目录
开发目的 2
系统特性 4
一. 使用RootiKit技术，精确拦截木马，曝光恶意行为 4
二. 提供详细行为描述信息，帮助用户判断 4
三. 云安全概念融入，精确判断文件安全级别 4
四. 支持白名单、黑名单，引入云规则，减少提醒 4
五. 多模块相互配合，将木马及其衍生物一网打尽 4
使用说明 5
安装服务与启动监控 5
停止监控与停止服务 6
系统设计与架构 7
开发环境 7
系统结构 7
系统流程 8
系统原理 9
一.  Hook SSDT 9
二．监视进程创建和销毁原理 14
三．监视注册表修改/创建原理 22
三．监视文件修改/创建原理 28
四．内存映射监控原理 33
五．云安全模块原理 35
六．规则动态加载原理 36
性能与测试 38
一. 进程监控测试 38
二. 注册表监控测试 42
三. 文件监控测试 46
四. 内存加载监控测试 49
参考文献： 51

系统设计与架构
开发环境
本系统应用层采用Visual Studio 2008(C++)开发，驱动层开发环境为WDK 6001.18002、Notepad++，测试环境为VMware 6.0、Windows Xp Sp3。
系统结构
病毒在计算机运行之后将根据自身的目的呈现出一系列的动作，包括写注册表项，生成文件，远程线程注入等等。本系统通过拦截系统调用对程序行为进行监控，将监控的行为信息交给监控中心和网络服务器分析处理，根据程序行为分析判断病毒，云安全概念的加入，本地特征库极小，占用系统资源很少。本系统设想根据这一系列的动作所组成的行为进行智能的逻辑判断该程序是不是病毒。
本系统结构示意图：
卓然驱动级云安全主动防御系统结构示意图
系统流程
本系统分为六大模块：进程监控模块、注册表监控模块、内存加载监控模块、文件创建加载模块、云安全模块、安全监控中心模块。