随着Internet的迅速发展，网络安全问题显得日益突出。目前，网络上的攻击方式逐渐呈现出一些新特点，转为小规模的，针对特定用户和目的的攻击。另外一方面，仅仅依靠反病毒软件保护系统安全是不完善的。 当前网络恶意代码横行，对主机安全构成了很大的威胁。恶意代码通过修改可执行文件、注册表等系统文件窃取用户重要信息，这其中以可执行程序和动态链接库存在形式居多，因此我把系统进程的安全性管理作为主要研究内容。 本课题的目的是要实现一个能够检测系统全部进程的工具，对进程安全性进行定义，特别是针对某些恶意代码的隐藏进程的发现。检测方法是通过对系统服务进行拦截，编写自己的系统进程检测函数，找到系统进程与动态链接库文件之间的联系，从而达到保护主机安全的目的。 本文阐述了整个系统功能模块的总体框架，本框架包括进程过滤驱动模块和检测注册表过滤驱动模块。验证的主要内容包括用户态检测和内核态检测，检测的目标对象包括系统调用过程中涉及的重要模块的重要的系统服务，检测的流程是先对各个系统模块进行检测，用户态模块对输入地址表和代码段进行检测；内核态的模块执行代码段的检测，所有的模块检测完毕以后对重要的系统服务和注册表进行检测。 本文还详细阐述了各个部分的具体的实现技术。包括进程的枚举，对注册表进行钩挂与检测，对系统服务描述符表SSDT的检测，对中断描述符表IDT的检测，对输入地址表IAT的检测，实现进程与d11文件的关联，这些过程都需要用驱动程序进入内核，获取特定的指令来完成。