基于文件系统过滤驱动的Windows文件加密技术研究.docVIP

操作系统中与文件和目录相关的子系统被称为文件系统。 Windows FSD（文件系统驱动程序）体系结构Windows 2000/XP的FSD（File System Driver，文件系统驱动程序）分为本地FSD和远程FSD。 本地FSD：允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己，当开始访问某个卷时，I/O管理器调用FSD来进行卷识别。 ——完成卷识别后，本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块（VPB）在存储管理器创建的卷设备对象和FSD创建的卷设备对象之间建立连接。此连接将I/O管理器的I/O请求转交给FSD设备对象。 远程FSD：允许用户通过网络访问远程计算机上的数据。 由两部分组成：客户端FSD和服务器端FSD。 ——客户端FSD首先接收来自应用程序的I/O请求，并转换为网络文件系统协议命令，然后通过网络发送给服务器端FSD。 ——服务器端FSD监听网络命令，接收网络文件系统协议命令并转交给本地FSD去执行。 FSD与文件系统操作 Windows文件系统的有关操作都是通过FSD完成的： ——显示文件I/O：应用程序通过I/O接口函数如CreateFile，ReadFile，WriteFile等来访问文件。 ——高速缓存延迟写：此线程定期对高速缓存中已被修改的页面进行写操作。 ——高速缓存提前读：此线程负责提前读数据。 ——内存脏页写：此线程定期清洗缓冲区。 ——内存缺页处理 FAT32 Windows 2000/XP通过\Winnt\System32\Drivers\Fastfat.sys提供FAT（File Allocation Table，文件分配表）文件系统驱动程序。FAT32——文件分配表簇标识扩充为32位，主要应用于Windows 9x和Windows Me中。优点：1）具有强大的寻址能力，能比FAT16更有效的管理磁盘；2）根目录下的文件数目不受最多256的限制；3）引导记录扩展为包含重要数据结构的备份，因而分区不易受单点的错误影响；4）支持长文件名格式。缺点：同样不支持系统容错特性和内部安全特性。 NTFS（New Technology File System） NTFS优点 ——支持文件系统数据的可恢复性、安全性、数据冗余和数据容错； ——具有其他高级特性：多数据流、完全支持Unicode、通用索引机制、动态坏簇重新映射（热修复）、完全支持POSIX（可移植操作系统接口）、支持文件数据的压缩、日志记录、支持用户磁盘限额、硬链接与软链接（硬链接允许从多个路径指向同一文件和目录，软链接允许重定向一个目录）、链接跟踪、加密、碎片整理等。 NTFS可恢复性支持 NTFS通过日志记录来实现文件系统的可恢复性。 所有改变文件系统的子操作在磁盘上运行之前，先被记录在日志文件中。在恢复阶段，NTFS根据记录在日志文件中的文件操作信息，对那些部分完成的事务进行重做或撤销，以保证磁盘上文件系统的一致性。这种技术称为“预写日志记录”。 NTFS坏簇恢复支持 Windows 2000/XP卷管理功能分别通过用于基本磁盘的FtDisk和用于动态磁盘的LDM（Logical Disk Manager）的卷管理工具来实现坏簇的修复。 NTFS在运行时动态收集有关坏簇的资料，并存储在系统文件中，而在应用程序环境中不必知道坏簇的存在。当扇区发生错误时，容错驱动程序给NTFS发出该扇区是坏的的通知，NTFS将分配一个新簇来取代坏扇区中的簇，并将数据复制到新簇中，NTFS将标记该坏扇区并不再使用它。 NTFS安全性支持 NTFS把文件和目录看成对象和对象的集合，文件和目录对象都带有安全描述符，并作为文件的一部分存储在磁盘上。进程在打开对象句柄前验证该进程是否具有足够的权限。 NTFS支持加密文件系统（EFS），以阻止非授权用户访问加密文件。 NTFS FSD（文件系统驱动程序） ——I/O管理器将I/O请求送交NTFS FSD执行。 ——应用程序通过NTFS FSD创建和存取文件。步骤如下：首先检查使用权限，看是否合法用户的请求；然后I/O管理器将文件句柄转换为文件对象指针；最后NTFS通过文件对象指针来获得磁盘上的文件。 NTFS磁盘结构 卷 NTFS是以卷为基础的。卷建立在磁盘分区之上。 分区是磁盘的基本组成部分，是一个能够被格式化和单独使用的逻辑单元。当以NTFS格式来格式化磁盘分区时就创建了NTFS卷。 一个磁盘可以有多个卷，一个卷也可以由多个磁盘组成。Windows 2000/XP常使用FAT卷和NTFS卷。一个36GB硬盘的三种磁盘配置的实例如下： 簇 NTFS与FAT一样，使用簇作为磁盘空间分配和回收的基本单位。即一个文件占用若干个整簇，而最后一簇的