但这种方法在拦截模块导出函数的时并不适用。如前所述，模块在加载的过程中会使用核心符号表中的信息对引用的函数和变量进行重定向。这种访问是一次性的。系统在内核级中执行时，访问了大量的寄存器，而很多寄存器值是由上层调用者提供的。如果改变这些寄存器值。系统会变得不稳定。很可能出现不可预料的后果。

　　因此使用hook函数的最佳原则是：在hook函数中调用原函数时。所有寄存器的值与被hook前的信息一样普通的C函数调用都提供了函数堆栈切换操作。而在funl和fun2中要使用原函数的堆栈来获取传人的参数地址。因此这两个函数必须用汇编语言编写这里分析一下拦截代码的稳定性在整个操作系统运行期间。系统服务会经常被调用。当一个进程调用了被hook的系统服务。这时如果发生了进程切换，则另一个进程再次调用相同的系统服务时。就会出现此次调用没有被hook的情况虽然可以通过关闭中断方法加以避免。但对系统性能影响比较大USB子系统的数据传输通常不是提交一次URB就能完成的。

　　偶尔漏掉了一个URB并不会影响对数据传输的禁用效果。所以这里完全可以忽略这种情况在实际的测试和使用中没有出现禁用失效的情况。

　　三、监控系统应用价值与基本方法

　　监控系统在已有研究成果的基础之上，对误差控制、大块数据处理、地形简化等算法和实现技术进行了改进。包围盒进行LOD误差处理，大大地提高了算法的效率，该算法已经应用到研制的某卫星网管仿真测试系统中，取得了良好的效果。算法使用的是存储在本地的地形数据，未来有可能通过网络使用实时的真实地形数据，此时内存映射文件将失效，因此需要进一步考虑如何有效地加载和传输来自网络的数据，从而实时显示真实的地形。另外，使用C++语言实现算法和地形显示，可以进一步提高软件的效率。基于USB的CAN总线系统监控平台的开发成功，为CAN总线控制系统的开发、调试和诊断提供了得力工具。无论在实验室还是在工业现场，开发人员都可方便地将CAN网络与计算机互联，实时监控系统的总线状态。以此为基础，今后还将进一步完善其上位机应用程序，丰富其监控的现场总线种类，使其成为基于CAN的多种现场总线的监控平台。

　　USB（universalserialbus）通用串行总线，是由Intel、康柏、微软和NEC等公司共同推出的串行接口。它支持即插即用和带电热插拔，占用的系统资源少，不会出现与其它外设资源冲突的情况，软件安装也很方便；其通信速度为1。5、12和480Mb/s，突破了传统计算机串行通信接口（如RS一232）与高速外设进行数据传输时的速度“瓶颈”；接口还可以提供最大5V/500mA的总线电源，小型USB设备无需外扩电源，简化电路设计。USB接口已经成为PC的标准接口。为了便于携带使用，在下位桥接器设计中均采用体积小、功耗低的平面封装器件，这可以减小体积、充分利用USB总线供电。另外，在下位桥接器设计中还设计了数据缓冲和CAN总线通信错误识别功能，这样可以进一步避免系统监控数据的丢失，并且能在CAN总线通信出错时提供详细的状态记录信息，提高平台的监控性能。

　　一个USB设备插入到计算机USB端口上时，操作系统硬件管理程序将会发现设备，然后查找该设备的驱动程序是否存在，如果存在，系统加载驱动程序，然后给USB设备分配盘符等。

　　从上面的分析中可以知道，如果要阻止USB设备在计算机上使用，至少有两个方法可以使用：

　　第一种方法是修改设备驱动程序，在设备驱动程序里面加入对设备进行判断的代码，从而阻止非授权USB设备在系统上的识别；第二种方法是不修改驱动程序，而在USB设备枚举完成后，立即把设备卸载，从而在系统中无法使用该设备。

　　上面两种方法中，第一种需要熟悉驱动程序开发技术，难度比较大；第二种原理比较简单，实现起来也相对容易。本文将采用第二种方法。第二种方法的原理是：当插入USB存储设备时，应该立即获取该USB设备的信息，然后判断这些信息是否是经过授权的，如果非法，立即调用卸载函数卸载该USB设备。系统可以分为三部分：USB存储设备的检测、USB设备信息的读取判断、设备的卸载。

　　四、小结

　　总之，面向端系统的行为安全监控系统是针对Windows平台的。随着Windows平台在电子政务中的日益广泛应用。面向Windows平台的行为安全监控系统将具有广泛的应用前景，课题设计提出的USB设备监控技术不仅可以对USB设备行为进行有效监控。还同样适用于对并口设备及光驱类设备进行监控。具有普遍的指导意义。此课题具有可以成功解决保密要求较高的个人和单位只能在物理上禁用USB端口、使用不灵活的问题。软件关键功能的实现，可优先监控到USB储存设备，不易被恶意程序绕过，软件资源的占有率低等优点。