随着信息技术的发展,越来越多的人们加入到了互联网这个虚拟世界中来,然而网络给人们带来了最新、最快资讯的同时,也给广大网民带来了层出不穷的安全威胁。在网络应用终端,个人防火墙一直是国内外从事安全研究人员们关注的焦点,因为它能有效的监控主机上进程的网络行为,保护主机网络安全。本文对Windows平台下的网络驱动HOOK技术进行了讨论,并且详细描述了基于TDI HOOK和NDIS HOOK技术的个人防火墙的设计,实现了一个原型系统。首先,介绍了个人防火墙出现的背景,国内外个人防火墙的研究现状;深入分析了Windows平台下驱动HOOK技术,介绍了Windows操作系统的网络体系架构。其次,分析了WDM驱动程序架构及基本例程,详细描述了驱动对象、设备对象、文件对象和IRP结构,讨论了I/O堆栈与分层驱动的关系。最后,详细讨论了系统的设计及各个模块的实现,并对整个系统进行了功能测试和性能分析,接着,给出了整个论文的总结。在本课题中,作者参与了课题的理论研究与分析工作,并独立负责系统架构的设计和功能的实现。在系统的开发过程中采用了模块化、结构化的软件设计思想,提高了系统的可移植性。在实现技术上,采用了TDI层和NDIS层双层监控相结合的技术,实现对数据包的过滤和进程访问网络行为的监控,提高了准确性、安全性。在规则库构建上,提出了通过验证代码数字签名来构建白名单,自动更新规则库,引入学习模式来降低个人防火墙的误报率。整个系统由三个部分组成,分别是:用户交互界面EXE、用户态接口DLL和内核态实现过滤与规则管理的SYS。