随着信息化的深入发展,信息安全越来越被国内外所重视。Windows作为应用最广泛的操作系统,其安全问题备受关注。Windows传统的病毒查杀技术对未暴露的攻击缺乏有效的检测手段,而可信计算技术为解决此类安全问题提供了强有力的手段,被国内外重点研究。目前可信计算技术通过静态度量确保系统启动可信的研究已经趋于成熟,而通过动态度量确保系统运行可信的研究还存在一些不足。现有的动态度量在进程启动时缺少对引入文件的度量,在进程调用文件时缺少对文件调用关系的度量,在进程运行时缺少对执行流基准值的度量。基于以上问题,本文提出一种面向Windows进程的可信度量框架,主要研究工作如下:1、提出了一种进程启动度量方法。首先,该方法通过分析Windows进程启动过程设置合适的度量点,提高进程启动拦截的命中率;其次,通过可执行文件导入表或关键字匹配,静态获取引用文件列表,并把文件列表作为参数,使用进程启动策略算法生成基准值,确保进程启动相关文件不被恶意篡改;最后使用进程启动度量算法保证进程启动的可信。2、提出了一种进程文件调用关系度量方法。首先,该方法通过分析Windows进程文件调用过程设置合适的度量点,提高进程文件调用拦截的命中率;其次,把可执行文件和普通文件按照功能进行分类,通过关键字匹配静态获取可执行文件对其他文件的调用关系,并把这种关系作为参数,使用进程文件调用关系策略算法生成基准值,确保进程文件调用关系不被恶意篡改;最后使用进程文件调用关系度量算法保证进程文件调用关系的可信。3、提出了一种进程执行流度量方法。首先,该方法通过分析Windows进程映射到内存的过程设置合适的度量点,提高进程执行流修改拦截的命中率;其次,通过可执行文件重塑进程执行流,并把重塑的执行流作为参数,使用进程执行流策略算法生成基准值,确保进程执行流不被恶意篡改。最后使用进程执行流度量算法保证进程执行流的可信。4、实现进程可信度量框架(PTM)原型。首先,基于提出的进程启动度量方法、进程文件调用关系度量方法以及进程执行流度量方法,给出了PTM原型的设计思想、体系结构和执行流程;其次,在真实Windows7系统下部署了PTM原型;最后结果表明PTM可以有效检测程序的异常行为,保证系统的可信运行。