本文介绍一个以防木马为主的个人防火墙.在深入研究APIHOOK(Application Programming Interface HOOK)技术及其实现,并综合各种木马的行为特征的基础上构建防火墙.该防火墙的原理是借助APIHOOK技术用我们自己编写的DLL函数替代部分系统函数.新的函数实现了注册表监视,文件监视,网络监视和其他高级操作的监视.只有防火墙允许的操作才能进行.这样就在操作系统和应用程序之间建立了一个隔离防护层.它监视每一个程序的行为包括程序的安装行为,一旦发现类似木马的行为,就会根据用户可定制的规则实时做出反应,从而使用户能够避免因为运行带木马的程序而不知不觉中木马的情况发生.该防火墙能详细记录程序的行为.因此高级用户还可以用它来分析木马.由于该防火墙是针对木马行为特征的,因此其优点是可以预防目前一般防火墙不能预防的未知木马和新一代木马.实际的木马攻击试验证明,该防火墙能够很好地预防木马.