捷的獲得各種網(wǎng)絡(luò)資源，包括文檔、圖片、視頻以及軟件等[1-2]。與此同時，計算機也面臨著隨之而來的各種威脅和風(fēng)險。為了防止可能出現(xiàn)的安全問題，對計算機系統(tǒng)進行相應(yīng)的安全檢測是一個有效而必要的工作[3-4]。該文針對常見的Windows操作系統(tǒng)設(shè)計并實現(xiàn)了一個計算機安全檢測系統(tǒng)，能對計算機的各種軟硬件信息進行檢測，包括硬件配置、軟件安裝、注冊表、進程等。系統(tǒng)根據(jù)預(yù)設(shè)的信任列表和黑名單對計算機系統(tǒng)進行綜合評估并給出分值，可以幫助用戶對計算機的安全狀態(tài)獲得全面的了解。

1 系統(tǒng)的整體結(jié)構(gòu)

系統(tǒng)根據(jù)Windows平臺在使用中可能出現(xiàn)安全問題的方面，要檢測的項目包括系統(tǒng)硬件、安裝的軟件、啟動項、瀏覽器狀況、進程、網(wǎng)絡(luò)連接以及注冊表。根據(jù)檢查的結(jié)果系統(tǒng)再比對預(yù)設(shè)的檢查項的信任列表和黑名單對系統(tǒng)進行評估，最終給出評測結(jié)果。結(jié)構(gòu)如圖1所示。

2 檢測功能的實現(xiàn)

系統(tǒng)的檢測主要從軟硬件環(huán)境以及常用的安全配置相關(guān)信息等及格方面進行。在Windows平臺上進行這些檢測需要通過系統(tǒng)的API來進行。Windows API是提供給用戶的可調(diào)用的編程接口，通過該接口用戶能對操作系統(tǒng)進行深入的操作和設(shè)置[5]。

2.1 系統(tǒng)硬件檢測

檢測主要目標(biāo)是檢測系統(tǒng)基礎(chǔ)的硬件信息。設(shè)計方案是首先通過調(diào)用Windows提供的系統(tǒng)API函數(shù)和WMI接口，獲得基礎(chǔ)信息，最后通過VariantToString函數(shù)來將獲得的信息轉(zhuǎn)換成字符串。

WMI 是一種規(guī)范和基礎(chǔ)結(jié)構(gòu)，通過它可以訪問、配置、管理和監(jiān)視所有的 — 幾乎所有的 Windows 資源。WMI的使用要通過三步實現(xiàn)，首先初始化，然后創(chuàng)建WMI的名字空間，最后通過WQL進行查詢。WQL是WMI中的查詢語言Windows管理規(guī)范查詢語言[6-8]。

2.2 系統(tǒng)安裝軟件信息

該功能是檢測系統(tǒng)安裝軟件的基本信息，包括軟件名稱，發(fā)行商，版本，安裝日期，卸載命令及參數(shù)。注冊表中會存有相關(guān)信息[9]。設(shè)計方案是首先通過Windows提供的API對系統(tǒng)的注冊表進行打開和查詢，獲取SOFTWARE＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Uninstall該路徑下的信息，然后篩選將有用的信息進行輸出。通過如下API函數(shù)打開注冊表：endprint

RegOpenKeyEx（HKEY_LOCAL_MACHINE，_T（"SOFTWARE＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Uninstall"），NULL， KEY_READ， &hKey）

2.3 系統(tǒng)啟動項檢測

啟動項檢測的目的是檢測系統(tǒng)啟動項的信息，包括啟動軟件名稱和存儲路徑。該模塊設(shè)計與檢測系統(tǒng)安裝軟件信息相似，也是通過對注冊表進行查詢來獲取相應(yīng)的信息。設(shè)計方案是首先通過對注冊表進行操作查詢?nèi)缦侣窂?/p>

Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Run

從該路徑下獲得軟件的注冊表信息， 在獲取到系統(tǒng)啟動項基本信息后再對信息進行格式化輸出。

2.4 系統(tǒng)進程檢測

操作臺系統(tǒng)中的正在運行的惡意程序可以通過對進程的檢測進行發(fā)現(xiàn)[10]。進程檢測的信息包括進程名稱、進程ID、線程數(shù)量、所使用的.dll文件。設(shè)計方案是通過Windows系統(tǒng)提供的API函數(shù)，對系統(tǒng)的當(dāng)前進程設(shè)定一個快照，然后通過這個快照來獲取相應(yīng)的進程信息，然后對進程信息進行格式化輸出。通過如下的API系統(tǒng)函數(shù)設(shè)定快照：

HANDLE WINAPI CreateToolhelp32Snapshot（

DWORD dwFlags，

DWORD th32ProcessID

）

2.5 系統(tǒng)瀏覽器狀況檢測

瀏覽器檢測主要包括通過IE瀏覽器打開網(wǎng)站名稱和使用的瀏覽器名稱。設(shè)計方案是通過系統(tǒng)系統(tǒng)提供的API函數(shù)來監(jiān)控系統(tǒng)打開的窗口，篩選出瀏覽器窗口，并對瀏覽器打開的網(wǎng)頁進行記錄，最后對這些監(jiān)控信息進行格式化輸出。通過如下的API系統(tǒng)函數(shù)來監(jiān)控：

WINUSERAPI int WINAPI GetWindowTextA（

__in HWND hWnd，

__out_ecount（nMaxCount） LPSTR lpString，

__in int nMaxCount）；

2.6 系統(tǒng)網(wǎng)路連接檢測

檢測系統(tǒng)的網(wǎng)絡(luò)連接情況檢測信息包括Pid、名稱、Local Addr、Local Port、Remote Addr、Remote Port、State、Path。設(shè)計方案是通過系統(tǒng)的API函數(shù)獲得系統(tǒng)當(dāng)前的狀態(tài)快照，然后在快照中篩選出網(wǎng)絡(luò)連接，通過對快照的解析，得到網(wǎng)絡(luò)連接的信息并進行格式化輸出。

最后通過自定義函數(shù)來獲取網(wǎng)絡(luò)連接名稱和路徑：

2.7 系統(tǒng)注冊表檢測

主要目的是檢測系統(tǒng)的注冊表信息。設(shè)計方案是通過調(diào)用系統(tǒng)的API函數(shù)來對注冊表進行相應(yīng)的操作，并且用相應(yīng)的格式進行顯示。通過如下API系統(tǒng)函數(shù)來操作注冊表：

LONG WINAPI RegOpenKeyEx //打開注冊表

LONG WINAPI RegQueryValueEx //查詢注冊表

LONG WINAPI RegEnumKeyEx //枚舉注冊表信息

LONG WINAPI RegCloseKey //關(guān)閉注冊表

3 系統(tǒng)的安全評估

經(jīng)過檢測后系統(tǒng)將得到各種檢測項目的結(jié)果，該結(jié)果為多個字符串組。系統(tǒng)根據(jù)不同的項目系統(tǒng)預(yù)設(shè)了相應(yīng)的信任項列表和黑名單列表，信任項是系統(tǒng)已知的各種安全的應(yīng)用或設(shè)置項的字符串，黑名單列表則存有已知的具有風(fēng)險的相應(yīng)的設(shè)置或應(yīng)用名稱等。檢測結(jié)果和這種列表進行比對并進行評分。最后將所有的檢測項目的評分結(jié)果綜合給出系統(tǒng)的評估結(jié)果。

3.1 檢測項目的評估

檢測項目[K]檢測結(jié)果記錄數(shù)記為NK，其中在信任項列表的數(shù)量記為[NT]，在黑名單列表項中的數(shù)量記為[NB]，不在這兩個列表中的數(shù)目記為[NU]，由此可得到相應(yīng)項目[K]的評估的得分[SK] 可以由以下表達式得出：

[SK=NT+NU×0.8NK×100] （1）

不在信任項列表或者黑名單列表中的項目由于風(fēng)險不確定，考慮到可能出現(xiàn)危險的可能性，將這種情況安全的可能性設(shè)定為0.8，由此可以從（1）中可以得出項目的評估結(jié)果。

3.2 系統(tǒng)的評估

對于整個系統(tǒng)檢測項目有I項，各項檢測評分為[S1] …[SI] ，對于整個系統(tǒng)的的評估結(jié)果[SO] 可由下式得出：

[SO=i=1ISiI×100] （2）

[SO]代表了系統(tǒng)的整體安全情況，通過該分值使用者可以方便的理解計算機的安全狀態(tài)。

4 系統(tǒng)的測試

系統(tǒng)在聯(lián)想Y400型主機上進行了相應(yīng)的測試，主機所用的操作系統(tǒng)為Windows 7。各項功都能正常運行，如圖2能正確顯示該主機的軟件安裝情況。

系統(tǒng)也能根據(jù)所有的檢測結(jié)果對系統(tǒng)做出相應(yīng)的安全評估，如圖3所示。

5 總結(jié)與展望

本文通過利用Windows API的接口實現(xiàn)了對主機的系統(tǒng)的安全檢測和評估，檢測的結(jié)果是真實可信的。對于系統(tǒng)的評估方法，可以加入動態(tài)的調(diào)整信任項和黑名單，使評估的結(jié)果更加符合安全狀態(tài)發(fā)展的趨勢，使計算機的保持較好的安全狀態(tài)。

參考文獻：

[1] Kedgley M. File integrity monitoring in the modern threat landscape[J]. Network Security，2014，2014（2）：5-8.

[2] Chunqi Tian， Xiaojian Liu， Lisheng Wang， Shihong Zou.Spreading evidence models for trust propagation and aggregation in peer-to-peer networks[J]. Concurrency and Computation： Practice and Experience，2014，26（2）：601-614.

[3] Zhiyong Shan， Xin Wang. Growing grapes in your computer to defend against malware[J]. IEEE Transactions on Information Forensics and Security，2014，9（2）：196-207.

[4] Liu Xin， Liu Ren-ren， Wu Xiang-bo. A secret inline hook technology[J]. Control and Intelligent Systems，2014，42（1）：24-30.

[5] 徐江峰，邵向陽. 基于HOOK API技術(shù)的進程監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[J]. 計算機工程與設(shè)計，2011（4）：1330-1333.

[6] 陳永建，朱娟，黎桂林. 基于WMI的實時監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[J]. 微計算機信息，2005（21）：52-54.

[7] 鐘偉，唐發(fā)根. 通用應(yīng)用系統(tǒng)性能評測環(huán)境的設(shè)計與實現(xiàn)[J].計算機應(yīng)用，2004（3）：141-144.

[8] 徐鯤，孫輝. Windows NT下對磁盤性能監(jiān)測的研究[J]. 計算機科學(xué)，2012（S3）：301-304.

[9] 白金榮，王俊峰，趙宗渠，等. 基于敏感Native API的惡意軟件檢測方法[J]. 計算機工程，2012（13）：9-12.

[10] 藍智靈，宋宇波，唐磊. 基于直接內(nèi)核對象操作的進程偽裝保護方法[J].東南大學(xué)學(xué)報：自然科學(xué)版，2013（1）：24-29.endprint

RegOpenKeyEx（HKEY_LOCAL_MACHINE，_T（"SOFTWARE＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Uninstall"），NULL， KEY_READ， &hKey）

2.3 系統(tǒng)啟動項檢測

啟動項檢測的目的是檢測系統(tǒng)啟動項的信息，包括啟動軟件名稱和存儲路徑。該模塊設(shè)計與檢測系統(tǒng)安裝軟件信息相似，也是通過對注冊表進行查詢來獲取相應(yīng)的信息。設(shè)計方案是首先通過對注冊表進行操作查詢?nèi)缦侣窂?/p>

Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Run

從該路徑下獲得軟件的注冊表信息， 在獲取到系統(tǒng)啟動項基本信息后再對信息進行格式化輸出。

2.4 系統(tǒng)進程檢測

操作臺系統(tǒng)中的正在運行的惡意程序可以通過對進程的檢測進行發(fā)現(xiàn)[10]。進程檢測的信息包括進程名稱、進程ID、線程數(shù)量、所使用的.dll文件。設(shè)計方案是通過Windows系統(tǒng)提供的API函數(shù)，對系統(tǒng)的當(dāng)前進程設(shè)定一個快照，然后通過這個快照來獲取相應(yīng)的進程信息，然后對進程信息進行格式化輸出。通過如下的API系統(tǒng)函數(shù)設(shè)定快照：

HANDLE WINAPI CreateToolhelp32Snapshot（

DWORD dwFlags，

DWORD th32ProcessID

）

2.5 系統(tǒng)瀏覽器狀況檢測

瀏覽器檢測主要包括通過IE瀏覽器打開網(wǎng)站名稱和使用的瀏覽器名稱。設(shè)計方案是通過系統(tǒng)系統(tǒng)提供的API函數(shù)來監(jiān)控系統(tǒng)打開的窗口，篩選出瀏覽器窗口，并對瀏覽器打開的網(wǎng)頁進行記錄，最后對這些監(jiān)控信息進行格式化輸出。通過如下的API系統(tǒng)函數(shù)來監(jiān)控：

WINUSERAPI int WINAPI GetWindowTextA（

__in HWND hWnd，

__out_ecount（nMaxCount） LPSTR lpString，

__in int nMaxCount）；

2.6 系統(tǒng)網(wǎng)路連接檢測

檢測系統(tǒng)的網(wǎng)絡(luò)連接情況檢測信息包括Pid、名稱、Local Addr、Local Port、Remote Addr、Remote Port、State、Path。設(shè)計方案是通過系統(tǒng)的API函數(shù)獲得系統(tǒng)當(dāng)前的狀態(tài)快照，然后在快照中篩選出網(wǎng)絡(luò)連接，通過對快照的解析，得到網(wǎng)絡(luò)連接的信息并進行格式化輸出。

最后通過自定義函數(shù)來獲取網(wǎng)絡(luò)連接名稱和路徑：

2.7 系統(tǒng)注冊表檢測

主要目的是檢測系統(tǒng)的注冊表信息。設(shè)計方案是通過調(diào)用系統(tǒng)的API函數(shù)來對注冊表進行相應(yīng)的操作，并且用相應(yīng)的格式進行顯示。通過如下API系統(tǒng)函數(shù)來操作注冊表：

LONG WINAPI RegOpenKeyEx //打開注冊表

LONG WINAPI RegQueryValueEx //查詢注冊表

LONG WINAPI RegEnumKeyEx //枚舉注冊表信息

LONG WINAPI RegCloseKey //關(guān)閉注冊表

3 系統(tǒng)的安全評估

經(jīng)過檢測后系統(tǒng)將得到各種檢測項目的結(jié)果，該結(jié)果為多個字符串組。系統(tǒng)根據(jù)不同的項目系統(tǒng)預(yù)設(shè)了相應(yīng)的信任項列表和黑名單列表，信任項是系統(tǒng)已知的各種安全的應(yīng)用或設(shè)置項的字符串，黑名單列表則存有已知的具有風(fēng)險的相應(yīng)的設(shè)置或應(yīng)用名稱等。檢測結(jié)果和這種列表進行比對并進行評分。最后將所有的檢測項目的評分結(jié)果綜合給出系統(tǒng)的評估結(jié)果。

3.1 檢測項目的評估

檢測項目[K]檢測結(jié)果記錄數(shù)記為NK，其中在信任項列表的數(shù)量記為[NT]，在黑名單列表項中的數(shù)量記為[NB]，不在這兩個列表中的數(shù)目記為[NU]，由此可得到相應(yīng)項目[K]的評估的得分[SK] 可以由以下表達式得出：

[SK=NT+NU×0.8NK×100] （1）

不在信任項列表或者黑名單列表中的項目由于風(fēng)險不確定，考慮到可能出現(xiàn)危險的可能性，將這種情況安全的可能性設(shè)定為0.8，由此可以從（1）中可以得出項目的評估結(jié)果。

3.2 系統(tǒng)的評估

對于整個系統(tǒng)檢測項目有I項，各項檢測評分為[S1] …[SI] ，對于整個系統(tǒng)的的評估結(jié)果[SO] 可由下式得出：

[SO=i=1ISiI×100] （2）

[SO]代表了系統(tǒng)的整體安全情況，通過該分值使用者可以方便的理解計算機的安全狀態(tài)。

4 系統(tǒng)的測試

系統(tǒng)在聯(lián)想Y400型主機上進行了相應(yīng)的測試，主機所用的操作系統(tǒng)為Windows 7。各項功都能正常運行，如圖2能正確顯示該主機的軟件安裝情況。

系統(tǒng)也能根據(jù)所有的檢測結(jié)果對系統(tǒng)做出相應(yīng)的安全評估，如圖3所示。

5 總結(jié)與展望

本文通過利用Windows API的接口實現(xiàn)了對主機的系統(tǒng)的安全檢測和評估，檢測的結(jié)果是真實可信的。對于系統(tǒng)的評估方法，可以加入動態(tài)的調(diào)整信任項和黑名單，使評估的結(jié)果更加符合安全狀態(tài)發(fā)展的趨勢，使計算機的保持較好的安全狀態(tài)。

參考文獻：

[1] Kedgley M. File integrity monitoring in the modern threat landscape[J]. Network Security，2014，2014（2）：5-8.

[2] Chunqi Tian， Xiaojian Liu， Lisheng Wang， Shihong Zou.Spreading evidence models for trust propagation and aggregation in peer-to-peer networks[J]. Concurrency and Computation： Practice and Experience，2014，26（2）：601-614.

[3] Zhiyong Shan， Xin Wang. Growing grapes in your computer to defend against malware[J]. IEEE Transactions on Information Forensics and Security，2014，9（2）：196-207.

[4] Liu Xin， Liu Ren-ren， Wu Xiang-bo. A secret inline hook technology[J]. Control and Intelligent Systems，2014，42（1）：24-30.

[5] 徐江峰，邵向陽. 基于HOOK API技術(shù)的進程監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[J]. 計算機工程與設(shè)計，2011（4）：1330-1333.

[6] 陳永建，朱娟，黎桂林. 基于WMI的實時監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[J]. 微計算機信息，2005（21）：52-54.

[7] 鐘偉，唐發(fā)根. 通用應(yīng)用系統(tǒng)性能評測環(huán)境的設(shè)計與實現(xiàn)[J].計算機應(yīng)用，2004（3）：141-144.

[8] 徐鯤，孫輝. Windows NT下對磁盤性能監(jiān)測的研究[J]. 計算機科學(xué)，2012（S3）：301-304.

[9] 白金榮，王俊峰，趙宗渠，等. 基于敏感Native API的惡意軟件檢測方法[J]. 計算機工程，2012（13）：9-12.

[10] 藍智靈，宋宇波，唐磊. 基于直接內(nèi)核對象操作的進程偽裝保護方法[J].東南大學(xué)學(xué)報：自然科學(xué)版，2013（1）：24-29.endprint

RegOpenKeyEx（HKEY_LOCAL_MACHINE，_T（"SOFTWARE＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Uninstall"），NULL， KEY_READ， &hKey）

2.3 系統(tǒng)啟動項檢測

啟動項檢測的目的是檢測系統(tǒng)啟動項的信息，包括啟動軟件名稱和存儲路徑。該模塊設(shè)計與檢測系統(tǒng)安裝軟件信息相似，也是通過對注冊表進行查詢來獲取相應(yīng)的信息。設(shè)計方案是首先通過對注冊表進行操作查詢?nèi)缦侣窂?/p>

Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Run

從該路徑下獲得軟件的注冊表信息， 在獲取到系統(tǒng)啟動項基本信息后再對信息進行格式化輸出。

2.4 系統(tǒng)進程檢測

操作臺系統(tǒng)中的正在運行的惡意程序可以通過對進程的檢測進行發(fā)現(xiàn)[10]。進程檢測的信息包括進程名稱、進程ID、線程數(shù)量、所使用的.dll文件。設(shè)計方案是通過Windows系統(tǒng)提供的API函數(shù)，對系統(tǒng)的當(dāng)前進程設(shè)定一個快照，然后通過這個快照來獲取相應(yīng)的進程信息，然后對進程信息進行格式化輸出。通過如下的API系統(tǒng)函數(shù)設(shè)定快照：

HANDLE WINAPI CreateToolhelp32Snapshot（

DWORD dwFlags，

DWORD th32ProcessID

）

2.5 系統(tǒng)瀏覽器狀況檢測

瀏覽器檢測主要包括通過IE瀏覽器打開網(wǎng)站名稱和使用的瀏覽器名稱。設(shè)計方案是通過系統(tǒng)系統(tǒng)提供的API函數(shù)來監(jiān)控系統(tǒng)打開的窗口，篩選出瀏覽器窗口，并對瀏覽器打開的網(wǎng)頁進行記錄，最后對這些監(jiān)控信息進行格式化輸出。通過如下的API系統(tǒng)函數(shù)來監(jiān)控：

WINUSERAPI int WINAPI GetWindowTextA（

__in HWND hWnd，

__out_ecount（nMaxCount） LPSTR lpString，

__in int nMaxCount）；

2.6 系統(tǒng)網(wǎng)路連接檢測

檢測系統(tǒng)的網(wǎng)絡(luò)連接情況檢測信息包括Pid、名稱、Local Addr、Local Port、Remote Addr、Remote Port、State、Path。設(shè)計方案是通過系統(tǒng)的API函數(shù)獲得系統(tǒng)當(dāng)前的狀態(tài)快照，然后在快照中篩選出網(wǎng)絡(luò)連接，通過對快照的解析，得到網(wǎng)絡(luò)連接的信息并進行格式化輸出。

最后通過自定義函數(shù)來獲取網(wǎng)絡(luò)連接名稱和路徑：

2.7 系統(tǒng)注冊表檢測

主要目的是檢測系統(tǒng)的注冊表信息。設(shè)計方案是通過調(diào)用系統(tǒng)的API函數(shù)來對注冊表進行相應(yīng)的操作，并且用相應(yīng)的格式進行顯示。通過如下API系統(tǒng)函數(shù)來操作注冊表：

LONG WINAPI RegOpenKeyEx //打開注冊表

LONG WINAPI RegQueryValueEx //查詢注冊表

LONG WINAPI RegEnumKeyEx //枚舉注冊表信息

LONG WINAPI RegCloseKey //關(guān)閉注冊表

3 系統(tǒng)的安全評估

經(jīng)過檢測后系統(tǒng)將得到各種檢測項目的結(jié)果，該結(jié)果為多個字符串組。系統(tǒng)根據(jù)不同的項目系統(tǒng)預(yù)設(shè)了相應(yīng)的信任項列表和黑名單列表，信任項是系統(tǒng)已知的各種安全的應(yīng)用或設(shè)置項的字符串，黑名單列表則存有已知的具有風(fēng)險的相應(yīng)的設(shè)置或應(yīng)用名稱等。檢測結(jié)果和這種列表進行比對并進行評分。最后將所有的檢測項目的評分結(jié)果綜合給出系統(tǒng)的評估結(jié)果。

3.1 檢測項目的評估

檢測項目[K]檢測結(jié)果記錄數(shù)記為NK，其中在信任項列表的數(shù)量記為[NT]，在黑名單列表項中的數(shù)量記為[NB]，不在這兩個列表中的數(shù)目記為[NU]，由此可得到相應(yīng)項目[K]的評估的得分[SK] 可以由以下表達式得出：

[SK=NT+NU×0.8NK×100] （1）

不在信任項列表或者黑名單列表中的項目由于風(fēng)險不確定，考慮到可能出現(xiàn)危險的可能性，將這種情況安全的可能性設(shè)定為0.8，由此可以從（1）中可以得出項目的評估結(jié)果。

3.2 系統(tǒng)的評估

對于整個系統(tǒng)檢測項目有I項，各項檢測評分為[S1] …[SI] ，對于整個系統(tǒng)的的評估結(jié)果[SO] 可由下式得出：

[SO=i=1ISiI×100] （2）

[SO]代表了系統(tǒng)的整體安全情況，通過該分值使用者可以方便的理解計算機的安全狀態(tài)。

4 系統(tǒng)的測試

系統(tǒng)在聯(lián)想Y400型主機上進行了相應(yīng)的測試，主機所用的操作系統(tǒng)為Windows 7。各項功都能正常運行，如圖2能正確顯示該主機的軟件安裝情況。

系統(tǒng)也能根據(jù)所有的檢測結(jié)果對系統(tǒng)做出相應(yīng)的安全評估，如圖3所示。

5 總結(jié)與展望

本文通過利用Windows API的接口實現(xiàn)了對主機的系統(tǒng)的安全檢測和評估，檢測的結(jié)果是真實可信的。對于系統(tǒng)的評估方法，可以加入動態(tài)的調(diào)整信任項和黑名單，使評估的結(jié)果更加符合安全狀態(tài)發(fā)展的趨勢，使計算機的保持較好的安全狀態(tài)。

參考文獻：

[1] Kedgley M. File integrity monitoring in the modern threat landscape[J]. Network Security，2014，2014（2）：5-8.

[2] Chunqi Tian， Xiaojian Liu， Lisheng Wang， Shihong Zou.Spreading evidence models for trust propagation and aggregation in peer-to-peer networks[J]. Concurrency and Computation： Practice and Experience，2014，26（2）：601-614.

[3] Zhiyong Shan， Xin Wang. Growing grapes in your computer to defend against malware[J]. IEEE Transactions on Information Forensics and Security，2014，9（2）：196-207.

[4] Liu Xin， Liu Ren-ren， Wu Xiang-bo. A secret inline hook technology[J]. Control and Intelligent Systems，2014，42（1）：24-30.

[5] 徐江峰，邵向陽. 基于HOOK API技術(shù)的進程監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[J]. 計算機工程與設(shè)計，2011（4）：1330-1333.

[6] 陳永建，朱娟，黎桂林. 基于WMI的實時監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[J]. 微計算機信息，2005（21）：52-54.

[7] 鐘偉，唐發(fā)根. 通用應(yīng)用系統(tǒng)性能評測環(huán)境的設(shè)計與實現(xiàn)[J].計算機應(yīng)用，2004（3）：141-144.

[8] 徐鯤，孫輝. Windows NT下對磁盤性能監(jiān)測的研究[J]. 計算機科學(xué)，2012（S3）：301-304.

[9] 白金榮，王俊峰，趙宗渠，等. 基于敏感Native API的惡意軟件檢測方法[J]. 計算機工程，2012（13）：9-12.

[10] 藍智靈，宋宇波，唐磊. 基于直接內(nèi)核對象操作的進程偽裝保護方法[J].東南大學(xué)學(xué)報：自然科學(xué)版，2013（1）：24-29.endprint