基于文件系统过滤驱动的信息安全防护技术研究(6)
加密算法可以采用AES、RC4、RC6等,并且密钥长度可选择。?
以上的加密和解密操作只是完成电子文档保护的基本核心功能,做到受控文档在存储介质上都是密文存储;除此之外还要考虑使用特殊标识或水印对受控文档的识别,采用内核态HOOK技术对截屏、拷贝、拖曳、另存为、打印、内存转储等动作行为的监控;根据实际需要还可以实现离线解密、外带管理等辅助功能。
?
5内核病毒防火墙技术?
传统的静态文件扫描和杀毒通过用户层的请求加载数据,经过层层调用和用户态与核心态的切换,最终完成查杀,这样执行效率相对较低;而利用文件系统过滤驱动,由于其工作在内核态,可以直接对文件进行操作,降低了系统调用的层数,避免了状态的切换,因而有极高的效率,可以进行实时动态扫描。由于其能够发现并阻止其病毒爆发或扩散,因而称其为病毒防火墙。?
下面介绍基于文件过滤驱动的病毒防火墙的工作机制,如图6。?
应用程序利用CreateFile函数创建一个新文件或者打开一个已经存在的文件时,I/O管理器生成IRP并向下传递,我们的文件系统过滤驱动(病毒防火墙)截获该IRP请求,若是关心的文件类型,则经过进一步处理后能够保证使用的文件不存在病毒,存在病毒的文件不能被打开或使用。如果IRP的返回值表明打开文件时产生了错误,文件系统过滤驱动只是把结果返回给I/O管理器;否则病毒防火墙要接手并扫描整个文件,完成后才能继续以后的工作。?
图6内核病毒防火墙工作机理
为了提高效率,文件过滤驱动程序需要在系统内核中维护病毒特征代码库,其匹配算法可采用现有成熟的高效算法。采用文件过滤驱动程序实现了动态扫描病毒,能保证文件系统的安全运行。分析实时病毒防火墙实现原理有利于改进反病毒软件的执行效率与准确性。
?
6结束语
?
在不需要重新设计底层驱动的前提下,在Windows NT内核下通过文件系统过滤驱动程序巧妙实现了对文件访问的拦截和监控,可以从更底层保证文件数据的安全。针对当前的安全形势,本文提出或改进了一些信息安全防护技术和手段。文件系统过滤驱动具有透明性好、效率高、可扩展性好、自我防护能力强等特点。根据需要可对过滤模块加入不同请求的处理程序,甚至可以实现磁盘镜像和热备份等功能。基于文件过滤驱动的安全防护技术,具有较好的市场前景和应用价值。
?
参 考 文 献?
[1] 楚狂人? Windows文件系统过滤驱动开发教程(第二版)? 2007??
[2] 李新? Windows文件系统的过滤器驱动程序设计??
[3] 孙守阁,徐勇?Windows设备驱动程序技术内幕?清华大学出版社,2001??
[4] Solomon Da,Mark E Russinovich?Windows 2000技术内幕[M]?北京大学出版社,2001??
[5] 李英伟等? USB2?0原理与工程开发(第二版)?国防工业出版社, 2007??
[6] Microsoft Company?Windows2000 DDK Documentation[EB]? 2000??
[7] MSDN? Device Drivers Technical Articles:Handling IRPs.?
[8] 王德明,刘淳,邱俊山?基于过滤器驱动程序的文件保护系统软件设计?四川理工学院学报,2006
(责任编辑:)
相关阅读:
- MySQL CMake source code can't find Curses 2015.08.19
- 网络安全:互联网安全 如何防范木马及病毒的攻击 2015.08.17
- 加强网站服务器安全维护的技巧 2015.08.17
- 电脑离线就安全?这个软件一样能远程窃取数据 2015.08.12
- 如何在Linux上最妥善地管理加密密钥? 2015.08.11
最新内容
热点内容
图文资讯
网络安全:互联网安全 如何防范木马及病毒
一、计算机中毒有哪些症状? 人生病了,会有各种各样的症状,同样,电脑中毒了也会有...[详细]
加强网站服务器安全维护的技巧
计算机系统服务器的维护工作十分重要,稍有不慎就会使整个网络陷入瘫痪。目前,网络经...[详细]
电脑离线就安全?这个软件一样能远程窃取数
以色列的一个研究团队已改良了窃取离线电脑数据的方法。人们一直认为这种离线电脑在面...[详细]
如何在Linux上最妥善地管理加密密钥?
存储SSH加密密钥和牢记密码可能是一件让人很头痛的事儿。不过遗憾的是,在如今恶意黑...[详细]
如何在 Linux 上运行命令前临时清空 Bash
我是个 bash shell 用户。我想临时清空 bash shell 环境变量。但我不想删除或者 unset...[详细]