浅谈文件系统过滤驱动.docVIP

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
浅谈文件系统过滤驱动.doc

浅谈文件系统过滤驱动讲稿 大家好: 今天我们一起来认识一下文件系统过滤驱动(File System Filter Driver),当今信息化建设日益推进,电子化办公日趋流行,文件的安全性已成为信息安全领域的重要课题之一。目前解决这个问题的主要技术手段有两种: 一是利用应用层HOOK(钩子)技术。 主要是对windows提供的文件操作函数(API)及由文件操作所触发的windows消息进行HOOK,经过适当的处理达到预期目的。 二是开发文件系统过滤驱动程序。 在内核中间层过滤I/O管理派发的I/O请求包IRP(I/O Request Package)。 做简单介绍后,我就从文件系统过滤驱动的定义、原理、应用和前景四个方面开始今天的主题。 谈到文件系统过滤驱动,不得不谈谈文件系统驱动。文件系统驱动是存储管理子系统的一个重要组成部分,它向用户提供在磁盘或光盘等非易失性媒介上信息的存储、转发,同时和存储管理器、高速缓冲管理器紧密结合,不但保证了应用程序可以准确地提取数据文件的内容,而且提高了访问效率。直观点:由截图可知,我们平时用的SD卡、U盘等是FAT、FAT32格式,它们所对应的文件系统驱动则是fastfat.sys、exfat.sys等,硬盘则是NTFS格式,所对应的文件系统驱动是ntfs.sys 它们到底怎么工作的呢?用户进程对磁盘上文件的创建、打开、读、写等操作由WIN 32子系统调用相应的服务来代表该进程发出请求操作。I/O管理器接收到上层传来的I/O请求,应用程序对磁盘发出的操作请求,首先到达 I/O子系统管理器。在进行读写磁盘数据的时候,缓存管理器会保存最近的磁盘存取记录,所以在接收到应用程序读写磁盘的操作请求后,I/O子系统管理器会先检查所访问的数据是否保存在缓存中,若缓存中有要访问的数据,I/O子系统管理器会构造Fast I/O请求包,从缓存中直接存取数据;如果所需数据不在缓存中,I/O子系统管理器会构造相应的IRP(I/O Request Package),然后发往文件系统驱动,同时缓存管理器会保存相应的记录。因此,文件系统过滤驱动程序有两组接口处理由I/O子系统管理器发送来的用户模式应用程序操作请求:一组是普通的处理IRP的分发函数;另一组是FastIo调函数;通过构造输入输出请求包IRP来描述这个请求,然后向下传递给文件系统驱动、存储设备驱动做后续处理,低层驱动处理完毕后把结果依次向上返回,最后经过I/O管理器,由WIN 32子系统把结果返回给发出请求的应用进程,整个对文件的操作请求执行完毕。 Windows NT 的I/O 管理器是可扩展结构,支持分层驱动模型,这样按照我们的需求开发具有某种功能的驱动程序插入到这个层次结构当中,截获所需处理的IRP进行处理,然后再继续向下传递或直接向上返回结果。所以我们可以在I/O管理器与缓存管理器之间,或着文件系统之上,或着文件系统驱动与存储设备驱动之间插入我们的文件系统过滤驱动。 I/O管理器在发送文件操作请求到目标设备对象之前,会检查是否有附加的设备对象挂载在目标设备之上,若有,则把该IRP先发送给附加设备,经附加设备所属驱动程序的处理后,再发送给目标设备完成操作请求。这样通过文件系统过滤驱动程序构造附加设备对象挂载在文件系统的存储设备之上,在过滤驱动程序中对发送到目标设备的操作请求进行预期处理,达到控制文件访问、保护文件安全性等目的。 所以文件系统过滤驱动可以定义为:是一种可选的,为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件,它作为Windows NT执行体的一部分运行。 从应用上:文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作(以FILEMON为例)。按不同的种类划分,文件系统过滤驱动可以分为日志记录、系统监测、数据修改或事件预防几类。通常,以文件系统过滤驱动为核心的应用程序有文件加解密、病毒防护、进程控制、文件访问事后审计信息安全方面的应用。从本地计算机完全可以得知文件系统过滤驱动的应用领域。(实例演示系统注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList) 从实例讲: 一、文件系统过滤驱动在防毒方面的应用 Microsoft Security Essentials 360sd 应用程序在创建一个新文件或打开一个已存在文件时,文件系统过滤驱动程序截获IRP_MJ_CREATE,判断被打开文件是否存在和病毒特征代码库相匹配的特征,若存在,说明文件感染了病毒,失败掉该IRP,拒绝打开;否则,使IRP继续向下传递,完成正常的打开操作。 二、文件系统过滤驱动在加解密方面的应用(结合刚开始的两个图) 透明

您可能关注的文档

文档评论(0)

youyang99 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档