随着网络的迅速普及和发展,信息安全日益重要。文件作为计算机的重要组织和处理单位,其安全性至关重要。除此之外,数据库、注册表的安全性也非常重要。对文件系统、数据库、注册表的监控,在防止文件、数据库、注册表被恶意篡改上有重要的意义。现有文件系统监控多为Windows普通应用程序,通过挂钩实现,效率不够高,且监控信息不够全面;通过内核驱动程序实现的文件监控得到的监控信息冗余较多,从底层监控到的大量的信息中,提取识别出上层文件实际操作较为困难。目前国内外的企业和组织对于此方面的研究是不公开的。所以研究监控效率更高、监控信息更全面的文件系统的监控有重要的意义。为了解决文件监控效率不够高、监控信息不准确的问题,我们根据已有驱动层文件监控相关理论,建立识别上层实际文件操作的模型。通过实验、修正模型、验证的方法,不断改进模型,并开发出带有识别模型的驱动层文件监控系统。本文主要研究了Windows驱动层文件监控的相关理论和技术,包括:驱动层文件监控的原理和操作系统中相关的内部结构;底层截获消息与上层文件操作识别模型;驱动程序与应用程序的通信;驱动层文件监控与上层实现文件监控的比较。并介绍了所开发系统的整体功能和框架结构,重点给出了实时监控子系统、管理子系统的设计和实现,所开发系统实时监控用户对指定项目软件的变更过程(如用户对项目软件文件的新增,修改,删除,覆盖等),记录该用户对软件系统的变更操作信息,形成监控日志和版本配置管理文档,并对监控到的日志和版本文件进行管理。此外还介绍了系统其他模块的大概原理和功能。本文给出的带有识别模型的驱动层文件监控系统,能高效、准确的进行文件监控,对保护Windows系统里的重要信息具有重要的意义,可以用于监控和保护重要数据。