CN104036191B - 一种基于文件过滤驱动和文件格式特征码的控制方法 - Google Patents
一种基于文件过滤驱动和文件格式特征码的控制方法 Download PDFInfo
- Publication number
- CN104036191B CN104036191B CN201410257865.6A CN201410257865A CN104036191B CN 104036191 B CN104036191 B CN 104036191B CN 201410257865 A CN201410257865 A CN 201410257865A CN 104036191 B CN104036191 B CN 104036191B
- Authority
- CN
- China
- Prior art keywords
- file
- fsd
- filter driver
- document
- condition code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于文件过滤驱动和文件格式特征码的控制方法,通过文件过滤驱动对文件IO请求包进行文件特征码和可信赖进程配置双重检查,根据检查结果实现文件的拦截或者通过。以确定文件是否可以被写入磁盘,实现了严格保护电脑的情况下又可以自动完成电脑中应用程序的升级、更新。
Description
技术领域
本发明涉及文件过滤技术、文件格式特征识别技术领域。
背景技术
Secure IO是基于文件系统过滤的技术,文件过滤驱动是由微软公司提供的基于Windows NT文件系统的过滤驱动技术架构,具体可参见微软相关的技术网站:
http://www.microsoft.com/whdc/driver/filterdrv/default.mspx
http://msdn.microsoft.com/en-us/library/ms793580.aspx
Windows文件过滤驱动在文件系统上拦截目标请求,在请求到达目标前,过滤驱动可以扩展或替换原目标请求的功能。通过文件过滤驱动可以实现防病毒过滤功能。文件过滤驱动工作于操作系统的内核模式,处于文件系统(FAT、NTFS等格式)和I/O管理器之间,拦截I/O管理器发出的对文件系统的IRP(I/O Request Packet即I/O请求包)和Fast-I/O请求。
但是,其与系统账户安全策略无关,是独立的安全体系。Secure IO结合了特定的算法可在使用极少的系统资源的情况下完成对外来文件的判断和做出拦截的动作,以达到保存电脑磁盘安全的目的。其理念是不允许任何可执行的文件或脚本进入电脑磁盘,也就保证了电脑中不会运行病毒及木马程序。其目标市场是工业控制电脑、Web服务器、数据服务器等对安全要求更高的企业客户。
发明内容
本发明的目的在于利用SecureIO通过文件特征码和可信赖进程配置双重检查,以确定文件是否可以被写入磁盘,实现了严格保护电脑的情况下又可以自动完成电脑中应用程序的升级、更新。
实现上述目的的技术方案是:
一种基于文件过滤驱动和文件格式特征码的控制方法,通过文件过滤驱动对文件IO请求包进行文件特征码和可信赖进程配置双重检查,根据检查结果实现文件的拦截或者通过。
进一步地,所述控制方法具体包括:
步骤S1,对文件的头信息检查,是否为修改文件操作,若是,进入步骤S2;若否,通过该文件;
步骤S2,对文件的头信息检查,是否在预设的文件特征码配置表中为可执行文件,若否,进入步骤S3;若是,通过该文件;
步骤S3,对文件的头信息检查,是否在预设的可信赖进程配置表中,若是,通过该文件;若否,拦截该文件。
进一步地,所述步骤S3中,通过定义IO控制规则对所述可信赖进程配置表进行设置。
本发明的有益效果是:本发明基于文件过滤驱动、文件格式特征码和可信赖进程配置,确定文件是否拦截,实现了严格保护电脑的情况下又可以自动完成电脑中应用程序的升级、更新,结合中央控制程序的文件、软件下发的功能,被保护的终端不需要依赖其他软件,在保护模式下完成应用软件和文件的更新。
附图说明
图1是本发明的控制方法的流程图;
图2是本发明中可执行文件示例的示意图。
具体实施方式
下面将结合附图对本发明作进一步说明。
本发明的基于文件过滤驱动和文件格式特征码的控制方法,通过文件过滤驱动对文件IO请求包进行文件特征码和可信赖进程配置双重检查,根据检查结果实现文件的拦截或者通过。请参阅图1,具体包括:
步骤S1,对文件的头信息检查,是否为修改文件操作,若是,进入步骤S2;若否,通过该文件;
步骤S2,对文件的头信息检查,是否在预设的文件特征码配置表中为可执行文件,若否,进入步骤S3;若是,通过该文件;
步骤S3,对文件的头信息检查,是否在预设的可信赖进程配置表中,若是,通过该文件;若否,拦截该文件。
其中,通过中央服务器管理程序,可更新终端文件特征码配置表和可信赖进程配置表。
如下表1所示,为部分文件特征码:
表1
通过IRP请求包对文件的头信息进行分析所使用到的CPU资源和内存是资源是极小的,病毒和恶意程序的执行依赖于操作系统本身,而操作系统对文件进行分类又是根据文件头信息来进行的,也就是说,头信息中被标识为可执行的程序,表明此文件直接执行。如果头信息中被标识为一个图片文件的话,系统会根据配置情况启用一个应用程序要读取,也就是说文件不是被直接执行的。SecureIO内置拦截可执行的程序进入电脑,可通过更新配置表以达到拦截其他文件类型的目的。比如要保护Web服务器,需要拦截.html和.jpg等图片文件。如图2所示,为可执行文件示例。其中,Hex offset Ox3C表示:在文件头结构体中,位于0x3C位置的值为0xD8;Hex offset OxD8表示:即在文件偏移0xD8处找到PE字样的字符,表示其为Windows可执行文件的一种。
另外,被保护电脑需要更新和升级应用程序,或更新Web站点的内容文件。这些更新通过是配合应用软件本身需要的,是必不可少的。被SecureIO保护的电脑默认拦截了所有可执行程序的进入,但为应用程序的更新了供了通道。以下IO控制规则用来说明怎样通过可信赖进程配置表的设置来保护电脑:
在终端定义Policy.sio文件,用来定义IO控制规则,
每一行语句定义一条规则,用来指示内核程序是否允许IO请求通过。有5种定义规则及其语法示例:
1)允许某进程将指定文件名的文件写入到指定目录(3个条件)
=process_name&=n:\destination_path\file_name
2)允许任意进程将指定文件名的文件写到指定目录(2个条件)
=x:\destination_path\file_name
3)允许任意进程将指定文件名的文件写到任意目录(1个条件)
=\file_name
4)允许任意进程将受保护的文件(条件1)写入到指定目录。(1个条件)
=n:\destination_path\
5)允许指定的进程将受保护的文件(条件1)写入到任意目录(1个条件)
=process_name
以上实施例仅供说明本发明之用,而非对本发明的限制,有关技术领域的技术人员,在不脱离本发明的精神和范围的情况下,还可以作出各种变换或变型,因此所有等同的技术方案也应该属于本发明的范畴,应由各权利要求所限定。
Claims (2)
1.一种基于文件过滤驱动和文件格式特征码的控制方法,其特征在于,通过文件过滤驱动对文件IO请求包进行文件特征码和可信赖进程配置双重检查,根据检查结果实现文件的拦截或者通过,
具体包括:
步骤S1,对文件的头信息检查,是否为修改文件操作,若是,进入步骤S2;若否,通过该文件;
步骤S2,对文件的头信息检查,是否在预设的文件特征码配置表中为可执行文件,若否,进入步骤S3;若是,通过该文件;
步骤S3,对文件的头信息检查,是否在预设的可信赖进程配置表中,若是,通过该文件;若否,拦截该文件。
2.根据权利要求1所述的基于文件过滤驱动和文件格式特征码的控制方法,其特征在于,所述步骤S3中,通过定义IO控制规则对所述可信赖进程配置表进行设置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410257865.6A CN104036191B (zh) | 2014-06-11 | 2014-06-11 | 一种基于文件过滤驱动和文件格式特征码的控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410257865.6A CN104036191B (zh) | 2014-06-11 | 2014-06-11 | 一种基于文件过滤驱动和文件格式特征码的控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104036191A CN104036191A (zh) | 2014-09-10 |
CN104036191B true CN104036191B (zh) | 2016-08-24 |
Family
ID=51466959
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410257865.6A Active CN104036191B (zh) | 2014-06-11 | 2014-06-11 | 一种基于文件过滤驱动和文件格式特征码的控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104036191B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105574431B (zh) * | 2015-12-10 | 2018-08-03 | 武汉理工大学 | 一种基于多像文件的加密文件系统 |
CN108111508A (zh) * | 2017-12-19 | 2018-06-01 | 浙江维融电子科技股份有限公司 | 一种印控仪安全防护系统 |
CN109379404B (zh) * | 2018-09-14 | 2022-04-01 | 厦门天锐科技股份有限公司 | 基于tdi驱动和代理服务器有效代理转发数据的方法 |
CN113051550A (zh) * | 2021-03-30 | 2021-06-29 | 深信服科技股份有限公司 | 一种终端设备及其防护方法、装置和可读存储介质 |
CN114817156B (zh) * | 2022-06-27 | 2022-09-27 | 北京网藤科技有限公司 | 一种通过文件路径分组进行特征值匹配检索的方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
CN102222185A (zh) * | 2011-05-25 | 2011-10-19 | 成都康禾科技有限公司 | 一种避免操作系统启动文件被感染的方法 |
US8301608B1 (en) * | 2010-10-29 | 2012-10-30 | Symantec Corporation | Real-time access of opportunistically locked files without breaking opportunistic locks |
CN102819717A (zh) * | 2012-08-07 | 2012-12-12 | 北京奇虎科技有限公司 | 一种文件保护处理的方法和装置 |
-
2014
- 2014-06-11 CN CN201410257865.6A patent/CN104036191B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
US8301608B1 (en) * | 2010-10-29 | 2012-10-30 | Symantec Corporation | Real-time access of opportunistically locked files without breaking opportunistic locks |
CN102222185A (zh) * | 2011-05-25 | 2011-10-19 | 成都康禾科技有限公司 | 一种避免操作系统启动文件被感染的方法 |
CN102819717A (zh) * | 2012-08-07 | 2012-12-12 | 北京奇虎科技有限公司 | 一种文件保护处理的方法和装置 |
Non-Patent Citations (2)
Title |
---|
《Windows文件系统过滤驱动在防病毒方面的应用》;刘伟 等;《计算机工程与设计》;20090616;第2652-2655页 * |
《基于文件过滤驱动的病毒防范方法的实现》;陈建熊 等;《计算机技术与发展》;20130310;第143-146页 * |
Also Published As
Publication number | Publication date |
---|---|
CN104036191A (zh) | 2014-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Reis et al. | Site isolation: Process separation for web sites within the browser | |
US11977630B2 (en) | Detecting ransomware | |
CN104036191B (zh) | 一种基于文件过滤驱动和文件格式特征码的控制方法 | |
CN107533608B (zh) | 可信更新 | |
US11089038B2 (en) | Safe sharing of sensitive data | |
Jung et al. | Repackaging attack on android banking applications and its countermeasures | |
US20190238563A1 (en) | Managed software remediation | |
KR101565230B1 (ko) | 샌드박스에 참조들을 유지하는 시스템 및 방법 | |
US8973136B2 (en) | System and method for protecting computer systems from malware attacks | |
Tuncay et al. | Draco: A system for uniform and fine-grained access control for web code on android | |
US11689562B2 (en) | Detection of ransomware | |
US20140283078A1 (en) | Scanning and filtering of hosted content | |
US9189204B2 (en) | Static analysis of computer software applications having a model-view-controller architecture | |
RU2667052C2 (ru) | Обнаружение вредоносного программного обеспечения с перекрестным обзором | |
Choi et al. | Dynamic binary analyzer for scanning vulnerabilities with taint analysis | |
US9723006B2 (en) | Temporary process deprivileging | |
Wu et al. | An overview of mobile malware and solutions | |
Goues et al. | Moving target defenses in the helix self-regenerative architecture | |
US9251362B2 (en) | Medium for storing control program, client apparatus, and control method for client apparatus | |
US11449896B2 (en) | Mitigation of deceptive advertisements | |
CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
Pham et al. | Mac-A-Mal: macOS malware analysis framework resistant to anti evasion techniques | |
US20220345467A1 (en) | Methods and systems for fast-paced dynamic malware analysis | |
Riley | A framework for prototyping and testing data-only rootkit attacks | |
US20210084055A1 (en) | Restricted web browser mode for suspicious websites |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |