zhyjunFov的专栏

文件加载执行控制是程序白名单安全系统的技术基础，即在可执行文件(exe)，库文件(dll)加载入内存前的一种监控机制，为安全软件提供了一种对系统允许加载运行的程序进行白名单定制的机会。在windows平台下，该方案可以实现在应用层，也可以以设备驱动的形式实现在内核层。若实现在应用层，则需要对explorer.exe和cmd.exe两个系统进程进行运行时代码注入，以分别监控由图形界面和命令行启动的程

对于xp和32位win7系统，内核层文件加载执行控制主要是通过对系统服务描述符表(SSDT)进行hook来实现。在64位系统下，由于patchguard内核防护技术的存在，SSDT等关键的内核数据结构已无法被第三方驱动程序修改。patchguard技术在windows内核启动阶段开启安全定时器，并对SSDT等关键数据结构的完整性进行定期检查，一旦发现这些数据结构被修改，则立即转入紧急处理模式(多数