文件系统过滤驱动.docVIP

1 引言 文件系统过滤概述 文件安全性问题已成为当今信息科学领域最重要的课题之一。目前，解决这个问题的主要技术手段有两种：一是利用应用层HOOK(钩子)技术，对Windows 提供的文件操作函数(API)及由文件操作所触发的Windows消息进行HOOK，经过适当的处理达到预期目的，缺点是效率低、稳定性和一致性差，不适合于大型系统的开发；另一种是开发文件过滤驱动程序，文件过滤驱动作为一种内核态中间层驱动，不需要改变下层驱动或用户程序而增加新的功能，具有效率高、可靠性强、可扩充等特点，成为现阶段信息安全技术研究的热点。 1．1 文件过滤驱动在信息安全领域的应用 1 文件加/解密 文件过滤驱动程序可以实现对指定文件、目录，甚至整个逻辑盘的加/解密功能。当文件在写入磁盘的过程中，截获所有对该文件的IRP_MJ_WRITE，在其分发例程中对IRP携带的数据进行加密处理后写入磁盘；文件被从磁盘读取的过程中，截获所有对该文件的IRP_MJ_READ，在其分发例程中对IRP携带的数据进行解密处理后向上层返回。加密后的文件在磁盘中以密文形式存储，保证了数据存储的安全性。 2 病毒防护 应用程序在创建一个新文件或打开一个已存在文件时，文件系统过滤驱动程序截获IRP_MJ_create，判断被打开文件是否存在和病毒特征代码库相匹配的特征，若存在，说明文件感染了病毒，失败掉该IRP，拒绝打开；否