（1）window系统的注册表的监控，例如是否有key的改动或新key的建立；

（2）文件系统更改的监控，如文件的创建或删除；

（3）进程结构中进程创建或销毁的监控。

高交互的客户端蜜罐的科研型产品有Honeyclient、Honey-monkey、UW.Honeyclient通过监视一系列的文件、目录和系统配置文件的状态来判断是否受到攻击，当Honeyclient和服务器交互后，其监视的内容状态如果发生改变，则认为收到攻击。Honey-monkey也是通过监视一系列的可执行文件盒注册表条目的状态变化来确定是否首受到入侵的，不过Honey-monkey更进一步，它在指令系统中加入监视子进程来检测客户端攻击。UW clinet蜜罐利用文件活动、进程创建、注册表活动事件的triger一级浏览器的crasher来确定客户端攻击。

3.2.4高交互客户端蜜罐Capture-HPC

目前高交互客户端蜜罐最具前沿性和代表性的产品为Capture-HPC.其主要使用于检测driver-by-downloads类型的恶意网站服务器，即该类型的网站在未经用户同意的情况下改变客户端系统转改，能够在用户不知情的情况下控制客户端机器并安装恶意软件、木马等。对于检测如钓鱼网站等获取用户铭感信息的恶意网站Capture-HPC则不太适合。

客户端铭感运行在VMware虚拟机上.如果有未授权状态的改变，即受到恶意网页攻击时，其攻击事件会被记录下来，在与下一个王志艳服务器交互之前虚拟机会将铭感的状态重置到原始状态。

（1）结构体系

高交互客户端铭感架构主要分为两个部分Capture服务器和Capture客户端，Capture服务器的作用主要是控制众多Capture客户端，其能安装于多种VMware服务环境和多种客户环境.Capture服务器可启动和停止客户端，命令客户端和Web服务器交互得到特定的URL。它还可以讲与Capture客户端监护的Web服务器信息分类并汇总.完成实际工作的则是Capture客户端。它们接受服务端的指令开始或停止，选择一种浏览器访问Web服务器。作为一个与Web服务器交互的Capture客户端，它要监视来授权状态的改变并将信息发回到Capture服务器.一旦怀疑是恶意的，在客户端访问下一个服务器前，Capture服务器就会将其客户端的系统状态充值到原始状态。

（2）关键技术

Capture服务器采用简单TCP/IP协议作为服务听信协议来管理Capture客户端，VMware服务器则长官运行在Capture客户端上的客户操作系统。Capture服务器将其接收到的URL以循环的方式分配给有效的客户端，然后Capture服务器在某个特定的端口（如7070）上监听连接到Server上的客户端。

Capture客户端由两部分组成：Capture内核驱动和Capture用户空间进程.内核驱动部分在内核空间运行却是用基于事件探测的机制来监视系统状态的改变，而用户控件进程则接受来自Capture服务器的访问请求，驱动客户端与Web服务器进行交互并将客户端系统状态的改变情况由简单TCP/IP协议传回给Capture服务器.用户空间进程从内核驱动补货状态的改变时间同时将在排除列表中对事件进行过滤掉。

恶意代码防范的基本措施3

1目的

为了加强公司信息安全保障能力，规范公司恶意代码防范的安全管理，加强对公司设备恶意代码的防护，特制订本制度。

2适用范围

本制度适用于公司防病毒和防恶意代码管理工作。

3职责

由信息中心负责公司恶意代码防范的日常管理工作。

各计算机系统使用人负责本机防病毒工作。

4恶意代码防范日常管理

4.1恶意代码防范检查

4.1.1信息中心负责定期对公司防恶意代码工作进行监督检查。

4.1.2公司接入网络的计算机，必须统一安装联网杀毒软件。杀毒软件安装完毕应进行正确的配置，开启实时防护功能，开启自动升级软件和病毒库的功能。

4.1.3不能联网的计算机应由安全管理员负责安装杀毒软件，并定期对病毒库进行升级。

4.2恶意代码防范系统使用

4.2.1信息中心定期对公司的恶意代码防范工作进行检查，由安全管理员定期进行恶意代码查杀，并填写《恶意代码检测记录表》。

4.2.2安全管理员定期检查信息系统内各种产品恶意代码库的升级情况并填写《恶意代码防范软件升级记录表》，对恶意代码防范产品截获的恶意代码及时进行分析处理，并形成书面的分析报告。

4.2.3信息中心定期对恶意代码防范产品进行测试，保证恶意代码防范产品的有效性。

4.2.4终端用户要学会杀毒软件的安装和使用，不能自行停用或卸载杀毒软件，不能随意修改杀毒软件的配置信息，并及时安装系统升级补丁。

4.2.5公司员工从网上下载文件和接收文件时，应确保杀毒软件的实时防护功能已开启。

4.2.6公司员工在使用计算机读取移动存储设备时，应先进行恶意代码检查。

4.2.7因业务需要使用外来计算机或存储设备时，需先进行恶意代码检查。移动存储设备需接入杀毒专用计算机进行恶意代码检测，确定设备无毒后才能接入公司网络。

4.2.8公司员工应提高恶意代码防范意识，应从正规渠道下载和安装软件，不下载和运行来历不明的程序。收到来历不明的邮件时，不要随意打开邮件中的链接或附件。

4.2.9部门新增计算机在安装恶意代码防范软件时，需经过信息中心的授权后才能安装和使用。

4.2.10各部门安装的外购软件和自行开发的软件都必须由信息中心测试其安全性，经确认后方可安装。

4.3恶意代码防范培训

4.3.1信息中心定期组织各部门进行恶意代码防范工作培训，提高公司员工的恶意代码防范意识和安全技能。

4.4恶意代码应急处置

4.4.1当部门计算机发现有恶意代码入侵时，员工需立即断网，并第一时间通知信息中心，由信息中心进行处理。