面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序一

最新推荐文章于 2024-05-16 13:22:06 发布
最新推荐文章于 2024-05-16 13:22:06 发布
阅读量5.2k 收藏 14
点赞数 1
文章标签: Windows 驱动 文件透明加解密 Minifilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wxyyxc1992/article/details/27842259
版权

   

.透明加解密驱动程序:


3.1.Windows文件系统及传统文件过滤驱动模型

 

  Windows 操作系统是基于分层思路设计的,每层由若干个组件组成。如图2.1.1,Windows 操作系统简化图所示,Windows 操作系统总体上分为用户层和内核层,内核层的接口对用户层的应用程序提供服务。在用户层,应用程序各自调用相应的Win32 子系统,Win32 子系统将应用程序调用的API 接口转化为Native API 接口。在Native API 接口中调用转化为对系统服务函数的调用,即Native API 穿过了用户层和内核层的界面,到达了内核层,系统服务函数通过I/O 管理器将消息传递给驱动程序。执行体组件提供了大量的内核函数供驱动程序调用,其中I/O 管理器负责发起I/O 请求,并且管理这些请求,使来自用户层的I/O 请求独立于设备,无论是对端口的读写、对键盘的访问,还是对磁盘文件的操作都统一为IRP(I/O Request Packages)的请求形式,IRP 被传递到具体设备的驱动程序,驱动程序负责“完成”这些IRP,之后将结果返回给用户层的应用程序。图2.1.2即展示了用户应用程序在一个开启了缓存机制的文件上的读写流程。



    传统的文件过滤驱动程序位于文件系统驱动程序之上,截获I/O 管理器发送给文件系统驱动程序的IRP 包。每个文件系统驱动程序和过滤驱动程序都有唯一的控制设备对象CDO(Control Device Object),文件系统过滤驱动就是通过把自己的CDO 绑定到文件系统驱动的CDO 上来实现截获文件系统驱动程序的IRP 包。由于Windows 操作系统内核异常复杂在传统的过滤驱动模型中,开发者需要自己处理一系列系统机制的问题,例如建立数据结构来保存处理对象的上下文信息,新建并发送IRP 来查询某些状态,并且需要提供机制预防IRP重入,重入是指的是当前处理的请求会产生新的请求,然后这个请求又被过滤驱动捕获到陷入递归的问题。于是微软引入了一个新的文件过滤驱动框架——Minifilter,用以解决传统过滤驱动开发中的难题。

3.2Minifilter模型简介

Minifilter基于Microsoft公司对于传统型的文件系统过滤驱动整合的基础上提出的过滤管理器(Filter Manager)所提供的接口,使过滤驱动的开发具有了更好的鲁棒性与可移植性。

2.2.1展示了WDK中提供的示例Minifilter模型的框架示意。


Minifilter框架与Legacy Filter框架比较:

l 兼容性

Minifilter模型相对Legacy Filtersfilter模型具有更好的兼容性,不仅仅指在和其它Filter共处时的兼容性,它更多的是对Windows后续版本的兼容性。随着Windows XP系统即将退出历史的舞台,Windows NT 6.X 系列各个版本相继发布,在实际的公司中往往多个版本的操作系统共存,基于Minifilter框架开发的文件透明加密系统可以实现更好地兼容性并且对于用户其他行为的干扰也是较小

  • 文件重入

文件重入问题类似于死锁,指驱动在处理某IRP请求时必须发出并且等待NewIRP的执行结果,而NewIRP又被发送给了驱动本身,最终导致驱动陷入死循环之中而导致用户的请求无法正确及时处理。在WDKWindows提供了IoCreateFileSpecifyDeviceObjectHint函数来实现直接向下层设备打开一个文件对象,但是这个函数的兼容性较差。而Minifilter中提供了这类接口有:FltCreateFileEx),FltReadFile 和 FltWriteFile等,较好地解决了文件重入的问题。

  • 用户态与核心态的双向通信机制

传统的驱动程序与应用程序交互方式采取共享内存、事件驱动的异步/同步通信,通信效率较低开发难度大。Minifilter有内建支持的通信API并且建立了通信端口方便用户交互信息。

  • 上下文的安全管理

传统的文件透明加密驱动中需要对于机密文件进行计数处理(也就是上下文管理),但是由于Microsoft未公布NTFS的源代码,无法获取NTFSFCB的结构体,使得对于FCB的计数与控制存在着一定的困难。Filter Manager 提供了上下文(context)来了解属于自己的对象状态,对于文件一般使用流上下文(StreamContext)来追踪,并且可以把对此文件的操

作状态作为标志位记录在流上下文中。初次打开一个文件对象时,通常调用FltAllocateContext 函数申请一块内存区域,然后调用FltSetStreamContext 将其附着在这个文件对象上,然后在在上下文中记录一些有用的标志位,在其他操作中可以根据这些标志位对文件对象进行适当的操作,每当处理完一个context 之后要调用FltReleaseContext 释放这块内存空间。



王下·邀月熊
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
透明解密_
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
06-27 661
1面向Windows文件透明解密解决方案 面向Windows文件透明解密解决方案(1)——需求分析 https://blog.csdn.net/wxyyxc1992/article/details/27800733 面向Windows文件透明解密解决方案(2)——概要设计 https://blog.csdn.net/wxyyxc1992/article/details/278...
透明密系统设计及实现-透明密的关键技术
08-18 2268
在第一章已经详细地介绍了透明解密系统的主要发展状况,目前市面上的透明密系统,大多存在兼容性差和移植麻烦的情况。最为主要的是目前的透明密系统,缺乏有效的身份认证机制,导致透明密系统的安全性受到了极大的影响。本章结合Minifilter和LayerBSD设计思想,详细地分析了透明密系统的基...
驱动开发:内核解锁与强删文件
热门推荐
CSDN
06-15 1万+
在某些时候我们的系统中会出现一些无法被正常删除的文件,如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉,而所谓的解锁其实就是释放掉文件描述符(句柄表)占用,文件解锁的核心原理是通过调用`ObSetHandleAttributes`函数将特定句柄设置为可关闭状态,然后在调用`ZwClose`将其文件关闭,强制删除则是通过`ObReferenceObjectByHandle`在对象上提供相应的权限后直接调用`ZwDeleteFile`将其删除,虽此类代码较为普遍,但作为揭秘ARK工具来说也必须要将其分析并
主流五款文档透明密软件分享|安全且稳定的密软件
最新发布
m0_69398711的博客
05-16 441
本文将为您推荐几款优秀的文档透明密软件,帮助您更好地保护数据安全。Ping32、安在云系统、AxCrypt、Veracrypt以及BitLocker等文档透明密软件都是目前市场上较为优秀的选择。它们采用了先进的密技术,提供了丰富的安全管理功能,能够满足不同用户的需求。在数字化时代,选择一款合适的文档透明密软件,无疑是企业和个人保护数据安全的重要措施之一。
求助:关于IoCreateFileSpecifyDeviceObjectHint返回结果是STATUS_INVALID_DEVICE_OBJECT_PARAMETER的问题
myworldbig的专栏
07-25 2688
想在sfcreate中用IoCreateFileSpecifyDeviceObjectHint打开一个文件来判断文件是否存在,如果打开同盘的文件可以实现(返回STATUS_OBJECT_NAME_NOT_FOUND
windows驱动中使用AES对IO数据解密
find_the_ferry的博客
11-01 599
Windows驱动中使用aes对IO数据进行解密概述主要测试代码 概述 涉及到文件透明解密场景下的解密算法一般选择有以下几种,aes,rc4,xxtea,简单异或操作,其中RC4、xxtea一般情况下安全性上不如aes好,但是其实现过程比较简单,可以后面有机会在对这两种算法做总结。本次主要使用aes128在驱动中对IO数据流进行解密,主要方向是写入密,读出解密。本文将不对驱动相关知识进行说明,仅仅描述一下一个可在驱动程序中正常使用的aes接口,该接口参考开源项目 tiny-aes-c. 主要测试
PGP透明解密研究原理图
浪子_三少(邮箱:basketwill@qq.com)
04-16 1287
最近一直在研究PGP NetShare ,他的驱动是基于文件透明解密,下面是原理图
python3编写的异或解密小程序
11-27
Python3编写的异或解密小程序是一种基于异或(XOR)运算的简单密和解密工具,适用于个人数据保护和学习密原理。这个小程序利用了Python的强大功能和易用性,结合Qt5库创建了一个图形用户界面,使得操作更直观...
C#文件解密(完整项目)
11-05
这个"文件解密(完整项目)"提供了一个可以直接编译运行的解决方案,对于学习和实践C#文件密技术具有很高的参考价值。通过理解和实践该项目,开发者可以深入理解解密原理,提升数据保护能力。
易语言源码易语言解密配置文件源码.rar
03-30
易语言采用事件驱动面向对象的编程模型,通过图形用户界面(GUI)与用户交互,程序员可以利用其丰富的内置函数和组件来编写程序。在解密领域,易语言提供了相应的密算法库,如DES、AES、RSA等,这些算法在信息...
易语言一个自编的解密函数.rar
03-20
总结来说,"易语言一个自编的解密函数.rar"很可能是一个包含了多种解密技术实现的代码库,开发者通过自定义算法解决了特定的密需求,提供了易语言环境下的安全解决方案。对于学习和研究易语言的开发者来说,...
Minifilter目录保护
10-10
对某目录一下所有子目录和文件进行保护 禁止增、删、改操作,包含应用层与内核通信所有代码,一起送了。
文件解密论文——网络信息安全课程设计java编写
07-02
文件解密论文——网络信息安全课程设计java编写旨在设计和实现一个解密工具,通过对解密算法的研究和实现,提高文件的安全性。 知识点1:文件解密的重要性 文件解密是网络信息安全中的关键技术...
PGP透明解密研究-----简要技术分析
浪子_三少(邮箱:basketwill@qq.com)
04-21 1565
技术分析 ⑴.主要派遣例程 IRP_MJ_CREATE例程 对应的函数: CFilterEngine::DispatchCreate(DEVICE_OBJECT *device, IRP *irp) 如果是自己的设备访问则直接放过 if(device ==CFilterControl::s_control)    {        irp->IoStatus.Status
文件透明密,保护重要数据的安全性
墨门云简单好用的企业安全云平台
12-23 1810
各种泄露事件使人们对信息安全问题的高度关注,随着密技术的不断完善,主流透明密技术被广泛应用于企业密软件中。那么,这个技术如何保护电脑?有什么优点?
局域网网络监控和透明文件密原理、需求、模式、实例、功能、部署、方案全攻略
北京上空的鹰
12-10 4793
 关键词:局域网,网络监控,全攻略,监控软件,监控原理,网络监控软件,上网行为管理,内网管理,透明文件密,反复制,信息安全,流量监控,网桥模式,QQ聊天记录监控,驱动,WINPCAP缺点第一章 什么叫局域网监控1、什么叫局域网(简称为LAN):    为了完整地给出LAN定义,必须使用两种方式:一种是功能性定义,另一种是技术性定义(1)功能性定义:将LAN定义为一组台式计算机
文件透明解密的实现层次
wsdx的专栏
03-04 4394
作者:王永龙 http://www.wangyonglong.com/2012/11/%E6%96%87%E4%BB%B6%E9%80%8F%E6%98%8E%E5%8A%A0%E8%A7%A3%E5%AF%86%E7%9A%84%E5%AE%9E%E7%8E%B0%E5%B1%82%E6%AC%A1/ 文件透明解密是最近几年发展出来的一种文件解密技术。所谓透明,是指在解密
基于Minifilter框架的双缓冲透明解密驱动 课程论文+项目源码
毕业作品网站
06-25 1202
6.解决 FileRenameInformationEx 和 FileRenameInformation 问题,因此可以自动解密 docx,doc,pptx,ppt,xlsx,xls 等使用 tmp 文件重命名方式读写的文件;因为之前写过一个 minifilter 的透明解密驱动,但当时水平确实有限, 有很多的问题,没有找到原因,只是进行了规避,导致在错误的基础上又产生了错误,所以在之前项目开发经验的基础上,写了这个项目。项目->属性的 VC++目录的包含目录,库目录设置相应的位置。
透明密系统设计及实现-WINDOWS内核分析及编程方法
07-04 740
本文主要介绍Windows内核的基本结构,了解Windows的基本结构是进行内核编程的必不可少的内容。透明文件密系统最为核心的单元是采用Windwos 内核过滤驱动进行设计和实现的,故而必须准确认识和理解Windwos内核驱动模型的原理才能设计出合理高效的透明密的驱动程序。过滤驱动...
面向对象实现疑惑解密
05-10
好的,我可以为你解答关于面向对象实现疑惑解密的问题。 首先,我们需要确定解密算法的类型。对于对称密算法,常用的算法有DES、AES等。这些算法的实现都需要密钥,所以我们需要在类中定义一个私有成员变量来存储密钥。同时,我们还需要定义两个方法,一个用于密,一个用于解密。 以AES算法为例,我们可以定义一个AesEncryptor类,其中包含一个私有成员变量key用于存储密钥,以及两个公有方法encrypt和decrypt。 ```python import hashlib from Crypto.Cipher import AES class AesEncryptor: def __init__(self, key): self.key = hashlib.sha256(key.encode()).digest() self.aes = AES.new(self.key, AES.MODE_ECB) def encrypt(self, plaintext): padding_size = 16 - len(plaintext) % 16 plaintext += bytes([padding_size] * padding_size) ciphertext = self.aes.encrypt(plaintext) return ciphertext def decrypt(self, ciphertext): plaintext = self.aes.decrypt(ciphertext) padding_size = plaintext[-1] plaintext = plaintext[:-padding_size] return plaintext ``` 在这个例子中,我们使用了hashlib模块来对密钥进行哈希,以确保密钥的安全性。同时,我们使用了pycryptodome模块中的AES类来实现解密。encrypt方法用于密明文,decrypt方法用于解密密文。 使用时,我们可以创建一个AesEncryptor对象,然后调用其encrypt和decrypt方法来解密数据。 ```python encryptor = AesEncryptor('my secret key') ciphertext = encryptor.encrypt(b'hello world') print(ciphertext) plaintext = encryptor.decrypt(ciphertext) print(plaintext) ``` 希望这个例子能够帮助你更好地理解如何使用面向对象实现疑惑解密

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值