文件过滤驱动

1 引言文件系统过滤概述文件安全性问题已成为当今信息科学领域最重要的课题之一。

目前，解决这个问题的主要技术手段有两种：一是利用应用层HOOK(钩子)技术，对Windows 提供的文件操作函数(API)及由文件操作所触发的Windows消息进行HOOK，经过适当的处理达到预期目的，缺点是效率低、稳定性和一致性差，不适合于大型系统的开发；另一种是开发文件过滤驱动程序，文件过滤驱动作为一种内核态中间层驱动，不需要改变下层驱动或用户程序而增加新的功能，具有效率高、可靠性强、可扩充等特点，成为现阶段信息安全技术研究的热点。

1．1 文件过滤驱动在信息安全领域的应用1 文件加/解密文件过滤驱动程序可以实现对指定文件、目录，甚至整个逻辑盘的加/解密功能。

当文件在写入磁盘的过程中，截获所有对该文件的IRP_MJ_WRITE，在其分发例程中对IRP携带的数据进行加密处理后写入磁盘；文件被从磁盘读取的过程中，截获所有对该文件的IRP_MJ_READ，在其分发例程中对IRP携带的数据进行解密处理后向上层返回。

加密后的文件在磁盘中以密文形式存储，保证了数据存储的安全性。

2 病毒防护应用程序在创建一个新文件或打开一个已存在文件时，文件系统过滤驱动程序截获IRP_MJ_create，判断被打开文件是否存在和病毒特征代码库相匹配的特征，若存在，说明文件感染了病毒，失败掉该IRP，拒绝打开；否则，使IRP继续向下传递，完成正常的打开操作。

3 进程控制为了防止恶意进程的破坏，有时需要规定只允许某些经过安全验证的特定进程对受保护的文件进行访问，其他不在规则范围内的进程不允许访问。

我们可以通过系统提供的PsGetCurrentProcessId、PsGetCurrentThreadId等API函数得到发起I/O请求的进程及线程的相关信息，如：获得发起进程名称，与安全访问规则(进程白名单)中的可信进程相比较，若该进程位于规则中，说明信任其行为是安全的，允许访问受保护文件；否则，拒绝访问。

Windows文件系统过滤驱动开发教程0. 作者，楚狂人自述我感觉Windows文件系统驱动的开发能找到的资料比较少。

为了让技术经验不至于遗忘和引起大家交流的兴趣我以我的工作经验撰写本教程。

我的理解未必正确，有错误的地方望多多指教。

有问题欢迎与我联系。

我们也乐于接受各种驱动项目的开发。

邮箱为MFC_Tan_Wen@,QQ为16191935。

作者是杭州楚狂人,首先在驱动开发网连载.此版本比驱网连载版本稍有修改.除了0外,已发1-8节.后继的章节将在不久后整理推出.您可以随时发邮件向我索取更新的版本.最后更新日期是11月2日.1. 概述，钻研目的和准备我经常在网上碰到同行请求开发文件系统驱动。

windows的pc机上以过滤驱动居多。

其目的不外乎有以下几种：一是用于防病毒引擎。

希望在系统读写文件的时候，捕获读写的数据内容，然后检测其中是否含有病毒代码。

二是用于加密文件系统，希望在文件写过程中对数据进行加密，在读的过程中进行解密。

三是设计透明的文件系统加速。

读写磁盘的时候，合适的cache算法是可以大大提高磁盘的工作效率。

windows本身的cache算法未必适合一些特殊的读写磁盘操作（如流媒体服务器上读流媒体文件）。

设计自己的cache算法的效果，我已在工作中有所感受。

如果你刚好有以上此类的要求，你可以阅读本教程。

文件系统驱动是windows系统中最复杂的驱动种类之一。

不能对ifsddk中的帮助抱太多希望，以我的经验看来，文件系统相关的ddk帮助极其简略，很多重要的部分仅仅轻描淡写的带过。

如果安装了ifsddk，应该阅读src\filesys\OSR_docs下的文档。

而不仅仅是ddk帮助。

文件系统驱动开发方面的书籍很少。

中文资料我仅仅见过侯捷翻译过的一本驱动开发的书上有两三章涉及，也仅仅是只能用于9x的vxd驱动。

NT文件系统我见过一本英文书。

我都不记得这两本书的书名了。

如果您打算开发9x或者nt文件系统驱动,建议你去网上下载上文提及的书。

Windows文件系统过滤管理器之微过滤器驱动开发指南0.译者序对我来说，中文永远是最美，最简洁，最精确和最高雅的文字。

本文翻译仅仅用做交流学习。

我不打算保留任何版权或者承担任何责任。

不要引用到赢利出版物中给您带来版权官司。

本文的翻译者是楚狂人，如果有任何问题，你可以通过邮箱MFC_Tan_Wen@,或者是QQ16191935,或者是MSN walled_river@与我交流。

我翻译此文出于对文件系统技术的兴趣。

这就是新的文件系统过滤接口。

其实也不算什么新的东西，微软开发了另一个“旧模型的”过滤驱动，称之为过滤管理器（Filter Manager）。

从而提供了一系列新的接口来让你开发新的过滤器。

确实这套接口变简单清晰了。

你至少避免了包含无数个信息的IRP,避免了请求在各个部件中循环的发来发去，一个分发例程中处理无数中情况，一不小心系统崩溃。

我不知道花了多少时间才弄明白一个简单的缓冲读请求从用户到过滤到文件系统和缓冲管理器，虚拟内存管理器之间的关系！现在你也许不需要再管他们了，仅仅做好自己的过滤工作就可以。

这套接口强大吗？能实现你想要的功能吗？你很快就发现你没有研究过sfilter就看不懂Minifilter,或者是还得从sfilter开始做起更灵活一点。

微软就是这样，拿僵硬而且也不简单的东西来“简化”强大灵活但是设计上一团糟的东西,对于你来说是两者都必须学习，最后你的脑子被微软塞得满满的，不过没关系，我们已经习惯了.此文的原文是《Filter Driver Development Guide》，出自微软的网站。

我在以下这个地址下载得到此文: /download/e/b/a/eba1050f-a31d-436b-9281-92cdfeae4b45/FilterDriverDe veloperGuide.doc我尽量在翻译中使文章保持原貌。

如果您认为此文无法理解，建议您首先阅读旧的文件过滤驱动的相关资料。

文件系统过滤驱动以及设备驱动的区别一、何谓文件系统过滤驱动？文件系统过滤驱动是一种可选的，为文件系统提供具有附加值功能的驱动程序。

文件系统过滤驱动是一种核心模式组件，它作为Windows NT执行体的一部分运行。

文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。

按不同的种类划分，文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。

通常，以文件系统过滤驱动为核心的应用程序有防毒软件、加密程序、分级存储管理系统等。

二、文件系统过滤驱动并不是设备驱动设备驱动是用来控制特定硬件I/O设备的软件组件。

例如：DVD存储设备驱动是一个DVD驱动。

相反，文件系统过滤驱动与一个或多个文件系统协同工作来处理文件I/O操作。

这些操作包括：创建、打开、关闭、枚举文件和目录；获取和设置文件、目录、卷的相关信息；向文件中读取或写入数据。

另外，文件系统过滤驱动必须支持文件系统特定的功能，例如缓存、锁定、稀疏文件、磁盘配额、压缩、安全、可恢复性、还原点和卷装载等。

下面两部分详细的阐述了文件系统过滤驱动和设备驱动之间的相似点与不同点。

1、文件系统过滤驱动同设备驱动的相似点：下列部分描述了Windows操作系统中文件系统过滤驱动和设备驱动之间的相似点：（1）、类似的结构类似于设备驱动，文件系统过滤驱动有着属于自己的DriverEntry、Dispatch和I/O组件例程。

文件系统过滤驱动同设备驱动一样调用许多相同的系统核心例程，它们都会过滤发送给它们所关联的设备的I/O请求。

（2）、类似的功能：文件系统过滤驱动和设备驱动都是I/O子系统的组成部分，因此它们都接收和作用于I/O请求包（IRP）。

类似于设备驱动，文件系统过滤驱动同样可以创建它们自己的IRP并将该IRP发送到低层驱动。

这两种驱动均可以通过注册回调函数来接收多种系统事件的通知。

（3）、其它类似点：同设备驱动类似，文件系统过滤驱动可以接收传入的I/O控制码（IOCTLs）。

基于Minifilter框架的文件过滤驱动理解概述Minifilter即File System Minifilter Drivers，是Windows为了简化第三方开发人员开发文件过滤驱动而提供的一套框架，这个框架依赖于一个称之为Filter Manager（后面简写为FltMgr)的传统文件系统过滤驱动。

这套框架应用到内核中的结构如下图所示：FltMgr以传统文件过滤驱动的形式插入到I/O处理队列中去接收不同的I/O请求，然后将这个请求遍历发布到它所维护的Minifilter对象中，然后根据各个Minifilter对这个I/O请求的处理结果来决定后续的操作。

这种模式在很多软件架构中使用，类似于插件一样，每一个Minifilter遵守一定的接口规范插入到FltMgr中，然后就能执行过滤控制。

上面是对整个Minifilter框架进行描述，实际内部需要注意的细节牵涉到很多内核知识，比如中断级别、I/O请求被封装成IRP包和fast I/O请求等相对复杂的概念。

这里不做深究，主要以研究Minifilter的开发过程和相应注意的地方为主。

此外还有FltMgr在内核中的位置等相关知识，也只在必要的地方提及一下。

Minifilter流程Minifilter通过注册并启动后，根据在注册表中设置的相应值，插入到对应的FltMgr实例（Frame)队列中，然后关联上需要过滤的卷。

FltMgr会根据Minifilter所注册的I/O操作类型，调用对应的pre和post操作函数，并根据对应的返回值执行不同的流程。

这里假设有A、B、C三个Minifilter从上往下挂载在FltMgr实例上，那么当接收到I/O请求时，执行的步骤为A-pre、B-pre、C-pre，一旦某个Minifilter返回了FLT_PREOP_COMPLETE，即表明这个I/O请求被它完成处理了，则立即按照相反的顺序调用对应的post函数（不再继续往下调）。

Windows下文件过滤驱动技术徐国栋;朱亮【摘要】Windows文件过滤驱动在不改变复杂的文件系统基础上,可方便地扩展FO子系统的功能.在深入研究了文件过滤驱动技术基础上,结合安全加密技术与权限控制技术,实现了一个安全、易用、管理方便的安全文件系统.【期刊名称】《微型电脑应用》【年(卷),期】2016(032)008【总页数】3页(P74-75,80)【关键词】文件过滤驱动;I/O请求包;基于角色的访问控制【作者】徐国栋;朱亮【作者单位】上海其祥电脑系统工程有限公司上海200237;北京科瑞科技发展股份有限公司上海,100097【正文语种】中文【中图分类】TP183随着企事业单位的快速发展，电子文档为企事业单位承载了越来越多的重要信息。

而由于电子文档的容易散播性，导致企事业单位的重要资料很容易被非法获取、篡改、乃至无序传播等，这使得企事业单位所做的大量工作付之东流，严重危害了自身的利益。

特别是棱镜门事件后，文档安全的重要性也日益受到重视。

文件安全管理就是为了提高电子文档数据的安全性和保密性、防止秘密数据被意外、或非法获取所采用的技术手段。

密码学是信息系统安全的核心，它是研究密码系统和通信安全的一门学科[1]。

密码学的基本功能是提供保密性，使非授权者无法获悉消息的内容。

Windows的I/O管理器是一个可扩展的结构，通过开发过滤驱动程序可以扩展I/O子系统的功能。

I/O管理器支持分层驱动程序模型，每个I/O请求包（IRP，I/O request package）的处理分别经过各层驱动程序，直到某层驱动程序完成这个请求[2]。

1.1 过滤驱动程序过滤驱动工作在系统驱动层和应用层之间，透明地截取发往低级驱动程序设备对象的请求，低级驱动程序的用户完全不知道它们的请求被过滤器驱动程序预处理和截取了。

使用过滤器驱动程序可以实现以下几种主要功能：允许修改已有驱动程序在某些方面的行为，而不必重写整个驱动程序。

Windows文件系统过滤驱动开发教程2.hello world,驱动对象与设备对象这里所说的驱动对象是一种数据结构，在DDK中名为DRIVER_OBJECT。

任何驱动程序都对应一个DRIVER_OBJECT.如何获得本人所写的驱动对应的DRIVER_OBJECT呢？驱动程序的入口函数为DriverEntry,因此，当你写一个驱动的开始，你会写下如下的代码：NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ){}这个函数就相当与喜欢c语言的你所常用的main().IN是无意义的宏，仅仅表明后边的参数是一种输入，而对应的OUT则代表这个参数是一种返回。

这里没有使用引用,因此如果想在参数中返回结果，一律传入指针。

DriverObject就是你所写的驱动对应的DRIVER_OBJECT,是系统在加载你的驱动时候所分配的。

RegisteryPath是专用于你记录你的驱动相关参数的注册表路径。

DriverObject重要之处，在于它拥有一组函数指针，称为dispatch functions.开发驱动的主要任务就是亲手撰写这些dispatch functions.当系统用到你的驱动，会向你的DO发送IRP（这是windows所有驱动的共同工作方式）。

你的任务是在dispatch function中处理这些请求。

你可以让irp失败，也可以成功返回，也可以修改这些irp，甚至可以自己发出irp。

设备对象则是指DEVICE_OBJECT.下边简称DO.但是实际上每个irp都是针对DO发出的。

只有针对由该驱动所生成的DO的IRP, 才会发给该驱动来处理。

当一个应用程序打开文件并读写文件的时候，windows系统将这些请求变成irp发送给文件系统驱动。

文件系统过滤驱动将可以过滤这些irp.这样，你就拥有了捕获和改变文件系统操作的能力。

磁盘过滤驱动原理
磁盘过滤驱动（Disk Filter Driver）是一种在操作系统内核中
运行的驱动程序，用于对磁盘操作进行拦截、过滤和修改。

其原理可以简单概括为以下几个步骤：
1. 注册：磁盘过滤驱动在加载到系统内核之前需要先进行注册，以便于操作系统在启动时加载该驱动。

2. 拦截：磁盘过滤驱动通过拦截操作系统发出的磁盘相关的系统调用（如读取文件、写入文件等），将这些调用转发给自身处理。

3. 过滤：磁盘过滤驱动根据自身的逻辑对拦截到的磁盘操作进行过滤。

可以根据需求对文件进行加密、解密、压缩、解压缩等操作。

也可以对读取写入的数据进行修改、删除等操作。

4. 转发：磁盘过滤驱动在过滤后，可以将磁盘操作转发给下层的磁盘驱动程序，以完成实际的磁盘读写操作。

或者也可以直接向应用程序返回修改后的数据。

5. 反馈：磁盘过滤驱动可以向操作系统返回对磁盘操作的处理结果，以便操作系统进一步处理或通知相关的应用程序。

总的来说，磁盘过滤驱动通过在操作系统内核中的位置，拦截并过滤磁盘操作，以实现对磁盘数据进行修改、保护或监控的功能。

通过编写磁盘过滤驱动，可以实现诸如数据加密、文件压缩、行为监控等功能。

第31卷第3期吉首大学学报(自然科学版)Vol.31No .32010年5月Journ al of Ji shou Universit y (Nat ural Science Edit ion)May 2010文章编号:10072985(2010)03004304基于文件系统过滤驱动的内核Rootkit 隐藏技术*侯春明,刘林(吉首大学物理科学与信息工程学院,湖南吉首416000)摘要:Rootkit 是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit 对文件隐藏的实现,并讨论了针对Root kit 隐藏的检测技术.关键词:文件系统;Rootkit;过滤驱动;隐藏中图分类号:T P316文献标志码:A随着信息技术的飞速发展,以窃取计算机控制权和敏感信息为目标的程序迅速增加.Rootkit 是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码[1].Rootkit 能在目标计算机中长期潜伏,窃取信息而不被察觉,因此在计算机战争、间谍、反计算机犯罪、证据收集等领域得到广泛应用,同时也被计算机病毒、木马、恶意软件等恶意代码使用者用来实现计算机的恶意控制.控制者一旦获得操作系统的控制权限,种植了Rootkit,它就能维护一个后门,允许控制者一直以管理员权限控制系统,并且通过隐藏文件、进程、注册表项、端口等来隐藏攻击行为,从而逃避用户和安全软件的检测[2].隐蔽性是Rootkit 的最大特性,而文件系统是Rootkit 应用的重要领域.许多Rootkit 需要在文件系统中存储文件,并且要求这些文件实现隐藏.Rootkit 的文件隐藏技术有2种:利用钩子技术实现文件隐藏,这种方法效率低;利用文件系统过滤驱动技术,效率高,可靠性强.利用文件系统过滤驱动技术来实现Ro otkit 的文件隐藏,成为当前Windows 操作系统内核信息安全领域的热点.1文件系统过滤驱动工作原理1.1Windo ws 文件系统驱动文件系统驱动程序是存储管理子系统的一个组件,为用户提供在持久性介质上存储和读取信息的功能,可以创建、修改和删除文件,同时可以安全可控地在用户之间共享和传输信息,并以适当的方式向应用程序提供结构化的文件内容[3].用户应用程序对磁盘上的文件进行的各种操作,如创建、打开、关闭、读数据、写操作等,最终都要借助文件系统驱动才能完成.各种操作调用Kernel32.dll,通过Win32子系统调用Native A PI 向内核层传送请求,然后通过系统服务函数将上层的请求传递给I/O 管理器,在I/O 管理器中,将对磁盘文件的各种操作请求都统一为输入输出请求包IRP,然后向下层传送IRP 给文件系统驱动,最终由文件系统驱动调用磁盘及其他存储设备驱动,进而完成对物理存储设备的各种操作.操作完成后,再将处理结果沿着相反路径返回,整体执行过程如图1所示.*收稿日期:20100425基金项目吉首大学校级科研课题(D 5)作者简介侯春明(),男,湖南桑植人,吉首大学物理科学与信息工程学院讲师,硕士,主要从事计算机应用与信息安全研究:09J 01:1979.图1文件系统过滤驱动原理1.2Windo ws 文件系统过滤驱动Windows NT 操作系统的内核驱动模型WDM(Windows Driver Model)采用了分层结构的驱动程序结构[4].I/O 管理器实现1个分层的数据结构,在DEVICE_OBJECT 对象中保存某种关系,自动将请求IRP 发给设备栈中的最高的1个设备,由其决定如何处理,或是自身处理,或是向下传递,从而实现分层.在WDM 模型中,过滤驱动程序可以在应用程序读写数据的过程中,先于操作系统本身的文件系统驱动截获数据处理相关的IRP,进而进行各种相应的操作,比如隐藏文件、修改数据等.从图1可以看出,文件系统过滤驱动位于I/O 管理器和文件系统驱动程序之间.2基于文件系统过滤驱动的Rootkit隐藏技术2.1文件系统过滤驱动的实现基于文件系统过滤驱动的Rootkit 本质上就是驱动程序,在将自身载入内核的同时,完成特定的功能.在Windows 操作系统中,对于应用最广泛的FA T32和N TFS 文件系统,主要生成2类设备,一类是文件系统驱动本身生成的控制设备CDO,另外一类是该文件系统的卷设备.驱动程序和应用层程序类似,有1个主函数Dr iverEntry,是Windows 驱动程序的入口函数.DriverEntry 函数由内核中I/O 管理器负责调用.Driver Entry 的第1个参数是1个指针,指向1个刚被初始化的驱动程序对象,该对象就代表对应的驱动程序,WDM 驱动程序的DriverEntry 例程应完成对这个对象的初始化并返回,其主要工作是把各种函数指针填入驱动程序对象.这些指针为操作系统指明了驱动程序容器中各种子例程的位置[5].针对文件系统过滤驱动的实现,在DriverEntr y 函数中生成1个控制设备,设置分发函数和快速I/O 分发函数和回调函数,再对文件系统的卷设备进行绑定.在DriverEntr y 中调用内核函数IoCr eateDevice 生成文件系统控制设备CDO,这是文件系统过滤驱动和应用层程序的通信的主要接口.基于文件系统过滤驱动的Rootkit 主要利用这个CDO 修改驱动程序的内部配置以及实现挂载和通信.CDO 生成后,需要在DriverEntr y 中针对来自上层驱动的IRP 设置分发函数和快速I/O 分发函数,然后对Rootkit 所要监控的文件系统的卷设备进行绑定操作.首先利用内核函数SfAttachDeviceToDeviceStack 函数绑定文件系统控制设备,绑定后,Rootkit 可以获得发送给文件系统控制设备的文件控制请求,之后针对文件系统卷设备进行绑定.在文件系统的底层,采用物理设备对象VPB 来表示卷控制块VCB 和物理磁盘Device Object 的联系(VPB 是一个重要数据结构,用来将实际存储媒介设备对象和文件系统上的卷设备对象联系起来).文件系统过滤驱动程序从IRP 中获取VPB 的指针,进而获取文件系统的卷设备,然后调用SfAttachToMountedDevice 完成卷设备的绑定.文件系统过滤驱动的绑定完成后,基于文件系统过滤驱动的Rootkit 被载入到内核的驱动程序设备链中,可以针对各种操作进行过滤.2.2Rootkit 隐藏技术的实现Windows 操作系统中,磁盘等存储设备的每一个分区都被抽象成驱动程序中的设备对象(即卷设备).卷设备是由卷管理器生成,而不是文件系统生成,当1个卷使用某种文件系统时,该文件系统会对应的为该设备生成个设备对象,称为文件系统的卷设备W 操作系统中对文件的各种操作就是通过向这些设备发送IR 来完成基于文件系统过滤驱动的R ,首先创建驱动程序,在驱动上生成设备对象,然后去绑定这些卷设备,从而实现文件系统过滤驱动程序,发送给卷设备的IR ,在到达文件系统之44吉首大学学报(自然科学版)第31卷1.indows P .ootkit P前,被过滤驱动进行过滤,在过滤驱动对应的例程中实现文件的隐藏.(1)Rootkit 首先创建文件系统过滤驱动程序,在完成对卷设备的绑定后,使用内核函数IoSetCom pletionRoutine 为IRP 设置完成例程,以便在下层的文件系统驱动完成IRP 的时候,对返回的结果进行修改,进而把想要的文件隐藏起来.(2)通过内核函数IoCallDr iver 沿着驱动程序链向下传递IRP,针对文件操作的每个请求最终由通过文件系统驱动完成处理.在IRP 到达文件系统驱动之后,对应的操作处理完毕,IRP 返回.在过滤驱动中对应的完成例程的处理中隐藏文件.(3)在IRP 返回时执行的完成例程中可以实现对特定文件实现隐藏.当用户在操作系统应用层查看文件时,每个文件返回1个FILE_BOTH _DIR_INFORMATION 的结构,该结构用来描述指定目录的详细信息[6].用户打开的目录中所有文件返回信息形成1个FILE_BOT H _DIR_INFORMA TION 的结构的链表,只要遍历这样的链表,就可以获取当前目录下的所有文件信息,进而显示到用户层供用户查看.只要从链表中删除指定文件对应的节点,指定的文件就会被隐藏.使用链表操作中对指定节点进行删除的算法,删除指定文件对应的节点,则可以实现文件的隐藏.2.3用户层与内核层的通信如果需要指定特定路径下特定文件名的文件被隐藏,可以使用DeviceControl 实现用户层程序与内核层Rootkit 驱动程序之间的通信.利用工作在用户层的程序,输入需要隐藏的文件和对应的目录路径,用在DeviceControl 中定义的IOCT L 控制码进行传递,到达文件系统过滤驱动程序,驱动中自行创建的IRP 处理例程检测到对应的路径中的文件名后,相关文件名信息可以传递给IRP 的派遣函数,用来在派遣函数中实现指定文件的隐藏.3Rootkit 的检测与防范Rootkit 技术是一种中立技术,在恶意软件和安全软件中都大量使用,从而导致内核级Rootkit 的检测变得非常重要.因此,Rootkit 的检测技术也是Window 操作系统内核信息安全领域的研究热点,Root kit 的检测技术较多,针对Rootkit 隐藏相关的检测技术如下:(1)隐藏进程检测.文件和进程的隐藏是内核Rootkit 的常见功能,大多数内核Rootkit 都通过各种手段达到进程隐藏的目的.检测进程隐藏的方法中最常见的是挂钩SwapContext 方法:ntoskrnl.exe 中存在一个SwapContext 函数,用于将当前运行线程的上下文与重新执行线程的上下文进行交换,在每次线程切换的时候执行.因此,挂钩这个函数可以得到每次线程切换时换出、换入线程的信息,通过收集所有的线程信息,可以进一步得到所有进程的列表.(2)隐藏文件的检测.针对基于文件系统过滤驱动的Rootkit 的文件隐藏,可以利用直接读取磁盘扇区来分析文件系统进行隐藏文件的检测,或者向建立在卷设备驱动上的文件系统驱动程序发送IRP.首先,利用ObReferenceObjectByName 获取文件系统驱动程序的driver object,然后根据用户层指定的检测路径用DeviceControl 代码传递给Rootkit 隐藏文件检测驱动程序,用Cr eateFile 函数打开对应的文件夹路径,获取对应文件夹路径的句柄,利用内核函数ObReferenceObjectByName 可以根据对应的文件夹路径的句柄获取文件对象.获取文件对象后,创建IRP,向对应的文件系统驱动程序发送IRP,在返回的信息中检测所有的文件信息,进而获取被隐藏文件.4结论文件系统过滤驱动技术是近年来操作系统内核信息安全领域研究热点,过滤驱动附着在文件系统上,通过截获文件系统发出的I/O 请求包来对文件系统进行各种控制操作.内核Rootkit 是一种基于Win dows 内核层的中立技术,它既可以为善意的安全软件、监控软件、取证软件等服务,也可能被病毒、木马等恶意攻击所利用笔者介绍了W 操作系统的文件系统过滤驱动工作原理、基于文件系统过滤驱动的R 实现文件隐藏的关键技术以及R 的检测方法利用文件系统过滤驱动技术和R 隐藏技术,可以提高安全软件的技术性能,并有效地防止其被恶意利用,对W 操作系统内核信息安全45第3期侯春明,等:基于文件系统过滤驱动的内核rootkit 隐藏技术.indows ootkit ootkit .ootkit indows46吉首大学学报(自然科学版)第31卷技术应用有广泛的参考意义.参考文献:[1]GR EG H OGLUND,JAMES BUT LER.Rootkit:Windows内核的安全防护[M].北京:清华大学出版社,2007.[2]杨平,罗红,乔向东.Windows R ootkit隐藏技术研究[J].计算机与信息技术,2009(3):7374.[3]NAGAR R.Windows NT File System Internals[EB/OL].[20070401].htt p:///source/168266.[4]张帆,史彩成.Windows驱动开发技术详解[M].北京:电子工业出版社,2008.[5]WALTER ONEY.Progr amming the Micr osoft Windows Dr iver Mode[EB/OL].[20080215].http://download.cs/sour ce/353955.Research on Occultation Techniques of Kernel Rootkit Based onFile System Filter DriverH OU Chun ming,LIU Lin(College of Physics Science and Infor mation Engineer ing,Jishou University,Jishou416000,H unan China)Abstr act:A Rootkit is a set of programs and code that allows a permanent or consistent,undetectable presence on a computer.Windows ker nel Rootkit based on file system filter driver has been resear ched. The work principle of file system filter driver and the realization of filter driver and occultation tech niques of kernel Rootkit based on file system filter driver have been introduced.T he techniques of Root kit detection have been discussed.Key words:file system;Rootkit;filter driver;occultation(责任编辑陈炳权) (上接第28页)Maximum Norm Superapproximation of the Triquadratic Block Finite Element S olution to the Three Dimension Problem with Variable CoefficientsDENG Yi jun(Depar tment of Mathemat ics,H unan Inter nat ional Econom ics College,Changsha410205,China)Abstr act:For an variable coefficients elliptic equation in3D,weak estimates for the block finite element over rectangular parallelepiped partitions of the domain are obtained by using three dimensional interpo lation operator of projection type and interpolating approximation proper ties.Fur thermore,in combina tion with three dimensional discrete Green functions,the author derives the maximum norm superapprox imation r esults with high accuracy of the displacement and gr adient for block finite elements.Key words:variable coefficients elliptic equation;block finite element;interpolation operator of projection type;discr ete Green funtions;superapproximation(责任编辑向阳洁)。