随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。随着网络使用范围的扩大,恶意代码的攻击目的,也由破坏能力炫耀转向了经济利益的获取和政治破坏的目的。特别的,当恶意程序在内网中对内网终端进行大规模感染的时候,它的破坏力和持久性就会成倍的增加。内网终端安全主要是针对系统消息的过滤及其处理,内网终端安全技术主要分为用户模式的消息过滤技术和内核模式的消息过滤技术。本文分别研究了用户模式的Windows钩子技术和内核模式中的文件过滤驱动以及磁盘过滤驱动,解决了内网终端安全面临最大的问题,即恶意程序防控问题,实现了内网终端安全中的系统固化和恶意程序检测,主要研究内容如下:1.研究并分析了在内网安全管理系统中,内网终端安全在针对恶意程序防控所涉及的两个方面,包括恶意程序的防护和恶意程序检测,并针对这两个方面各自分析了在高安全需求的内网中需要达到的要求。2.研究了 Windows驱动开发技术和磁盘过滤驱动技术,这其中,重点研究了三个关键性难题:在磁盘过滤驱动中得到磁盘物理文件扇区地址的问题、获取物理文件在系统中的簇列表的问题和文件的簇地址与扇区地址建立对应关系的问题,并在此研究基础上,实现了基于磁盘过滤驱动的操作系统固化方案,实现了磁盘与内存的注册表单向数据单向传递,从而避免了注册表重定向带来的注册表项链接破坏问题。3.研究了 Windows内核设备通信机制和文件系统过滤驱动技术,这其中,解决了在创建文件时文件系统过滤驱动如何获取准确的创建文件名称的问题、文件系统过滤驱动的派遣函数与完成函数不在同一线程导致缓冲区失效问题以及跨卷重命名文件时文件系统过滤驱动无法捕获到重命名消息的问题。并在此研究基础上,实现了基于文件系统过滤驱动的操作系统固化方案。4.提出了低漏检率的恶意程序检测方案。该方案利用Windows钩子技术提取程序的运行序列,并进行抽象化处理,以此为程序特征,减少了特征中冗余信息的含有量,并且创新的引入了原本是计算相似度的k-gram算法,将此算法的计算结果作为SVM分类算法输入,与其他利用SVM分类算法进行检测的方案相比,不仅降低了输入的向量维度提高了检测方案的计算效率,而且达到了漏检率最低为1.91%的效果。