• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 6
    • 下载费用:30 金币  

    重庆时时彩十位算法: 文件访问过滤方法.pdf

    关 键 词:
    文件 访问 过滤 方法
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201110066687.5

    申请日:

    2011.03.18

    公开号:

    CN102194079A

    公开日:

    2011.09.21

    当前法律状态:

    授权

    有效性:

    有权

    法律详情: 专利权质押合同登记的注销IPC(主分类):G06F21/57授权公告日:20130911申请日:20110318登记号:2013990001026出质人:北京思创银联科技股份有限公司质权人:交通银行股份有限公司北京中关村园区支行解除日:20150203|||专利权质押合同登记的生效IPC(主分类):G06F 21/57登记号:2013990001026登记生效日:20131226出质人:北京思创银联科技股份有限公司质权人:交通银行股份有限公司北京中关村园区支行发明名称:文件访问过滤方法申请日:20110318授权公告日:20130911|||授权|||实质审查的生效IPC(主分类):G06F 21/22申请日:20110318|||公开
    IPC分类号: G06F21/22; G06F9/46 主分类号: G06F21/22
    申请人: 北京思创银联科技股份有限公司
    发明人: 于晓军; 万雪松; 赵辰清
    地址: 100098 北京市海淀区大钟寺13号院1号楼华杰大厦7B9号
    优先权:
    专利代理机构: 北京路浩知识产权代理有限公司 11002 代理人: 王莹
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201110066687.5

    授权公告号:

    ||||||102194079B||||||

    法律状态公告日:

    2015.04.22|||2014.05.28|||2013.09.11|||2011.11.23|||2011.09.21

    法律状态类型:

    专利权质押合同登记的生效、变更及注销|||专利权质押合同登记的生效、变更及注销|||授权|||实质审查的生效|||公开

    摘要

    本发明公开了一种文件访问过滤方法,属于网络安全技术领域,包括以下步骤:S1、处理IRP请求类别和退出驱动请求,并安装相对应的派遣函数;S2、处理用户层的调用,并向内核层发出调用命令;S3、在所述自定义函数中调用所述Windows内核函数时通过参数拿到传入的句柄Handle,通过调用系统的内核函数查询该Handle对应的路径是否是文件夹路径;如果是文件夹路径,并且不包含磁盘盘符,则不进行对比;如果是文件路径,则在所述白名单中进行比较;S4、通过用户层和内核层之间创建的共享事件,通知用户层的应用程序取回BackList中记录的非法访问文件信息,用户层应用程序把该非法访问文件信息写入到日志文件中。本发明能够方便用户进一步采取措施?;じ鋈宋募?。

    权利要求书

    1.一种文件访问过滤方法,其特征在于,包括以下步骤:S1、处理I/O请求包IRP请求类别和退出驱动请求,并安装相对应的派遣函数;S2、处理用户层调用,并向内核层发出调用命令;S3、在所述自定义函数中调用所述Windows内核函数时通过参数拿到传入的句柄Handle,通过调用系统的内核函数查询该Handle对应的路径是否是文件夹路径;如果是文件夹路径,并且不包含磁盘盘符,则不进行对比;如果是文件路径,则在所述白名单中进行比较,如果该文件路径不在所要?;さ奈募肪兜陌酌シ段е谒得鞲梦募肪恫辉谠市矸梦实姆段е?,则将把这次非法访问文件信息记录到返回列表BackList中;S4、通过用户层和内核层之间创建的共享事件,通知用户层的应用程序取回BackList中记录的非法访问文件信息,用户层应用程序把该非法访问文件信息写入到日志文件中。2.如权利要求1所述的文件访问过滤方法,其特征在于,步骤S2具体为:当用户层发出开始命令时,内核层开始查找系统服务描述表SSDT中一种Windows内核函数的地址,并将该地址转换成一种自定义函数的地址,从而完成挂钩动作。3.如权利要求1所述的文件访问过滤方法,其特征在于,步骤S1中,所述IRP请求类别包括IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_CLOSE和IRP_MJ_DEVICE_CONTROL。4.如权利要求2或3所述的文件访问过滤方法,其特征在于,所述Windows内核函数为ZwCreateFile函数。

    说明书

    文件访问过滤方法

    技术领域

    本发明涉及网络安全技术领域,特别涉及一种文件访问过滤方法。

    背景技术

    随着电脑和互联网越来越成为人们生活中不可缺少的一部分,个人文件安全问题越来越受到重视。很多恶意程序或木马在用户不知道的情况下偷偷扫描用户的文件,甚至把文件上传到指定的服务器上。

    在Windows平台下,操作系统分为两部分:用户层(也叫做Ring3层)和内核层(也叫做Ring0层)。Windows所提供的API接口都是从Ring3层调用Ring0层内核函数来实现功能的??梢哉庋?,如果要达到?;さ缒?、?;の募?,在Ring0层采取措施是必不可少的。

    目前市场上开发的文件?;げ?,采用的技术之一就是通过对Windows内核函数ZwCreateFile函数进行挂钩(HOOK),达到控制文件操作、?;の募哪康?。

    众所周知,Windows下文件的访问首先要调用ZwCreateFile拿到文件的句柄,通过文件的句柄再进一步操作文件的读、写、删除等操作。如果在ZwCreateFile函数中加入拦截代码,就可以得到所有操作文件的动作,文件路径、权限、进程等参数。挂钩的具体实现过程:通过windows内核的SSDT(System?Services?Descriptor?Table,系统服务描述表)表,搜索到ZwCreateFile函数地址。替换成自定义的MyCreateFile函数地址,在MyCreateFile中调用原始系统ZwCreateFile函数,这样就达到挂钩windows函数的完整流程。监控的具体实现过程:在自定义函数MyCreateFile函数中,首先得到用户想要操作文件的文件路径,和当前进程等参数。根据允许进程和文件路径,文件类型的白名单列表进行对比,看看是否允许通过。如果符合条件存在于白名单中,将继续调用系统函数ZwCreateFile函数。不符合条件或者没有存在白名单中,将不调用ZwCreateFile函数,直接返回失败。这样就到达监控文件访问的目的。

    以上实现方法的缺陷在于:1、效率比较低:由于文件和文件夹的访问都要经过ZwCreateFile函数,所以很多路径的对比其实都是针对设备和文件夹路径的对比。由于白名单比较长,要完全对比一遍效率自然会下降很多,而且这些对比会带来多余的内存和CPU资源的消耗,增加了系统的不稳定风险。2、没有记录那些文件曾经被非法操作:用户的文件被非法操作,利用产品对其进行了?;?,但是用户并不知道那些文件被那个进程非法操作过,这样这个进程还会有机会再次操作文件。

    发明内容

    (一)要解决的技术问题

    本发明要解决的技术问题是:如何提供一种执行效率高、方便用户进一步采取措施?;じ鋈宋募奈募梦使朔椒?。

    (二)技术方案

    为解决上述技术问题,本发明提供了一种文件访问过滤方法,包括以下步骤:

    S1、处理I/O请求包IRP请求类别和退出驱动请求,并安装相对应的派遣函数;

    S2、处理用户层调用,并向内核层发出调用命令;

    S3、在所述自定义函数中调用所述Windows内核函数时通过参数拿到传入的句柄Handle,通过调用系统的内核函数查询该Handle对应的路径是否是文件夹路径;如果是文件夹路径,并且不包含磁盘盘符,则不进行对比;如果是文件路径,则在所述白名单中进行比较,如果该文件路径不在所要?;さ奈募肪兜陌酌シ段е谒得鞲梦募肪恫辉谠市矸梦实姆段е?,则将把这次非法访问文件信息记录到返回列表BackList中;

    S4、通过用户层和内核层之间创建的共享事件,通知用户层的应用程序取回BackList中记录的非法访问文件信息,用户层应用程序把该非法访问文件信息写入到日志文件中。

    其中,步骤S2具体为:当用户层发出开始命令时,内核层开始查找系统服务描述表SSDT中一种Windows内核函数的地址,并将该地址转换成一种自定义函数的地址,从而完成挂钩动作。

    其中,步骤S1中,所述IRP请求类别包括IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_CLOSE和IRP_MJ_DEVICE_CONTROL。

    其中,所述Windows内核函数为ZwCreateFile函数。

    (三)有益效果

    本发明通过在HOOK内核函数ZwCreateFile使?;の募槐环欠ǚ梦实耐?,区分了文件路径和文件夹路径。提高了对文件夹路径比较的速度,加快了比对效率。为进一步对文件夹进行扩展操作打下了基础。用户通过查看日志(log)文件,可以看到被?;の募木晨?,了解什么时间、哪些进程、访问了哪些文件等非法操作,为用户下一步查杀木马,病毒等恶意程序提供了帮助。

    附图说明

    图1是本发明的方法流程图。

    具体实施方式

    下面结合附图和实施例,对本发明的具体实施方式作进一步详细说明。以下实施例用于说明本发明,但不用来限制本发明的范围。

    如图1所示,本发明的文件访问过滤方法包括以下步骤:

    S1、处理I/O请求包IRP请求类别和退出驱动请求DriverUnload,并安装相对应的派遣函数;

    S2、处理用户层调用,并向内核层发出调用命令,例如:当用户层发出开始命令时,内核层开始查找系统服务描述表SSDT中Windows内核函数ZwCreateFile的地址,并将该地址转换成自定义函数MyCreateFile的地址,从而完成挂钩HOOK动作;

    S3、在所述自定义函数中调用所述Windows内核函数时通过参数拿到传入的句柄Handle,通过调用系统的内核函数查询该Handle对应的路径是否是文件夹路径;如果是文件夹路径,并且不包含磁盘盘符,例如:C://,由于这种情况不在需要对比的名单范围之内,直接返回不进行对比;如果是文件路径,则在所述白名单中进行比较,如果该文件路径不在所要?;さ奈募肪兜陌酌シ段е谒得鞲梦募肪恫辉谠市矸梦实姆段е?,则将把这次非法访问文件信息记录到返回列表BackList中;

    S4、通过用户层和内核层之间创建的共享事件Event,通知用户层的应用程序取回BackList中记录的非法访问文件信息,用户层应用程序把该非法访问文件信息写入到日志文件中。

    其中,步骤S1中,所述IRP请求类别包括IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_CLOSE和IRP_MJ_DEVICE_CONTROL。

    以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利?;し段вτ扇ɡ笙薅?。

    关于本文
    本文标题:文件访问过滤方法.pdf
    链接地址://www.4mum.com.cn/p-5865438.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 六码计划公式 时时彩二星直选中了多少钱 1382472倍投图片 大乐透开奖结果查询 老时时彩官网app下载 五星不定位1码玩法 七星彩教你如何看规律 电子沙盘怎么玩 水果机技巧规律 七乐彩助手app下载 北京pk10官网开奖 12选5投注规律 福利彩票开店利润 旺彩双色球 pk10分析号码走势图 双色球各种走势图表