Windows操作系统提供的安全机制虽然考虑到了普遍领域对安全的需求,但是却不能满足ATM等特殊领域对系统安全的更高要求。本文分析了Windows系统已有的安全机制,并在此基础上提出了对系统插入键盘、鼠标设备的拦截,对创建进程的审核,对修改文件、注册表的审核方法,以满足特殊领域的安全需要。本文所提出的解决方案在内核态中起作用,因此避免了很多现存的运行在用户态的方案潜在的问题。为了拦截系统使用键盘、鼠标设备,本文分析了系统启动过程,并修改了相关驱动,从而保证在系统启动时插入键盘、鼠标也能被拦截到;为了判断进程是否为恶意进程并杀死,本文分析了系统进程的创建过程,提出了拦截方法,并使用路径树模型审核进程的合法性,能保证恶意进程开始执行前被杀死;为了审核进程对文件、注册表的修改,本文分析了系统调用过程和修改文件、注册表相关的系统调用,并使用路径树模型来审核这些调用。在此基础上,实现了满足ATM的特殊安全需求的软件ZSecATM。在设计和实现ZSecATM时,充分考虑了不同版本的Windows系统的不同点,因此保证了其在Windows XP/7等版本上的兼容性。测试结果表明,ZSecATM能根据用户所配置的安全信息,拦截并成功拒绝对ATM上的资源的非法访问,保证了ATM的系统安全。在提出解决方案时,参阅了WRK版本的Windows源代码,所提出的解决方案不仅能用在ATM上,也能用于其他的安全场景,因此具有普遍意义。