В работе были исследованы особенности создания защищенной программной среды для запуска «недоверенного» программного обеспечения (это могут быть как заведомо вредоносные программы, так и программы с неизвестной функциональностью), и создана про­граммная реализация защищенной среды для операционных систем семейства WindowsNT.

Работа программы основана на следующих принципах. В опера­ционной системе пользовательские процессы не имеют непосредст­венного доступа к оборудованию, объектам операционной системы, системным таблицам и т. д., так как эти операции являются потенци­ально опасными для безопасности и стабильности системы. Эта ра­бота возложена на доверенный код самой операционной системы. Поэтому когда процессу необходимо, например, прочитать файл с диска, он обращается с соответствующим запросом к операционной системе. Эти запросы осуществляются через механизм системных вызовов (системных сервисов). Таким образом, для контроля над приложением достаточно контролировать выполнение его систем­ных вызовов. Существует множество методов слежения за систем­ными вызовами. В работе был использован способ замены адресов системных вызовов, являющихся функциями ядра операционной к истемы, в таблице системных вызовов, так как этот метод обеспе­чивает большую гибкость обработки системного вызова.

Разработанное программное обеспечение предоставляет сле­дующие возможности:

1. отслеживание потенциально опасных действий исследуемого приложения;
2. получение детальной информации о выполняемых приложе­нием действиях;
3. контроль над системными операциями приложения:

-       запрет операций,