Nástroj pro kontrolu systémových volání pro Windows

Abstract

Tato práce se zabývá návrhem a implementací software, který umožní svým uživatelům detailně monitorovat a případně i pozměňovat chování procesů na operačních systémech Microsoft Windows 2000, XP a Server 2003. V předkládané podobě je software rozdělen do dvou hlavních částí. Systémová část se stará o interakci s jádrem operačního systému, ve kterém zachycuje systémové volání, jejichž další obsluhu pak nechává na externích modulech, pro které definuje jednoduché API. Nezbytnou součástí práce je tak i hlavní externí modul, který rozebírá jednotlivá volání a utváří detailní záznam o chování zvolených procesů. Samotný text práce pak obsahuje širší pojednání o problematice návrhu a implementace takového software, nabízí srovnání s jinými srovnatelnými nástroji a zmiňuje budoucí možnosti rozvoje tohoto díla. Součástí práce je i CD se zdrojovými kódy a funkční kompilací software. Software využívá část GNU C Library.

This thesis identifies issues of process monitoring on Windows NT operating systems family and describes our implementation of an infrastructure for process monitoring. The system comprises of a core component and user defined external modules. The kernel component hooks system functions and redirects calls to the external modules running in the user space. The core component dispatches the calls to user supplied external modules that take care of the call processing. The core component defines simple API for the external modules that does not require deep knowledge of kernel programming. Moreover, this architecture simplifies versioning of the external modules. It makes them independent of a particular kernel build as long as the Windows kernel API they are monitoring is preserved. The thesis also compares our work with similar existing software and outlines future directions of development. Source codes and an executable compilation of the software are available on the attached CD. The software uses a part of GNU C Library.