基于WINDOWS平臺(tái)文件安全機(jī)制的研究.pdf

1、當(dāng)前,基于NT("NewTechnology")架構(gòu)的Windows2000/XP是使用極其廣泛的兩種操作系統(tǒng),在這兩種操作系統(tǒng)環(huán)境下的文件安全也就顯得尤其重要。文件系統(tǒng)過(guò)濾驅(qū)動(dòng)可以截獲發(fā)往文件系統(tǒng)的IRP(I/O請(qǐng)求包),進(jìn)行分析和處理,從而實(shí)現(xiàn)對(duì)文件的訪問(wèn)控制和數(shù)據(jù)保護(hù)。本文介紹了一個(gè)基于文件系統(tǒng)過(guò)濾驅(qū)動(dòng)的的安全文件系統(tǒng),在核心態(tài)實(shí)現(xiàn)數(shù)據(jù)的加解密以及對(duì)目錄文件的訪問(wèn)控制,如打開(kāi)、創(chuàng)建、刪除、寫(xiě)等。本文內(nèi)容主要包括如何利用VC6.0+

2、IFSKIT開(kāi)發(fā)這個(gè)安全文件系統(tǒng)的核心部分即文件系統(tǒng)過(guò)濾驅(qū)動(dòng)。編寫(xiě)過(guò)濾型驅(qū)動(dòng)程序的作用是截獲I/O操作請(qǐng)求,并在該請(qǐng)求傳遞到下一層之前執(zhí)行某些特定功能。該系統(tǒng)正是利用這一功能,在文件系統(tǒng)的操作流程中加入安全內(nèi)核模塊,實(shí)現(xiàn)對(duì)受控文件的相關(guān)安全操作。當(dāng)操作系統(tǒng)啟動(dòng)時(shí),該安全文件系統(tǒng)的內(nèi)核模塊被系統(tǒng)自動(dòng)加載,合法用戶的信息及文件訪問(wèn)控制表也同時(shí)加載進(jìn)來(lái),此時(shí),整個(gè)文件系統(tǒng)處于受控環(huán)境。開(kāi)發(fā)驅(qū)動(dòng)程序提倡使用增量開(kāi)發(fā)方法,所以在這一章里將先實(shí)現(xiàn)一

3、個(gè)能正常工作的文件系統(tǒng)過(guò)濾驅(qū)動(dòng)。所謂能正常工作的文件系統(tǒng)過(guò)濾驅(qū)動(dòng),即這個(gè)過(guò)濾驅(qū)動(dòng)能綁定到每個(gè)卷設(shè)備上面,但對(duì)攔到的所有請(qǐng)求都不作任何修改的往文件系統(tǒng)驅(qū)動(dòng)傳,并不實(shí)現(xiàn)任何的附加功能。實(shí)現(xiàn)這個(gè)過(guò)濾驅(qū)動(dòng)的內(nèi)容包括對(duì)該過(guò)濾驅(qū)動(dòng)的初始化和對(duì)卷設(shè)備的綁定,無(wú)論是操作系統(tǒng)中己有的卷還是插入移動(dòng)存儲(chǔ)設(shè)備動(dòng)態(tài)產(chǎn)生的卷都可以綁定。文中也簡(jiǎn)單介紹了驅(qū)動(dòng)程序的一些基礎(chǔ)知識(shí),著重探討了在開(kāi)發(fā)過(guò)濾驅(qū)動(dòng)中碰到的一些關(guān)鍵問(wèn)題,如對(duì)磁盤(pán)分卷的綁定、文件全路徑的獲取、如何

4、獲得加解密的數(shù)據(jù)等等。I/O管理器使用驅(qū)動(dòng)程序?qū)ο髞?lái)代表每個(gè)設(shè)備驅(qū)動(dòng)程序,這里所說(shuō)的驅(qū)動(dòng)對(duì)象是一種數(shù)據(jù)結(jié)構(gòu)在DDK中命名為DRIVER_OBJECT。任何驅(qū)動(dòng)程序都對(duì)應(yīng)一個(gè)DRIVER_OBJECT.就像我們將要用到的許多數(shù)據(jù)結(jié)構(gòu)一樣,驅(qū)動(dòng)程序?qū)ο笫遣糠植煌该鞯?。這意味著雖然DDK頭中公開(kāi)了整個(gè)結(jié)構(gòu),但我們僅能直接訪問(wèn)或修改結(jié)構(gòu)中的某些域。驅(qū)動(dòng)程序?qū)ο蟮牟煌该饔蛴没冶尘氨硎尽＿@些不透明域類似于C++類中的私有成員或保護(hù)成員,而透明域類似