Статья посвящена особенностям функционирования пользовательских приложений и вопросам обнаружения вредоносных программ в операционных системах семейства Windows NT. Предложена функциональная модель системы динамического обнаружения разрушающих программных средств, основанная на анализе последовательностей вызовов Win32 API функций, выделяемых для каждого выполняющегося процесса.