该论文提出了一种名为 LinkGuard 的轻量级运行时防护机制，用于防御 Windows 文件系统中的链接跟随攻击（link following attacks）。链接跟随攻击通常利用符号链接、硬链接或挂载点等文件系统机制，诱导高权限进程访问恶意构造的链接，从而实现权限提升或文件系统操作劫持。LinkGuard 的核心思想是在内核层维护文件系统的状态信息，包括文件对象、链接关系和进程上下文，从而在每次文件操作前实时判断是否涉及危险的链接跟随。它采用轻量级 hook 技术，仅对关键系统调用（如 CreateFile、NtCreateFile 等）进行监控，并通过状态机模型跟踪文件对象的历史状态，识别出可疑的链接切换行为。实验表明，LinkGuard 对常见链接跟随攻击（如 CVE-2018-8440、CVE-2020-0668 等）的检测率接近 100%，同时平均性能开销低于 5%，适用于生产环境。该工作主要贡献包括：1）提出状态感知的链接跟随攻击检测模型；2）设计并实现了低开销的内核模块；3）在真实漏洞样本上验证了有效性。