基于文件过滤驱动的移动存储介质读写控制
文件加密解密算法研究与实现——基于USBKEY的文件加密解密方案
上海交通大学硕士学位论文文件加密解密算法研究与实现——基于USBKEY的文件加密解密方案姓名:丁晨骊申请学位级别:硕士专业:计算机技术指导教师:邱卫东;沈亦路20091201文件加密解密算法研究与实现——基于USBKEY的文件加密解密方案摘 要随着信息社会的到来,人们在享受信息资源所带来的巨大便利的同时,也面临着信息安全问题的严峻考验。
如何实现对企业重要信息的加密,防止企业机密信息的泄漏,提高内部机要文件存放的安全性,是当前信息安全领域的一个重要课题。
本文的主要研究内容是文件加密系统的解决方案中文件的加密算法和密钥管理。
首先,论文对现有四种加密方式进行了深入研究,详细分析了这四种加密方式在使用技术、密钥管理及安全强度方面的优缺点及其具体适用环境。
对现有文件加密系统方案的合理性进行了评估、分析和比较。
其次,本文提出了一种安全有效的文件加密方案,其中主要工作有两大部分:1.针对原使用加密算法单一,加密强度不高进行了改进,并基于混合型加密原理作为本文提出文件加密方案的主要手段。
与改进前相比,新方案在文件加密强度上有了较大的提高,消除了原加密体制存在的诸多安全威胁。
2.设计了独立的密钥管理系统,将密钥管理和密码钥匙盘(USBKEY)相结合,在抗模拟接口、抗跟踪软件能力上有很大的提高,将密钥和密文彻底分离,大大提高了密钥的安全性。
最后本文对所提出的加密系统的内存加密数据速度以及文件加密速度进行了测试。
分别将一个文件631KB和3MB的文件进行了加解密的测试,测试结果表明本文提出的文件加密系统具有较好的性能,具有较大的实用性。
关键词:密码体制;DES;RSA;USB;加密;ABSTRACTWith the advent of the information society, people enjoying the tremendous information resources to facilitate the same time, also faces a severe test of information security issues. How to achieve business critical information on encryption, to prevent enterprises from the leakage of confidential information to improve the security of internal confidential document repository, and is the current information security is an important issue.The main research contents of this file encryption system, the solution file encryption algorithm and key management. First, the papers on the existing four kinds of encryption methods conducted in-depth research, detailed analysis of these four kinds of encryption methods in the use of technology, key management and security strength of the strengths and weaknesses and their practical application in the environment. On the existing file encryption system, the rationality of the program were assessed, analysis and comparison.Secondly, this paper presents a safe and effective file encryption program, which has two main parts: 1. For the original use of a single encryption algorithm, encryption is not high intensity has been improved, and is based on principles of hybrid encryption file encryption program, as proposed in this paper the principal means. And improved compared to before the new package file encryption intensity has been greatly improved, eliminating many of the original encryption system, there is a security threat. 2. Designed to separate key management system, key management and cryptographic keys, disk (USBKEY) combined in the anti-analog interface, the ability of anti-tracking software have greatly improved, would be key and cyphertext complete separation, greatly increased of the key security.Finally, the paper for the proposed encryption system to encrypt data rate memory, as well as file encryption speed tested. , Respectively, a 631KB file, and 3MB of file encryption and decryption of the test, the test results show that the file encryption system proposed in this paper has good performance, with great practicality.Keywords: cryptography; DES; RSA; USB; encryption第一章 绪 论1.1立题的意义由于公司经常有一些商业电子文档,要对这些商业文档进行保密。
存储介质读写权限控制方法
存储介质读写权限控制方法
存储介质的读写权限控制方法主要包括以下几种:
1. 文件系统权限控制,操作系统通过文件系统来管理存储介质
上的文件和目录,可以通过文件系统的权限控制机制来限制对文件
的读写操作。
常见的权限包括读取(R)、写入(W)和执行(X)权限,可以分别针对文件的所有者、所属组和其他用户进行设置。
通
过设定不同的权限,可以实现对存储介质的读写权限控制。
2. 访问控制列表(ACL),ACL是一种更为灵活的权限控制方式,它允许管理员为特定的文件或目录设置个别用户或用户组的访
问权限。
相比传统的文件系统权限控制,ACL可以更精细地控制不
同用户对存储介质的读写权限。
3. 加密存储介质,对存储介质进行加密可以有效地控制读写权限。
只有经过授权的用户或设备才能解密存储介质并进行读写操作,从而保护存储介质中的数据不被未经授权的访问。
4. 安全策略和访问控制,在企业环境中,可以通过安全策略和
访问控制来管理存储介质的读写权限。
例如,可以通过身份验证和
授权机制来限制用户对存储介质的访问,确保只有经过授权的用户
可以进行读写操作。
5. 物理访问控制,对于一些对数据安全要求非常高的场景,还
可以通过物理手段来控制存储介质的读写权限,例如通过指纹识别、智能卡等技术来限制对存储介质的物理访问。
综上所述,存储介质的读写权限控制方法涵盖了文件系统权限
控制、ACL、加密存储介质、安全策略和访问控制以及物理访问控制
等多种方式,可以根据实际需求选择合适的方法来保护存储介质中
的数据安全。
基于文件过滤的移动存储设备实时监控系统设计与实现
基于文件过滤的移动存储设备实时监控系统设计与实现张军伟, 罗 红, 乔向东(空军工程大学 电讯工程学院,陕西 西安 710077)【摘 要】针对Windows NT/2000/2003/XP系列操作系统,设计和实现了一种基于文件过滤驱动的移动存储设备实时监控系统。
该系统能够实时捕获移动存储设备的安装,控制并记录移动存储设备的数据读、写操作,可实现对关键文件的授权访问,能阻止从移动存储设备启动可执行程序,从而有效阻断轮渡类木马程序的自动运行,从而保护内部网络安全。
【关键词】文件过滤驱动;移动存储设备;USB;文件监控【中图分类号】TP309【文献标识码】A【文章编号】1002-0802(2009)02-0283-03 A Real-time Removable Storage Device Monitor Based on File Filter DriverZHANG Jun-wei,LUO Hong,QIAO Xiang-dong(College of Telecommunication Engineering, Air Force Engineering University, Xi’an Shaanxi 710077,China)【Abstract】For Windows NT/2000/2003/XP operating system, the design and implementation of removable storage device real-time monitor system based on file system filter driver is described in this paper. The monitor can find installation of the removable device, control and record access operation between computer and removable storage device, provide a authorized access to the critical files and hold in the process initiated from removable storage device. It can thus keep away such malicious program as the ferry Trojan and protect the internal network.【Key words】File Filter Driver;Removable Storage Device;USB;File Monitor0 引言随着采用USB接口的移动存储设备被日益广泛使用,人们不但利用移动存储设备(如U盘、移动硬盘)存储信息,而且还经常利用它们进行计算机之间的信息交换。
基于WDF过滤驱动的USB存储设备监控系统
但是因为设备的初次接入和后续接人pnp请求过程的不同我们选择资源查询请求作为设备接入的标志并进行设备类型的判断和策略匹配如果设备控制策略显示为禁用则在过滤驱动中直接完成后续的startdece请求并返回状态statusunsuccessful
CN4321258/ TP ISSN 10072130X
邹敬轩 ,蔡皖东 ZOU Jing2xuan ,CAI Wan2dong ( 西北工业大学计算机学院 ,陕西 西安 710129) ( School of Computer Science , Northwestern Polytechnic University , Xi’an 710129 ,China)
p rinciple of t he WDF driver model and t he filter driver technology ,and design and implement a U SB storage monito ring sys2
tem. Test shows t hat t he system can cont rol t he use of t he U SB storage device effectively in a multiple operating system In2
过滤驱动来实现文件访问控制
过 滤驱 动 原 理 , 提 出 了利 用 系 统 过 滤 的 方 式 实现 文件 系统 安 全 的 方 案 。 并
【 键词】 过滤驱动 , 关 : 文件 系统 , 问 控 制 访
1 引 言 、
备 栈 中 。 备 栈 是 一 组 设 备 对 象 。 些 设 备 是 相互 关 联 的 。 设 这 任何
_ 制 .这 种 非 常 可 靠 .不 过 要 求 程 序 员 必 须 对 Wid 、 的 系 统 机 23缓 存 管 理 器 n oV S 缓 存管 理器 是一 组 内 核模 式 的 函 数 和 系 统 线 程 .他 们 与 内 制 . 行 流 程 . 个 子 系 统 , 块 等 有 比较 深 的 了解 运 各 模 存 管 理 器 协 同工 作 . 所 有 的 Wid W 文 件 系统 驱 动程 序 ( 地 为 noS 本 2 文 件 系统 驱 动 程 序 结 构 S S 提 文 件 系 统 驱 动 程 序 ( S ) 理 文 件 系 统 格 式 虽 然 F D 运 F D 和 网络 F D) 供 了 数 据 缓 存 的 能 力 FD管 S
随 着 计 算 机 的 大 规模 使 用 及互 联 网 的 日益 普 及 .计 算 机 系 来 自应 用 的 请 求 ,最 终 被 Widw O管 理 器 翻 译 成 i n o sI / r p的 , 总 统 的 安全 问题 越 来 越 受 到 关 注 。 文 件 作 为 计 算 机 数 据 的 载 体 . 是 发送 给 设 备栈 的顶 端 那 个 设 备 。 而
一
r 从 设 备 栈 的 顶 端 开 始 的 . 步 向 下 发 送 。D v o ne p是 逐 eV l l u 为 了 提 高 文件 系统 的安 全 性 . 目前 研 究 比 较 多 的 是 实 现 文 可 见 i 件 访 问控 制 。要 完 全 实 现 对 文 件 访 问 的控 制 , 有 两 种方 法 。 只 第 表 示 我 们 实 际 要 过 滤 的 Vo me设 备 . e T D表 示 这 个 设 备 栈 l u D vo 那 种 是通 过 Wid W 提供 的 A I 数 来 实 现 .这 种 方 法 比较 容 的顶 端 我 们 只 要 在 这 个 设 备 栈 的 顶 端 再 绑 定 一 个 设 备 . 发 送 nO S P 函 o n u e的 请 求 . 自然会 先 发 给我 们 的 设 备 来 处 理 。 易 . 是 存 在 着致 命 的缺 陷 。 二 种 方 法 则 是 利 用 系统 驱 动 的 机 给 V li 但 第
一种基于文件过滤驱动的Windows文件安全保护方案
收稿日期:2008-07-10;修回日期:2008-09-16。
基金项目:国家自然科学基金资助项目(60873024);湖北省教育厅重点研究项目(D2*******)。
作者简介:胡宏银(1972-),男,湖北大悟人,讲师,硕士,主要研究方向:软件工程、信息安全; 姚峰(1976-),男,山西大同人,讲师,硕士,主要研究方向:软件工程; 何成万(1967-),男,湖北荆门人,副教授,博士,主要研究方向:软件工程。
文章编号:1001-9081(2009)01-0168-04一种基于文件过滤驱动的W indo ws 文件安全保护方案胡宏银,姚 峰,何成万(武汉工程大学计算机科学与工程学院,武汉430073)(huhongyin@hot m ail .com )摘 要:针对提高文件安全级别需要较高安全成本问题,提出了一种低成本高安全的W indows 文件保护方法。
该方法采用W indows NT 驱动框架,基于文件系统过滤驱动技术实现对文件进行透明加解密。
文件内容用快速的对称算法加密,并且一文件一密钥。
文件密钥用安全性更高的非对称算法加密,加密密钥保存于专用密钥文件中,用户私钥存放在密钥U 盘里。
在此基础上,提出了一种文件安全共享的方法。
分析和应用表明,该方案在增加较少硬件成本基础上,可有效保护存储设备遗失或被盗、管理员密码被破解、文件共享时的文件安全。
关键词:文件系统过滤驱动;对称加密算法;非对称加密算法;密钥文件;加密文件共享中图分类号:TP309 文献标志码:ASoluti on of W i n dows f iles secur ity protecti on ba sed on f ile system f ilter dr i verHU Hong 2yin,Y AO Feng,HE Cheng 2wan(School of Co m puter Science and Engineering,W uhan Institute of Technology,W uhan Hubei 430073,China )Abstract:I n order t o s olve the p r oble m that enhancing files security needs high cost,a s oluti on t o W indows files security p r otecti on with l ow cost was p r oposed .It was based on W indows NT driver and file system filter driver t o encryp t and decryp t the files .File content was encryp ted with fast sy mmetrical encryp ti on algorith m,and every file had one encryp ti on key .File encryp ti on key was encryp ted with safer asy mmetrical encryp ti on algorith m,and encryp ted encryp ti on key was saved in the encryp ti on key file .Thr ough st oring the p rivate key in the U disk,the syste m security was enhanced .Additi onally,a method of encryp ted file share was intr oduced int o this paper .Analysis and app licati on results show that when the me mory is l ost,ad m inistrat or pass word is cracked and files are shared,and the s oluti on can enhance file security with l ow cost .Key words:file syste m filter driver;sy mmetrical encryp ti on algorith m;asy mmetrical encryp ti on algorith m;encryp ti on key file;encryp ted file share0 引言计算机和网络的普及使得计算机中文件的安全性成为关注的焦点和研究的热点。
基于文件系统过滤驱动的信息安全防护技术研究
1引言
随 着计算机 的普及和技 术的不断发 展 , 目 前安全 形势 日益 严峻 , 管敏感部 门内网采用 尽 了理论 上安 全 性最 高 的物理 隔 离 , 但在 现 实 中 , 盘 滥 用 、违 规 上 网、非 法接 入 、木 马 u 泛 滥等 各种安 全事 件时 刻威 胁着各 组织 单位 内部 涉 密信 息 的 安全 。 比如 各种 U 盘 、移 动硬盘 随着应 用得越 来 越广 泛 , 很容 易感 染 上轮 渡 木马 等恶 意软 件, 因此需要对 U B S 移动存储 设备的文件操 作 行 为进 行 监 控 。 从 数据 自身安全性来说 , 府及军队等安 政 全部 门的电子文档需 要严格管理 , 现在缺少 但 有效的技 术手段 , 各种 明文的电子文档很 容易 造 成失泄 密 。因此需 要加 密保 护敏 感 电子 文 档, 以保证这些 电子文档的 阅读 者在没有得 到 授 权的 情况 下 无法 打开 这些 电子文 档 。 另外对数 据 构成 破坏 威胁 的主要 是 文件 型病毒 , 特点是 寄生在 计算 机文 件系统 内 。 其
Байду номын сангаас
义 了如 何进行处理 各种 I O 操作 。整 个 I O / /
子系统是包驱 动的 , 大多数的输 入输 出请求 绝 都 是使用 I 0请求包( O R q et P c e , / I e us ak t / I ) RP 来传递的 。I P在 I O子 系统 的各个部 R / 件 中间 运动 , 请求 传递 到合 适的地 方 把 在 文件系统架 构中 , 最底层的是文件 系统 驱 动程序( S , 它上面有一 系列的文件 系 F D)在 统过滤 驱动程 序( i y tm Fl rD v r, FW S s i e r e) e t i 每 当应 用程序发起一 个对于文件 的操作时 , 通 过一 个陷阱指令 ( E 将处理 器模 式提 I NT 2 H) 升 到 r n 0 从 而完成 从用 户态 进入 内核态 。 ig , I0 / 管理 器检查数据 存取 合法性 之后 , 造一 构 个 I P MJ RE R ~ — AD的 I 0 / 请求 包( P , I )并送 R 到文件 系统驱动程序 的入 口点 , 文件 系统 等各 层驱动程序 传递并处理 I , RP 最后将结果通 过
Windows系统中基于文件过滤驱动的文件动态访问控制技术研究
Windows系统中基于文件过滤驱动的文件动态访问控制技术研究作者:李珠峰来源:《电脑知识与技术》2012年第09期摘要:该文对Windows系统下基于文件过滤驱动的文件动态访问控制技术进行了研究。
并对其实现的关键技术进行了详细的分析。
通过该技术可以有效的保护文件避免非授权的访问。
从而更为有效的保护信息资源安全。
关键词:文件过滤驱动;截获;输入输出请求包;动态访问控制中图分类号:TP316文献标识码:A文章编号:1009-3044(2012)09-2045-03Research on the Technology of Dynamically Access Control Based on File Filter Driver in Windows SystemLI Zhu-feng(PLA University of Foreign Languages,Luoyang 471003,China)Abstract: The research on dynamically access control based on file driver in Windows system was introduced in this article. and also the key technology was analyzed in detail. with this technology we can protect files from unauthorized accessing more effectively.Thus to protect the security of information resource.Key words: file filter driver; intercept; IRP; dynamically access control目前,随着技术的不断发展,基于计算机网络进行的攻击行为严重的威胁到了信息的安全,特别是非授权用户在入侵至目标主机之后通过各种技术手段提升自己的权限从而对目标主机内的敏感文件具备了相应的访问权限,导致了信息机密性被破坏。
基于文件系统过滤驱动的内核Rootkit隐藏技术
第31卷第3期吉首大学学报(自然科学版)Vol.31No .32010年5月Journ al of Ji shou Universit y (Nat ural Science Edit ion)May 2010文章编号:10072985(2010)03004304基于文件系统过滤驱动的内核Rootkit 隐藏技术*侯春明,刘林(吉首大学物理科学与信息工程学院,湖南吉首416000)摘要:Rootkit 是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit 对文件隐藏的实现,并讨论了针对Root kit 隐藏的检测技术.关键词:文件系统;Rootkit;过滤驱动;隐藏中图分类号:T P316文献标志码:A随着信息技术的飞速发展,以窃取计算机控制权和敏感信息为目标的程序迅速增加.Rootkit 是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码[1].Rootkit 能在目标计算机中长期潜伏,窃取信息而不被察觉,因此在计算机战争、间谍、反计算机犯罪、证据收集等领域得到广泛应用,同时也被计算机病毒、木马、恶意软件等恶意代码使用者用来实现计算机的恶意控制.控制者一旦获得操作系统的控制权限,种植了Rootkit,它就能维护一个后门,允许控制者一直以管理员权限控制系统,并且通过隐藏文件、进程、注册表项、端口等来隐藏攻击行为,从而逃避用户和安全软件的检测[2].隐蔽性是Rootkit 的最大特性,而文件系统是Rootkit 应用的重要领域.许多Rootkit 需要在文件系统中存储文件,并且要求这些文件实现隐藏.Rootkit 的文件隐藏技术有2种:利用钩子技术实现文件隐藏,这种方法效率低;利用文件系统过滤驱动技术,效率高,可靠性强.利用文件系统过滤驱动技术来实现Ro otkit 的文件隐藏,成为当前Windows 操作系统内核信息安全领域的热点.1文件系统过滤驱动工作原理1.1Windo ws 文件系统驱动文件系统驱动程序是存储管理子系统的一个组件,为用户提供在持久性介质上存储和读取信息的功能,可以创建、修改和删除文件,同时可以安全可控地在用户之间共享和传输信息,并以适当的方式向应用程序提供结构化的文件内容[3].用户应用程序对磁盘上的文件进行的各种操作,如创建、打开、关闭、读数据、写操作等,最终都要借助文件系统驱动才能完成.各种操作调用Kernel32.dll,通过Win32子系统调用Native A PI 向内核层传送请求,然后通过系统服务函数将上层的请求传递给I/O 管理器,在I/O 管理器中,将对磁盘文件的各种操作请求都统一为输入输出请求包IRP,然后向下层传送IRP 给文件系统驱动,最终由文件系统驱动调用磁盘及其他存储设备驱动,进而完成对物理存储设备的各种操作.操作完成后,再将处理结果沿着相反路径返回,整体执行过程如图1所示.*收稿日期:20100425基金项目吉首大学校级科研课题(D 5)作者简介侯春明(),男,湖南桑植人,吉首大学物理科学与信息工程学院讲师,硕士,主要从事计算机应用与信息安全研究:09J 01:1979.图1文件系统过滤驱动原理1.2Windo ws 文件系统过滤驱动Windows NT 操作系统的内核驱动模型WDM(Windows Driver Model)采用了分层结构的驱动程序结构[4].I/O 管理器实现1个分层的数据结构,在DEVICE_OBJECT 对象中保存某种关系,自动将请求IRP 发给设备栈中的最高的1个设备,由其决定如何处理,或是自身处理,或是向下传递,从而实现分层.在WDM 模型中,过滤驱动程序可以在应用程序读写数据的过程中,先于操作系统本身的文件系统驱动截获数据处理相关的IRP,进而进行各种相应的操作,比如隐藏文件、修改数据等.从图1可以看出,文件系统过滤驱动位于I/O 管理器和文件系统驱动程序之间.2基于文件系统过滤驱动的Rootkit隐藏技术2.1文件系统过滤驱动的实现基于文件系统过滤驱动的Rootkit 本质上就是驱动程序,在将自身载入内核的同时,完成特定的功能.在Windows 操作系统中,对于应用最广泛的FA T32和N TFS 文件系统,主要生成2类设备,一类是文件系统驱动本身生成的控制设备CDO,另外一类是该文件系统的卷设备.驱动程序和应用层程序类似,有1个主函数Dr iverEntry,是Windows 驱动程序的入口函数.DriverEntry 函数由内核中I/O 管理器负责调用.Driver Entry 的第1个参数是1个指针,指向1个刚被初始化的驱动程序对象,该对象就代表对应的驱动程序,WDM 驱动程序的DriverEntry 例程应完成对这个对象的初始化并返回,其主要工作是把各种函数指针填入驱动程序对象.这些指针为操作系统指明了驱动程序容器中各种子例程的位置[5].针对文件系统过滤驱动的实现,在DriverEntr y 函数中生成1个控制设备,设置分发函数和快速I/O 分发函数和回调函数,再对文件系统的卷设备进行绑定.在DriverEntr y 中调用内核函数IoCr eateDevice 生成文件系统控制设备CDO,这是文件系统过滤驱动和应用层程序的通信的主要接口.基于文件系统过滤驱动的Rootkit 主要利用这个CDO 修改驱动程序的内部配置以及实现挂载和通信.CDO 生成后,需要在DriverEntr y 中针对来自上层驱动的IRP 设置分发函数和快速I/O 分发函数,然后对Rootkit 所要监控的文件系统的卷设备进行绑定操作.首先利用内核函数SfAttachDeviceToDeviceStack 函数绑定文件系统控制设备,绑定后,Rootkit 可以获得发送给文件系统控制设备的文件控制请求,之后针对文件系统卷设备进行绑定.在文件系统的底层,采用物理设备对象VPB 来表示卷控制块VCB 和物理磁盘Device Object 的联系(VPB 是一个重要数据结构,用来将实际存储媒介设备对象和文件系统上的卷设备对象联系起来).文件系统过滤驱动程序从IRP 中获取VPB 的指针,进而获取文件系统的卷设备,然后调用SfAttachToMountedDevice 完成卷设备的绑定.文件系统过滤驱动的绑定完成后,基于文件系统过滤驱动的Rootkit 被载入到内核的驱动程序设备链中,可以针对各种操作进行过滤.2.2Rootkit 隐藏技术的实现Windows 操作系统中,磁盘等存储设备的每一个分区都被抽象成驱动程序中的设备对象(即卷设备).卷设备是由卷管理器生成,而不是文件系统生成,当1个卷使用某种文件系统时,该文件系统会对应的为该设备生成个设备对象,称为文件系统的卷设备W 操作系统中对文件的各种操作就是通过向这些设备发送IR 来完成基于文件系统过滤驱动的R ,首先创建驱动程序,在驱动上生成设备对象,然后去绑定这些卷设备,从而实现文件系统过滤驱动程序,发送给卷设备的IR ,在到达文件系统之44吉首大学学报(自然科学版)第31卷1.indows P .ootkit P前,被过滤驱动进行过滤,在过滤驱动对应的例程中实现文件的隐藏.(1)Rootkit 首先创建文件系统过滤驱动程序,在完成对卷设备的绑定后,使用内核函数IoSetCom pletionRoutine 为IRP 设置完成例程,以便在下层的文件系统驱动完成IRP 的时候,对返回的结果进行修改,进而把想要的文件隐藏起来.(2)通过内核函数IoCallDr iver 沿着驱动程序链向下传递IRP,针对文件操作的每个请求最终由通过文件系统驱动完成处理.在IRP 到达文件系统驱动之后,对应的操作处理完毕,IRP 返回.在过滤驱动中对应的完成例程的处理中隐藏文件.(3)在IRP 返回时执行的完成例程中可以实现对特定文件实现隐藏.当用户在操作系统应用层查看文件时,每个文件返回1个FILE_BOTH _DIR_INFORMATION 的结构,该结构用来描述指定目录的详细信息[6].用户打开的目录中所有文件返回信息形成1个FILE_BOT H _DIR_INFORMA TION 的结构的链表,只要遍历这样的链表,就可以获取当前目录下的所有文件信息,进而显示到用户层供用户查看.只要从链表中删除指定文件对应的节点,指定的文件就会被隐藏.使用链表操作中对指定节点进行删除的算法,删除指定文件对应的节点,则可以实现文件的隐藏.2.3用户层与内核层的通信如果需要指定特定路径下特定文件名的文件被隐藏,可以使用DeviceControl 实现用户层程序与内核层Rootkit 驱动程序之间的通信.利用工作在用户层的程序,输入需要隐藏的文件和对应的目录路径,用在DeviceControl 中定义的IOCT L 控制码进行传递,到达文件系统过滤驱动程序,驱动中自行创建的IRP 处理例程检测到对应的路径中的文件名后,相关文件名信息可以传递给IRP 的派遣函数,用来在派遣函数中实现指定文件的隐藏.3Rootkit 的检测与防范Rootkit 技术是一种中立技术,在恶意软件和安全软件中都大量使用,从而导致内核级Rootkit 的检测变得非常重要.因此,Rootkit 的检测技术也是Window 操作系统内核信息安全领域的研究热点,Root kit 的检测技术较多,针对Rootkit 隐藏相关的检测技术如下:(1)隐藏进程检测.文件和进程的隐藏是内核Rootkit 的常见功能,大多数内核Rootkit 都通过各种手段达到进程隐藏的目的.检测进程隐藏的方法中最常见的是挂钩SwapContext 方法:ntoskrnl.exe 中存在一个SwapContext 函数,用于将当前运行线程的上下文与重新执行线程的上下文进行交换,在每次线程切换的时候执行.因此,挂钩这个函数可以得到每次线程切换时换出、换入线程的信息,通过收集所有的线程信息,可以进一步得到所有进程的列表.(2)隐藏文件的检测.针对基于文件系统过滤驱动的Rootkit 的文件隐藏,可以利用直接读取磁盘扇区来分析文件系统进行隐藏文件的检测,或者向建立在卷设备驱动上的文件系统驱动程序发送IRP.首先,利用ObReferenceObjectByName 获取文件系统驱动程序的driver object,然后根据用户层指定的检测路径用DeviceControl 代码传递给Rootkit 隐藏文件检测驱动程序,用Cr eateFile 函数打开对应的文件夹路径,获取对应文件夹路径的句柄,利用内核函数ObReferenceObjectByName 可以根据对应的文件夹路径的句柄获取文件对象.获取文件对象后,创建IRP,向对应的文件系统驱动程序发送IRP,在返回的信息中检测所有的文件信息,进而获取被隐藏文件.4结论文件系统过滤驱动技术是近年来操作系统内核信息安全领域研究热点,过滤驱动附着在文件系统上,通过截获文件系统发出的I/O 请求包来对文件系统进行各种控制操作.内核Rootkit 是一种基于Win dows 内核层的中立技术,它既可以为善意的安全软件、监控软件、取证软件等服务,也可能被病毒、木马等恶意攻击所利用笔者介绍了W 操作系统的文件系统过滤驱动工作原理、基于文件系统过滤驱动的R 实现文件隐藏的关键技术以及R 的检测方法利用文件系统过滤驱动技术和R 隐藏技术,可以提高安全软件的技术性能,并有效地防止其被恶意利用,对W 操作系统内核信息安全45第3期侯春明,等:基于文件系统过滤驱动的内核rootkit 隐藏技术.indows ootkit ootkit .ootkit indows46吉首大学学报(自然科学版)第31卷技术应用有广泛的参考意义.参考文献:[1]GR EG H OGLUND,JAMES BUT LER.Rootkit:Windows内核的安全防护[M].北京:清华大学出版社,2007.[2]杨平,罗红,乔向东.Windows R ootkit隐藏技术研究[J].计算机与信息技术,2009(3):7374.[3]NAGAR R.Windows NT File System Internals[EB/OL].[20070401].htt p:///source/168266.[4]张帆,史彩成.Windows驱动开发技术详解[M].北京:电子工业出版社,2008.[5]WALTER ONEY.Progr amming the Micr osoft Windows Dr iver Mode[EB/OL].[20080215].http://download.cs/sour ce/353955.Research on Occultation Techniques of Kernel Rootkit Based onFile System Filter DriverH OU Chun ming,LIU Lin(College of Physics Science and Infor mation Engineer ing,Jishou University,Jishou416000,H unan China)Abstr act:A Rootkit is a set of programs and code that allows a permanent or consistent,undetectable presence on a computer.Windows ker nel Rootkit based on file system filter driver has been resear ched. The work principle of file system filter driver and the realization of filter driver and occultation tech niques of kernel Rootkit based on file system filter driver have been introduced.T he techniques of Root kit detection have been discussed.Key words:file system;Rootkit;filter driver;occultation(责任编辑陈炳权) (上接第28页)Maximum Norm Superapproximation of the Triquadratic Block Finite Element S olution to the Three Dimension Problem with Variable CoefficientsDENG Yi jun(Depar tment of Mathemat ics,H unan Inter nat ional Econom ics College,Changsha410205,China)Abstr act:For an variable coefficients elliptic equation in3D,weak estimates for the block finite element over rectangular parallelepiped partitions of the domain are obtained by using three dimensional interpo lation operator of projection type and interpolating approximation proper ties.Fur thermore,in combina tion with three dimensional discrete Green functions,the author derives the maximum norm superapprox imation r esults with high accuracy of the displacement and gr adient for block finite elements.Key words:variable coefficients elliptic equation;block finite element;interpolation operator of projection type;discr ete Green funtions;superapproximation(责任编辑向阳洁)。
基于文件系统过滤驱动的涉密文档安全存储技术研究
1引言
近年 来 ,随着信 息技 术 的不断发 展 , 由于 管理 的漏 洞 或使 用不 当 ,容 易造成 存储在 计算机 系统 中的涉密 信息 泄
露或 遭受破 坏 ,给 企业 甚至 是国家 造 成严重 危害 ,因此 强 化主机 内涉 密文 档的安 全存储 成 为急需 解决 的问题 。本 文 在 W i d ws 层驱 动模 型的基 础上提 出了一种基 于文 件 no 分 系统 过滤驱 动的 涉密 文档安全 存储 方案 ,并给 出 了总体 结 构和 实现过程 ,实现 了主机 内涉密文 档 的安全 存储 。
密文 档更 好地隐 藏 ,用户 的涉密 数据 存储在 称为 “ 密存 保 储 区” 的虚拟磁 盘上 ,在写 之前 进行加 密处 理 ,合法 用户
解 密 ;文件 防扩 散 模块 实现 主机 与 US B端 口设备 之 间传
输数 据时 的加 解密 。
读取时得到解密的数据 ,整个过程对用户来说是透明的。
Ab ta t: ito ue t e s rc nrd cs h whl %u% r a d h wok r cpe f h sc r y t rg s tm o d cme t wi sce b sd n i s se oe rc ue n te s r pi i o t e eu i so a e yse f r ou ns t e rt a e o fe y tm n l t h l ftr r e , x o ns h meh d n t e rcs o rain te mo ue f i ecy t n d cy t n t e o ue f i nnrl ea i b sd ie d i r e p ud te l v to a d h p oes f e lig h d l fl nr p a d e r p ad h m dl z o e o fe opoi r t n a e l f o
基于文件过滤驱动的文件监控系统研究与实现的开题报告
基于文件过滤驱动的文件监控系统研究与实现的开题报告一、选题背景随着互联网的发展,人们处理的数据量越来越大,文件的数量和大小也越来越多。
在这样的环境下,为了保证文件的安全性和完整性,文件监控系统显得尤为重要,它可以及时发现和处理文件中可能存在的安全问题和异常情况,保障数据的安全。
目前,文件监控系统已经存在很多种类和实现方式,如基于文件系统、进程、网络等方面的监控,但是这些监控方式普遍存在一些问题,如资源开销大、监控效果不佳等。
因此,本文着重研究了基于文件过滤驱动的文件监控系统,探究其在文件安全性和完整性方面的优势和实现方式。
二、研究内容和目标本文主要围绕文件过滤驱动实现文件监控系统进行研究和探讨,主要包括以下内容:1. 对基于文件过滤驱动的文件监控系统进行深入研究,探索其在文件安全性和完整性方面的优势和实现方式。
2. 分析现有的文件监控系统的优缺点,对比不同监控方式的差异和优劣,探讨文件过滤驱动的文件监控系统的优势和适用范围。
3. 设计并实现基于文件过滤驱动的文件监控系统原型,验证其在实际应用中的可行性和效果。
4. 对文件监控系统的优化和改进进行初步探究,提高监控效果和减少资源开销。
三、研究方法和技术路线本文主要采用实验法和理论分析相结合的方法进行研究,具体技术路线如下:1. 搜集相关文献,了解文件监控系统的研究现状和发展趋势。
2. 深入探讨文件过滤驱动的原理和实现方式,并结合具体的应用场景进行分析。
3. 分析现有的文件监控系统的优缺点,并对比不同监控方式的差异和优劣。
4. 设计并实现基于文件过滤驱动的文件监控系统原型,包括驱动程序、核心模块和用户界面等。
5. 通过实验和测试验证文件监控系统的可行性和准确性,并对监控效果和资源开销进行评估。
6. 对文件监控系统的优化和改进进行初步探究,提高监控效果和减少资源开销,为后续研究工作奠定基础。
四、预期成果和应用价值本文的预期成果包括:1. 对基于文件过滤驱动的文件监控系统进行深入研究,探讨其在文件安全性和完整性方面的优势和实现方式。
一种基于文件过滤驱动框架的文件实时捕获方法和装置[发明专利]
![一种基于文件过滤驱动框架的文件实时捕获方法和装置[发明专利]](https://img.taocdn.com/s3/m/cac0a361680203d8cf2f240a.png)
专利名称:一种基于文件过滤驱动框架的文件实时捕获方法和装置
专利类型:发明专利
发明人:王世晋,范渊,黄进,王辉,胡瀚璋
申请号:CN201910743674.3
申请日:20190813
公开号:CN110443040A
公开日:
20191112
专利内容由知识产权出版社提供
摘要:本发明提供了一种基于文件过滤驱动框架的文件实时捕获方法和装置,涉及网络安全的技术领域,应用于监控驱动程序,该监控驱动程序在与文件捕获应用程序建立通信连接后,实时判断操作系统中的新增活动信号是否为文件删除信号,如果确定是,则拦截上述文件删除信号并存入消息队列,等待文件捕获应用程序访问消息队列并将文件删除信号中的恶意文件删除信号欲删除的恶意文件信息读取到内存中。
本发明基于文件过滤驱动框架实现了在驱动层对文件删除信号的拦截,文件捕获应用程序随后将恶意文件删除信号欲删除的恶意文件信息进行捕获,从而有效的缓解了现有技术中的文件捕获方法捕获效果差的技术问题。
申请人:杭州安恒信息技术股份有限公司
地址:310000浙江省杭州市滨江区西兴街道联慧街188号
国籍:CN
代理机构:北京超凡宏宇专利代理事务所(特殊普通合伙)
代理人:徐彦圣
更多信息请下载全文后查看。
基于WDF过滤驱动的USB存储设备监控系统
基于WDF过滤驱动的USB存储设备监控系统
邹敬轩;蔡皖东
【期刊名称】《计算机工程与科学》
【年(卷),期】2010(032)003
【摘要】WDF是微软推出的下一代驱动程序开发模型,它所提供的KMDF框架为内核模式驱动开发提供了一个面向对象、事件驱动的开发框架.本文深入研究了WDF驱动模型和过滤器驱动技术,设计和实现了一个USB存储设备监控系统.测试表明,系统可以在多操作系统的内网环境下,有效地监控USB存储设备的使用.【总页数】4页(P42-44,71)
【作者】邹敬轩;蔡皖东
【作者单位】西北工业大学计算机学院,陕西,西安,710129;西北工业大学计算机学院,陕西,西安,710129
【正文语种】中文
【中图分类】TP309
【相关文献】
B存储设备安全监控系统的设计与实现 [J], 段翼真;王晓程;王斌
2.基于微过滤驱动的文件监控系统 [J], 孙莹莹;郑扣根
B存储设备安全监控系统的设计与实现 [J], 段翼真;王晓程;王斌
4.基于WDF过滤驱动的监控系统的设计与实现 [J], 蔡旸
5.基于USB存储设备的透明监控系统 [J], 晋永康;赖德泳;杜华巍
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5 0
大
连 民 族 学 院 学
报
第 1卷 3
请求 变成 I P发 给 文件 系统 设 备栈 , R 文件 系统 驱 动 程序把 文件系 统操作 转换 为 响应 的存储 设备 驱
第l 3卷
第 1期
大 连 民 族 学 院 学 报
J u n lo ain Nain l isUnv ri o r a fD l t ai e ies y a o t t
Vo.1 No 1 3, .1
21 0 1年 1月
J n a 2 1 a u ̄ 0 1
文 章 编 号 :0 9—35 2 1 ) 1 0 4 0 10 1X(0 1 0 — 09— 3
收稿 日期 :00— 6— 7 最后 修 回 日期 :0 0— 9— 6 21 0 0; 2 1 0 1
图 1 文件 系统 工 作 原 理
文 件 过 滤 驱 动 程 序 是 针 对 文 件 系 统 驱 动 而 言 。当应用 程 序 读 写 文 件 时 , O 管 理 器 将 这 些 I /
作者 简介 : 米守防 (9 8一) 男 , 17 , 回族 , 山东邹城人 , 工程师 , 主要从 事计算机应用技术研究 。
K e o ds: l y tm l rd rv r rm o a l t r g d a;s c rt yw r i f e s se f t e i e ; e v be so a e me i i e e u iy
近年 来 , 信息 安 全 问题成 为人 们关 注 的焦 点 。 权威 机构 做 的调查 结果显 示 : 超过 8 5% 的安全 威 胁来 自单 位 内部 。而作 为新 一代 取 代软 盘 的移 动 存储设 备 ( U盘 、 动 硬盘 、 动 光 驱 等 ) 因为 如 移 移 , 其使用 灵 活 、 便 , 它在企 业 信息 化 的过 程 中迅 方 使 速得 到普及 , 来 越 多的敏 感 信息 、 密数 据和 档 越 秘 案资料 被存 贮 在 移 动 存 储 介 质里 , 给 企业 信 息 这 资源带 来相 当大 的安 全 隐患 。鉴 于上 述 的安 全 风
以避免 无 限制 使用 带来 的 风 险 , 动 介 质 的控 制 移 和管理 首要 的是读 写 的控 制 。本文 介 绍 了一 种基 于文件 系统驱 动过 滤 的移 动存储 介 质 读 写控 制 的
方法 , 提供 了系 统设计 的思 路 和具体 实现 。 并
系统服务接 口 W I 3 P接 口 N 2A I
备份 、 安全 监 控 等 』 1。用 户 进 程 对 磁 盘 上 文 件 的 操 作 由 WI 3 N 2子 系 统 调 用 相 应 的服 务 来 代 表 该 进 程发 出请 求 。IO管 理 器 接受 到 上层 传 来 的 I / /
0请求 , 过 构 造 输 入 输 出 请 求 包 IP I0 R — 通 R (/ e
M I Sh u —f ng, o a SU i Fe
( o eeo o p t c ne& E g er g D i aoaie n esy a a i nn 165 C i ) C lg f m u rSi c l C e e ni e n , a a N t nlis i r t,D l nLa ig160 , hn n i l n i t U v i i o a
q et ak g ) 描述 这 个 请 求 , 后 向下 传递 u s P c ae 来 然 给 文件 系统 驱 动 、 储设 备 驱动 做后 续处 理 , 存 低层 驱 动处理 完毕 后把 结果 返 回给 发 出请 求 的应 用进 程, 整个 过程 如 图 1 。
险, 应该 对移 动 存 储 介 质 的使 用 进 行 管 理 或控 制
基 于 文 件过 滤 驱 动 的移 动 存 储 介 质 读 写 控 制
米 守防 , 苏 飞
( 大连 民族 学院 计算 机科 学 与工程 学院 , 宁 大连 16 0 ) 辽 16 5
摘 要: 分析 了文件过滤驱动 的基本技 术 , 并基于文件过滤驱动实现 了对移动存储介质 的读 写控制 系统 ,
Absr c : e b sc e h oo y o l le rv r n lz d. T e v b e so a e d vc t a t Th a i tc n l g ff e f t r d e ae a a y e i i i he r mo a l tr g e i e c n r lo o to fR/W a e n fl le rv r eie b s d o ef trd ie a e r lz d.Th aey o o u e t r e ti h i i e s f t fc mp trdaa a e k p n te d vs . e ie
从 而有效保证了计算机数据的安全 。
关键词 : 文件过滤驱动 ; 移动存 储介质 ; 安全
中 图 分 类 号 :P 0 T 39 文献 标 志码 : A
Re o a e S o a e De i e Co t o fR/W s d o l le i e m v bl t r g v c n r lo Ba e n Fi Fit r Drv e
l 文 件 过 滤 驱 动 基 本 原 理
文 件 系统 过 滤 的 目标 , 捕 获 Widw 系 统 是 nos
对文 件 的 种种 操 作 行 为 , 比如 文 件 的创 建 、 开 、 打
读/ 、 写 改名 , 目录 的创 建 、 开 、 举 、 名 、 除 打 枚 改 删 等 。捕 获对 文件 的操 作 , 对 其进 行 过 滤 , 并 能实 现 很多 强 大 的功 能 , 如检 查 病 毒 、 据 加 密 、 据 比 数 数