智能主动防御系统

采取了拦截系统调用的方法，主要钩挂了SSDT表和Shadow SSDT表中的函数，把对这些函数的调用替换为调用我们自己定义的函数。

以下是SSDT表中钩挂的函数：

NtCreateSection，NtOpenProcess，NtTerminateProcess，NtCreateKey，NtDeleteKey，NtSetValueKey，NtDeleteValueKey，NtLoadDriver。

下面是Shadow SSDT表中钩挂的函数：

NtSetUserWindowsHookEx。

通过替换系统中的这些函数，来实现对一个程序的行为监控，并进行主动判断来检测病毒或者木马，其原理如图4所示。

　　图4 病毒主动防御原理

可以看到，应用层的软件都会经过我们拦截模块的过滤，然后把信息传给我们的用户接口。用户态程序主要用于显示程序执行时调用的函数，以及发现危险操作时进行告警。内核态的驱动程序主要用于信息的截获，以及分析处理，判断危险调用，然后通知用户。内核态程序和用户态程序采用了事件进行同步，因此可以实时的进行信息的传递，大大提高了效率，同时用一个缓冲区队列把实时信息传到用户态的程序。

用户态程序和内核态程序交互的示意图如图5所示。