CN102708317A - Windows平台下基于过滤驱动的刻录审计方法 - Google Patents
Windows平台下基于过滤驱动的刻录审计方法 Download PDFInfo
- Publication number
- CN102708317A CN102708317A CN2012101336504A CN201210133650A CN102708317A CN 102708317 A CN102708317 A CN 102708317A CN 2012101336504 A CN2012101336504 A CN 2012101336504A CN 201210133650 A CN201210133650 A CN 201210133650A CN 102708317 A CN102708317 A CN 102708317A
- Authority
- CN
- China
- Prior art keywords
- file
- imprinting
- scsi
- internal memory
- imprinting operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种Windows平台下基于过滤驱动的刻录审计方法,该方法包括安装过滤驱动、捕获刻录操作、分析刻录操作、获取文件路径、获取文件类型和文件所在的计算机IP地址、生成审计数据,该方法在不改变用户执行刻录操作的方式下,充分利用刻录机的技术特性,通过基于过滤驱动的方法对刻录操作所携带的刻录信息进行全面审计,能够快速准确地识别出哪台计算机发生了刻录操作,刻录了哪些文件,同时能够获取完整的审计信息,有效地防止涉密信息通过刻录方式泄漏和扩散。
Description
技术领域
本发明属于计算机系统安全管理技术领域,具体涉及一种Windows平台下基于过滤驱动的刻录审计方法。
背景技术
光盘作为一种存储介质,因其体积小、容量大、易保存等特点,自面市以来就得到广泛的应用。由于光盘不如USB存储设备容易写入数据,目前,在大部分涉密信息系统中,光盘都被作为涉密信息系统和非涉密信息系统之间进行信息交换的首选介质。即便如此,光盘的使用仍然有一定的安全隐患。在现有技术中,监控用户刻录光盘的行为主要有两种方法:一种是在应用层进行API挂钩,通过分析刻录软件的窗口标题等特征获得审计数据;另一种是通过在驱动层拦截所有应用程序的刻录操作来禁用普通的刻录程序,只有技术方案提供的刻录程序才被允许刻录。所有刻录操作都必须且只能由技术方案自身提供的刻录程序来完成,通过该刻录程序完成对刻录操作的审计。
第一种方法和具体的刻录软件密切相关,不同的刻录软件的窗口特征不尽相同,其通用性受到很大的限制。
第二种方法对第一种方法有所改善,解决了其通用性问题,但用户必须使用技术方案提供的刻录程序进行刻录,否则刻录审计就会失败。其不足之处在于:首先,改变了用户进行刻录操作的方式,用户必须学习使用技术方案提供的刻录程序来完成刻录动作,这样就给用户带来了额外的学习成本。其次,为了兼容不同厂商的刻录机,技术方案提供的刻录程序必须满足标准接口规范,并且提供通用的配置设置。由于普通刻录程序(包括刻录机生产厂商提供的刻录程序)不被允许刻录,导致刻录机的很多技术特性得不到发挥,造成硬件资源的浪费。
综上所述,在现有技术中,需要改变用户进行刻录操作的方式来监控刻录行为并获取刻录审计信息。在此种情况下,无法在刻录操作较分散的用户环境中实现监控行为,并且无法充分地利用刻录机的技术特性,造成硬件资源的浪费。因此,需要找到一种方法,能够在不改变用户进行刻录操作的方式,同时又能充分利用刻录机的技术特性的情况下,实现监控行为,获取刻录审计信息。
发明内容
本发明为解决上述现有技术中的不足,提供一种Windows平台下基于过滤驱动的刻录审计方法,在不改变用户执行刻录操作的方式,并且能够充分利用刻录机的技术特性的情况下,实现刻录监控行为,获取刻录审计信息。刻录审计信息包括:刻录进程名称、文件名称、文件大小、文件修改日期、文件路径、文件类型、文件所在的计算机IP地址。
为解决上述技术问题,本发明采用如下技术方案:
Windows平台下基于过滤驱动的刻录审计方法,包含以下步骤:
a.安装过滤驱动:通过挂载刻录机所使用的功能驱动程序,完成安装过滤驱动;
b.捕获刻录操作:在用户通过刻录程序发起刻录操作时,过滤驱动捕获刻录操作并获取刻录操作所携带的上下文信息;根据该上下文信息获取刻录操作的基本信息;将刻录操作的基本信息存储在内存中;
所述上下文信息包括:SCSI CDB(SCSI Command Descriptor Block,即SCSI命令描述块)、刻录进程ID;
所述刻录操作的基本信息包括:SCSI命令、SCSI数据块、SCSI数据大小、刻录进程名称;
所述SCSI数据块包括:SCSI数据头、SCSI数据;
c.分析刻录操作:通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块,获取文件名称、文件大小、文件修改日期,将文件名称、文件大小、文件修改日期存储在内存中;
d.获取文件路径:
用户在刻录文件时,刻录程序首先打开该文件并将该文件中的内容读取到内存中,获取所述刻录程序启动以来打开的所有文件,生成打开文件列表,将打开文件列表中的每个文件与步骤c获取的文件名称匹配,如果匹配成功,则获取文件路径;如果匹配失败,则结束;
将文件路径存储在内存中;
e.获取文件类型和文件所在的计算机IP地址:
通过所述文件名称、文件路径获取文件类型、文件所在的计算机IP地址并存储在内存中;
f.生成审计数据:汇总步骤b至步骤e存储在内存中的信息,生成审计数据;
所述审计数据包括:刻录进程名称、文件名称、文件大小、文件修改日期、文件路径、文件类型、文件所在的计算机IP地址。
在所述步骤c中,通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块,获取文件名称、文件大小、文件修改日期,进一步包括以下步骤:
c1.根据刻录操作的基本信息中的SCSI命令进行判断,如果SCSI命令是写命令,则继续执行步骤c2;如果SCSI命令不是写命令,则结束,即没有发生刻录操作;
c2.获取文件系统类型,通过分析SCSI数据块中的SCSI数据头获取文件系统类型;根据该文件系统类型进行判断,如果该文件系统类型是CDFS(CD-ROM File System,即CD-ROM文件系统),则执行步骤c3;如果该文件系统类型是UDF(Universal Disk Format,即通用磁盘格式),则执行步骤c4;
c3.按照CDFS规范,分析SCSI数据块中的SCSI数据,获取文件名称、文件大小、文件修改日期;
c4.按照UDF规范,分析SCSI数据块中的SCSI数据,获取文件名称、文件大小、文件修改日期。
本发明的有益效果在于:本发明的Windows平台下基于过滤驱动的刻录审计方法,通过挂载刻录机所使用的功能驱动程序,分析捕获到的刻录操作以及刻录操作所携带的上下文信息,获得刻录审计信息,可针对不同的用户环境,在不改变用户执行刻录操作的方式下,充分利用刻录机的技术特性,实现对刻录操作的监控和审计,可以记录哪台计算机执行了刻录操作,刻录了哪种类型的文件,完整地记录文件属性,有效地防止涉密信息通过刻录方式泄漏和扩散。
附图说明
图1是本发明的刻录审计方法的流程图;
图2是本发明的刻录审计方法步骤c的流程图;
图3是本发明的实施例的刻录审计系统的结构示意图。
具体实施方式
下面将结合附图及实施例,对本发明做进一步详细描述。
本发明提供了一种Windows平台下基于过滤驱动的刻录审计方法,其应用场景为局域网环境,如图3所示,该局域网包括服务端计算机301、客户端计算机302。客户端计算机302的操作系统为Windows操作系统,通过客户端计算机302监控刻录行为来获取刻录审计数据,在服务端计算机301上显示审计数据,从而实现刻录审计。
例如,客户端计算机302的IP地址为192.168.0.85,用户通过客户端计算机302,使用刻录程序NeroExpress.exe刻录一个文件路径为D:\Program Files\Adobe\Adobe Photoshop CS3、文件名称为Photoshop.exe、文件类型为.exe、大小为40M的文件。对文件名称为Photoshop.exe的文件执行刻录整个文件的操作。
如图1所示,本发明的Windows平台下基于过滤驱动的刻录审计方法,具体工作步骤如下:
a.安装过滤驱动101:在客户端计算机302上,通过挂载刻录机所使用的功能驱动程序,完成安装过滤驱动;
b.捕获刻录操作102:用户在客户端计算机302上通过刻录程序发起刻录操作,刻录文件名称为Photoshop.exe的文件,通过过滤驱动捕获刻录操作并获取刻录操作所携带的上下文信息,包括:SCSI CDB(SCSI Command Descriptor Block,即SCSI命令描述块)、刻录进程ID1220;根据该上下文信息获取刻录操作的基本信息,包括:SCSI命令、SCSI数据块、SCSI数据大小、刻录进程名称NeroExpress.exe;将刻录操作的基本信息存储在内存中;
c.分析刻录操作103:通过分析刻录操作的基本信息中的SCSI命令、SCSI数据,获取文件名称、文件大小、文件修改日期,将文件名称、文件大小、文件修改日期存储在内存中,如图2所示,具体步骤如下:
步骤201:根据刻录操作的基本信息中的SCSI命令进行判断,本实施例是刻录Photoshop.exe文件,因此SCSI命令是写命令,继续执行步骤202,文件可能发生刻录操作;(如果SCSI命令不是写命令,则结束,即文件没有发生刻录操作)
步骤202:获取文件系统类型,通过分析SCSI数据块中的SCSI数据头获取文件系统类型;本实施例的文件系统类型是CDFS(CD-ROM File System,即CD-ROM文件系统),则执行步骤203;(如果该文件系统类型是UDF(Universal Disk Format,即通用磁盘格式),则执行步骤204)
步骤203:按照CDFS规范,分析SCSI数据块中的SCSI数据,获取文件名称Photoshop.exe、文件大小40M、文件修改日期2012-4-20-8-30-20;
步骤204:按照UDF规范,分析SCSI数据块中的SCSI数据,获取文件名称Photoshop.exe、文件大小40M、文件修改日期2012-4-20-8-30-20;
将上述获取的文件名称Photoshop.exe、文件大小40M、文件修改日期2012-4-20-8-30-20存储在内存中;
d.获取文件路径104:用户在刻录文件Photoshop.exe时,刻录程序NeroExpress.exe首先打开该文件并将该文件中的内容读取到内存中,获取所述刻录程序启动以来打开的所有文件,生产打开文件列表,将打开文件列表中的每个文件与步骤c获取的文件名称Photoshop.exe匹配;在本实施例,因为是刻录Photoshop.exe文件,因此打开文件列表中包含Photoshop.exe,因此匹配成功,获取文件路径D:\Program Files\Adobe\Adobe Photoshop CS3;(如果匹配失败,则结束,即文件没有发生刻录操作)
将文件路径D:\Program Files\Adobe\Adobe Photoshop CS3存储在内存中;
e.获取文件类型和文件所在的计算机IP地址105:
通过文件名称Photoshop.exe、文件路径D:\Program Files\Adobe\Adobe Photoshop CS3获取文件类型为.exe、文件所在的计算机IP地址192.168.0.85,并将文件类型为.exe、文件所在的计算机IP地址192.168.0.85存储在内存中;
f.生成审计数据106:汇总步骤b至步骤e存储在内存中的信息,生成审计数据;
所述审计数据包括:刻录进程名称NeroExpress.exe、文件名称Photoshop.exe、文件大小40M、文件修改日期2012-4-20-8-30-20、文件路径D:\Program Files\Adobe\Adobe Photoshop CS3、文件类型.exe、文件所在的计算机IP地址192.168.0.85。
客户端计算机302通过TCP协议将监控打印行为获得的审计数据发送至服务端计算机301,在服务端计算机301上显示审计数据,从而实现对刻录操作的审计。
Claims (2)
1.Windows平台下基于过滤驱动的刻录审计方法,其特征在于,该方法包含以下步骤:
a.安装过滤驱动:通过挂载刻录机所使用的功能驱动程序,完成安装过滤驱动;
b.捕获刻录操作:在用户通过刻录程序发起刻录操作时,过滤驱动捕获刻录操作并获取刻录操作所携带的上下文信息;根据该上下文信息获取刻录操作的基本信息;将刻录操作的基本信息存储在内存中;
所述上下文信息包括:SCSI CDB(SCSI Command Descriptor Block,即SCSI命令描述块)、刻录进程ID;
所述刻录操作的基本信息包括:SCSI命令、SCSI数据块、SCSI数据大小、刻录进程名称;
所述SCSI数据块包括:SCSI数据头、SCSI数据;
c.分析刻录操作:通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块,获取文件名称、文件大小、文件修改日期,将文件名称、文件大小、文件修改日期存储在内存中;
d.获取文件路径:
用户在刻录文件时,刻录程序首先打开该文件并将该文件中的内容读取到内存中,获取所述刻录程序启动以来打开的所有文件,生成打开文件列表,将打开文件列表中的每个文件与步骤c获取的文件名称匹配,如果匹配成功,则获取文件路径;如果匹配失败,则结束;
将文件路径存储在内存中;
e.获取文件类型和文件所在的计算机IP地址:
通过所述文件名称、文件路径获取文件类型、文件所在的计算机IP地址并存储在内存中;
f.生成审计数据:汇总步骤b至步骤e存储在内存中的信息,生成审计数据;
所述审计数据包括:刻录进程名称、文件名称、文件大小、文件修改日期、文件路径、文件类型、文件所在的计算机IP地址。
2.如权利要求1所述的刻录审计方法,其特征在于:所述步骤c中,通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块,获取文件名称、文件大小、文件修改日期,进一步包括以下步骤:
c1.根据刻录操作的基本信息中的SCSI命令进行判断,如果SCSI命令是写命令,则继续执行步骤c2;如果SCSI命令不是写命令,则结束,即没有发生刻录操作;
c2.获取文件系统类型,通过分析SCSI数据块中的SCSI数据头获取文件系统类型;根据该文件系统类型进行判断,如果该文件系统类型是CDFS(CD-ROM File System,即CD-ROM文件系统),则执行步骤c3;如果该文件系统类型是UDF(Universal Disk Format,即通用磁盘格式),则执行步骤c4;
c3.按照CDFS规范,分析SCSI数据块中的SCSI数据,获取文件名称、文件大小、文件修改日期;
c4.按照UDF规范,分析SCSI数据块中的SCSI数据,获取文件名称、文件大小、文件修改日期。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210133650.4A CN102708317B (zh) | 2012-05-03 | 2012-05-03 | Windows平台下基于过滤驱动的刻录审计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210133650.4A CN102708317B (zh) | 2012-05-03 | 2012-05-03 | Windows平台下基于过滤驱动的刻录审计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102708317A true CN102708317A (zh) | 2012-10-03 |
| CN102708317B CN102708317B (zh) | 2015-04-22 |
Family
ID=46901069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210133650.4A Active CN102708317B (zh) | 2012-05-03 | 2012-05-03 | Windows平台下基于过滤驱动的刻录审计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102708317B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109271341A (zh) * | 2018-08-31 | 2019-01-25 | 黄疆 | 一种镜像磁盘文件过滤方法 |
| CN109344607A (zh) * | 2018-10-08 | 2019-02-15 | 江苏神州信源系统工程有限公司 | 基于系统调用hook技术控制Linux系统刻录的方法及装置 |
| CN112364374A (zh) * | 2020-11-04 | 2021-02-12 | 沈阳通用软件有限公司 | Linux平台上文件复制、移动、压缩、解压操作识别方法 |
| CN114446328A (zh) * | 2021-12-27 | 2022-05-06 | 奇安信科技集团股份有限公司 | 光盘刻录审计方法及装置 |
| CN114512151A (zh) * | 2021-12-28 | 2022-05-17 | 奇安信科技集团股份有限公司 | 一种审计管控光盘刻录的方法及系统 |
| CN116798457A (zh) * | 2023-08-29 | 2023-09-22 | 中孚安全技术有限公司 | 刻录行为识别与管控方法、系统、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838137A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种对即插即用存储设备进行读写访问控制的方法 |
| CN101086735A (zh) * | 2006-06-09 | 2007-12-12 | 联想(北京)有限公司 | 一种实现电子书签的系统和方法 |
| US20100115614A1 (en) * | 2008-10-31 | 2010-05-06 | Ian Barile | Data loss protection through application data access classification |
| CN102110201A (zh) * | 2009-12-28 | 2011-06-29 | 北京中讯锐尔科技有限公司 | 光盘刻录监控与审计系统 |
-
2012
- 2012-05-03 CN CN201210133650.4A patent/CN102708317B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838137A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种对即插即用存储设备进行读写访问控制的方法 |
| CN101086735A (zh) * | 2006-06-09 | 2007-12-12 | 联想(北京)有限公司 | 一种实现电子书签的系统和方法 |
| US20100115614A1 (en) * | 2008-10-31 | 2010-05-06 | Ian Barile | Data loss protection through application data access classification |
| CN102110201A (zh) * | 2009-12-28 | 2011-06-29 | 北京中讯锐尔科技有限公司 | 光盘刻录监控与审计系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张桂力: "基于ASPI编程的文件刻录跟踪系统设计与实现", 《重庆文理学院学报(自然科学版)》, vol. 29, no. 3, 30 June 2010 (2010-06-30), pages 51 - 53 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109271341A (zh) * | 2018-08-31 | 2019-01-25 | 黄疆 | 一种镜像磁盘文件过滤方法 |
| CN109271341B (zh) * | 2018-08-31 | 2021-10-26 | 黄疆 | 一种镜像磁盘文件过滤方法 |
| CN109344607A (zh) * | 2018-10-08 | 2019-02-15 | 江苏神州信源系统工程有限公司 | 基于系统调用hook技术控制Linux系统刻录的方法及装置 |
| CN112364374A (zh) * | 2020-11-04 | 2021-02-12 | 沈阳通用软件有限公司 | Linux平台上文件复制、移动、压缩、解压操作识别方法 |
| CN114446328A (zh) * | 2021-12-27 | 2022-05-06 | 奇安信科技集团股份有限公司 | 光盘刻录审计方法及装置 |
| CN114446328B (zh) * | 2021-12-27 | 2023-09-22 | 奇安信科技集团股份有限公司 | 光盘刻录审计方法及装置 |
| CN114512151A (zh) * | 2021-12-28 | 2022-05-17 | 奇安信科技集团股份有限公司 | 一种审计管控光盘刻录的方法及系统 |
| CN114512151B (zh) * | 2021-12-28 | 2024-03-22 | 奇安信科技集团股份有限公司 | 一种审计管控光盘刻录的方法及系统 |
| CN116798457A (zh) * | 2023-08-29 | 2023-09-22 | 中孚安全技术有限公司 | 刻录行为识别与管控方法、系统、设备及介质 |
| CN116798457B (zh) * | 2023-08-29 | 2023-12-15 | 中孚安全技术有限公司 | 刻录行为识别与管控方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102708317B (zh) | 2015-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102708317B (zh) | Windows平台下基于过滤驱动的刻录审计方法 | |
| CN109388538B (zh) | 一种基于内核的文件操作行为监控方法及装置 | |
| US7552044B2 (en) | Simulated storage area network | |
| CN101593249B (zh) | 一种可疑文件分析方法及系统 | |
| CN101359355B (zh) | Windows系统下受限帐户提升用户权限的方法 | |
| US20130174214A1 (en) | Management Tracking Agent for Removable Media | |
| CN101458754B (zh) | 一种监控应用程序行为的方法及装置 | |
| CN107409134B (zh) | 法证分析方法 | |
| CN103970533A (zh) | 屏幕录制的信息记录方法及装置 | |
| CN102662611B (zh) | 一种Windows环境下打印审计的方法 | |
| CN105138293A (zh) | 一种基于数据库的磁盘性能评估方法 | |
| WO2015198600A1 (ja) | 解析装置、解析方法、および、解析プログラムが記録された記憶媒体 | |
| Nikkel | Practical Forensic Imaging: Securing Digital Evidence with Linux Tools | |
| US8997048B1 (en) | Method and apparatus for profiling a virtual machine | |
| KR101968539B1 (ko) | 타임 라인 기반의 라이브 포렌식 시각화 시스템 및 방법 | |
| KR20130075300A (ko) | 공개형 악성코드 관리 및 분석 시스템 | |
| CN108038031A (zh) | 一种实时监控硬盘在线状态的方法及装置 | |
| CN104637498B (zh) | 一种测试系统级震动对硬盘性能影响的方法 | |
| CN102968366A (zh) | 一种蓝光播放器日志本地存储方法及装置 | |
| CN101334990A (zh) | 信息显示设备、显示系统和信息显示方法 | |
| Barakat et al. | Windows forensic investigations using powerforensics tool | |
| CN106126487A (zh) | 一种日志文件拆分方法及装置 | |
| US20120137274A1 (en) | Software application feedback collection system and method | |
| JP5341604B2 (ja) | ユーザログ収集装置、及びユーザログ管理システム | |
| KR102294926B1 (ko) | 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: Hunnan New District Wenhui street Shenyang city Liaoning province 110002 No. 19 Jin Penglong high tech Industrial Park, No. 21 Patentee after: Shenyang GeneralSoft Co.,Ltd. Address before: 2, 8-1 floor, 110002 Antu street, Heping District, Liaoning, Shenyang Patentee before: Shenyang GeneralSoft Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20210715 Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Beijing Hongteng Intelligent Technology Co.,Ltd. Address before: 110002 No.21, jinpenglong high tech Industrial Park, No.19, Wenhui street, Hunnan New District, Shenyang City, Liaoning Province Patentee before: SHENYANG GENERALSOFT Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee before: Beijing Hongteng Intelligent Technology Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |