随着互联网技术的飞速发展,网络安全变得日益重要。特洛伊木马是网络攻防战争和计算机取证中的一个重要组成部分。只有穿透文件系统过滤层,才能在装有文件系统过滤驱动的系统中写入木马程序,并使该木马程序不被还原系统还原。因此,研究文件系统过滤层穿透技术,对于特定环境下的应用具有重要的理论意义和实用价值。基于相关技术,构建了一个能穿透系统还原和躲避病毒防火墙的文件系统过滤层穿透系统FSFLP(File System Filter Layer Pass-through)。围绕FSFLP系统的设计目标和设计原则,阐明了FSFLP系统的总体架构和各主要功能模块的设计思想。探讨了驱动文件的释放与加载;说明了系统感染模块设计的基本思路并给出了系统感染模块的处理流程;对驱动程序的设计进行了讨论。FSFLP采用驱动程序的方式进入内核工作模式,根据资源项数据组织方式搜索资源数据,通过直接读写磁盘文件达到躲避文件保护系统监控的目的,再结合其他技术,如网络文件下载、可执行文件运行即可形成一个完整有效的文件系统过滤层穿透系统。在FSFLP总体设计的基础上,重点阐述了其中关键技术的实现途径,包括物理定位磁盘文件和内核态释放资源文件以及文件系统过滤层穿透,并给出了在用户态释放资源文件、加载驱动、下载网络文件,以及运行可执行文件的实现细节。实际运行结果表明,FSFLP可以穿透文件系统过滤层,能成功避免部分杀毒软件的监控,能隐蔽覆盖可被替换的系统文件且不被还原系统还原。