CN104657679A - 一种基于ntfs备选数据流存储文件hash的方法 - Google Patents
一种基于ntfs备选数据流存储文件hash的方法 Download PDFInfo
- Publication number
- CN104657679A CN104657679A CN201510093949.5A CN201510093949A CN104657679A CN 104657679 A CN104657679 A CN 104657679A CN 201510093949 A CN201510093949 A CN 201510093949A CN 104657679 A CN104657679 A CN 104657679A
- Authority
- CN
- China
- Prior art keywords
- hash
- file
- ntfs
- data stream
- data streams
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
- G06F16/137—Hash-based
Abstract
本发明公开了一种基于NTFS备选数据流存储文件HASH的方法,属于计算机信息安全领域。该方法包括以下步骤(一)NTFS备选数据流的创建和读写;(二)对文件生成HASH;(三)比较存储的HASH和文件现HASH,确定文件是否被修改。与现有技术相比,本发明的方法可解决一些文件,特别是可执行脚本被偷偷修改的问题,以及可执行文件被恶意修改或者替换的问题,具有很好的推广应用价值。
Description
技术领域
本发明涉及信息安全领域,具体地说是一种基于NTFS(New Technology File System)备选数据流存储文件HASH(哈希)的方法。
背景技术
随着计算机技术突飞猛进的发展,各行各业都越来越离不开计算机,企业中的计算机数量正在不断增加,管理成本逐年提高。信息安全问题也越来越能够引起人们的注意,如何能够有效的管理规模化的计算机主机和保证其信息安全成为急需解决的技术问题。
现有技术的做法包括设置密码禁止非法用户登录主机,修改文件信息;通过安全软件限制只让合法程序执行等等。虽然能够在一定程度上保护信息安全,但仍然存在着一些漏洞或者影响系统运行效率的问题,如经常出现的可执行文件被恶意修改或者替换的问题等。
发明内容
本发明的技术任务是针对上述现有技术的不足,提供一种基于NTFS备选数据流存储文件HASH的方法。
本发明的技术任务是按以下方式实现的:一种基于NTFS备选数据流存储文件HASH的方法,包括以下步骤:
(一) NTFS备选数据流的创建和读写
使用NTFS提供的备选数据流功能,建立新的文件数据流,关联到文件,并且能够读取和写入该数据流;
(二)对文件生成HASH
对文件做HASH,把HASH值存储在文件对应的一个数据流中做备份;
(三)比较存储的HASH和文件现HASH
对于已经有HASH备份的文件,当被使用到的时候,再次做HASH,与备份的HASH做比较,确定是否被修改。
为了保证存储HASH的数据流不被恶意破坏,在生成数据流的过程中,可以对数据流名称使用加密算法,并且在读取数据流的时候,解密数据流名称,确定是否存在存储HASH的数据流。
当文件被替换时,备份HASH值的数据流不存在,默认文件被修改。
或者,设置一个普通文件,用于存储HASH值,当文件数据流中不存在备份的HASH的时候,再在普通文件中进行搜索。
与现有技术相比,本发明的基于NTFS备选数据流存储文件HASH的方法具有以下突出的有益效果:
(一) 通过将文件的HASH(哈希)值存储在文件的一个数据流中,使文件和文件HASH(哈希)值关联在一起,本发明基于NTFS的备选数据流特性(数据流文件不会随文件的移动,重命名而丢失),使可以在不影响文件内容、大小的情况下有存储一些额外信息的能力,具有安全,方便,高效的特点;
(二) 由于文件和文件HASH值有了关联,可以方便的找到原文件的HASH值,对现文件做HASH,与保存的HASH值做对比,即可解决一些文件,特别是可执行脚本被偷偷修改的问题,以及可执行文件被恶意修改或者替换的问题;
(三) 为了方便在企业级的环境中扩散一些受信文件,可以在软件中实现本发明的功能,方便管理。
附图说明
附图1是实施例中文件和它对应的数据流拓扑图;
附图2是实施例中生成HASH,并保存到数据流的流程图;
附图3是实施例中对比HASH流程图;
附图4是实施例中对数据流加密过程的流程图;
附图5是实施例中对数据流解密过程的流程图。
具体实施方式
参照说明书附图以具体实施例对本发明的基于NTFS备选数据流存储文件HASH的方法作以下详细地说明。
实施例:
如附图1所示,本发明的基于NTFS备选数据流存储文件HASH的方法通过在NTFS的文件的备选数据流中存储该文件的HASH值,使操作该文件时立刻就可以获得保存的HASH值。
为了确定已经文件,特别是一些可执行的脚步文件是否被修改,首先对文件做HASH,保存到该文件的备选数据流文件中。而后在使用该文件的时候,重新做HASH,再与保存在备选数据流文件中的HASH做比较,确定是否被修改。如果文件是被替换的,则预定义的数据流文件是不存在的,也可以确定出文件被改动。把HASH值保存到数据流中和比较数据流中的HASH值的流程如附图2、附图3所示。
在一些需要更安全的程序执行控制要求的场景下,可以应用上述把HASH值存储到文件的备选数据流中的方法,当程序执行的时候,获取该可执行文件的HASH,对比保存的HASH,可以有效保证受信任的程序能够执行,而其他程序不允许执行。对于可能遇到可执行文件被替换,这时文件不存在保存HASH值的数据流的情况,可以有两种解决方法:一、HASH值的数据流不存在,默认文件被修改;二、保存哈希值的时候,另外追加保存到一个普通文件中,当文件数据流中不存在HASH的时候再去搜索保存HASH集合的文件,提高系统允许效率。
对于文件的数据流可能被其他恶意程序修改的问题,可以在创建文件数据流的时候对预定义的数据流名称加密,在写入数据流的时候对写入内容加密,加密过程如附图4所示。
如附图5所示,使用文件时,首先需要获取所有数据流名称,并用解密算法解密。而后判断是否存在存储HASH的数据流,如果存在,则进行比较判断,确定文件是否被修改过;如果不存在,返回不存在HASH数据流的提示。
Claims (4)
1.一种基于NTFS备选数据流存储文件HASH的方法,其特征在于包括以下步骤:
(一) NTFS备选数据流的创建和读写
使用NTFS提供的备选数据流功能,建立新的文件数据流,关联到文件,并且能够读取和写入该数据流;
(二)对文件生成HASH
对文件做HASH,把HASH值存储在文件对应的一个数据流中做备份;
(三)比较存储的HASH和文件现HASH
对于已经有HASH备份的文件,当被使用到的时候,再次做HASH,与备份的HASH做比较,确定是否被修改。
2.根据权利要求1所述的基于NTFS备选数据流存储文件HASH的方法,其特征在于:
在生成数据流的过程中,对数据流名称使用加密算法,并且在读取数据流的时候,解密数据流名称,确定是否存在存储HASH的数据流。
3.权利要求1或2所述基于NTFS备选数据流存储文件HASH的方法的搭建方法,其特征在于:备份的HASH值的数据流不存在时,默认文件被修改。
4.权利要求1或2所述基于NTFS备选数据流存储文件HASH的方法的搭建方法,其特征在于:设置有普通文件,用于存储HASH值,当文件数据流中不存在备份的HASH的时候,再在普通文件中进行搜索。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510093949.5A CN104657679A (zh) | 2015-03-03 | 2015-03-03 | 一种基于ntfs备选数据流存储文件hash的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510093949.5A CN104657679A (zh) | 2015-03-03 | 2015-03-03 | 一种基于ntfs备选数据流存储文件hash的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104657679A true CN104657679A (zh) | 2015-05-27 |
Family
ID=53248787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510093949.5A Pending CN104657679A (zh) | 2015-03-03 | 2015-03-03 | 一种基于ntfs备选数据流存储文件hash的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104657679A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105956492A (zh) * | 2016-06-23 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种文件存储加密方法及装置 |
| CN113556232A (zh) * | 2021-06-30 | 2021-10-26 | 东风汽车集团股份有限公司 | 用于车云通信及文件传输的验签方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101809566A (zh) * | 2007-10-01 | 2010-08-18 | 微软公司 | 高效的文件散列标识符计算 |
| WO2011099972A1 (en) * | 2010-02-11 | 2011-08-18 | Hewlett-Packard Company, L. P. | Executable identity based file access |
-
2015
- 2015-03-03 CN CN201510093949.5A patent/CN104657679A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101809566A (zh) * | 2007-10-01 | 2010-08-18 | 微软公司 | 高效的文件散列标识符计算 |
| WO2011099972A1 (en) * | 2010-02-11 | 2011-08-18 | Hewlett-Packard Company, L. P. | Executable identity based file access |
| CN102812473A (zh) * | 2010-02-11 | 2012-12-05 | 惠普发展公司,有限责任合伙企业 | 基于可执行程序身份的文件访问 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105956492A (zh) * | 2016-06-23 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种文件存储加密方法及装置 |
| CN105956492B (zh) * | 2016-06-23 | 2019-01-25 | 浪潮(北京)电子信息产业有限公司 | 一种文件存储加密方法及装置 |
| CN113556232A (zh) * | 2021-06-30 | 2021-10-26 | 东风汽车集团股份有限公司 | 用于车云通信及文件传输的验签方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10140370B1 (en) | Systems and methods for maintaining encrypted search indexes on third-party storage systems | |
| US10032025B1 (en) | Behavior-based ransomware detection | |
| EP3568791B1 (en) | Early runtime detection and prevention of ransomware | |
| US10032033B2 (en) | Systems and methods for protecting backed-up data from ransomware attacks | |
| US9852289B1 (en) | Systems and methods for protecting files from malicious encryption attempts | |
| US10326772B2 (en) | Systems and methods for anonymizing log entries | |
| US11768936B2 (en) | Anomaly-based ransomware detection for encrypted files | |
| US20190332765A1 (en) | File processing method and system, and data processing method | |
| US8839446B2 (en) | Protecting archive structure with directory verifiers | |
| CN107508801B (zh) | 一种文件防篡改的方法及装置 | |
| US11601281B2 (en) | Managing user profiles securely in a user environment | |
| US9928373B2 (en) | Technique for data loss prevention for a cloud sync application | |
| US20150127936A1 (en) | User terminal device and encryption method for encrypting in cloud computing environment | |
| US11880476B1 (en) | Filekey access to data | |
| US9208348B1 (en) | Systems and methods for managing encrypted files within application packages | |
| CN110807205B (zh) | 一种文件安全防护方法及装置 | |
| US8751568B1 (en) | Systems and methods for data loss prevention | |
| US9990493B2 (en) | Data processing system security device and security method | |
| CN104657679A (zh) | 一种基于ntfs备选数据流存储文件hash的方法 | |
| WO2019184741A1 (zh) | 应用程序信息的存储、处理方法及装置 | |
| CN110765095A (zh) | 基于Ceph的RBD数据存储方法、系统、服务器及存储介质 | |
| US11455404B2 (en) | Deduplication in a trusted execution environment | |
| CN108073819B (zh) | 一种基于动态重定向的文档防护方法及系统 | |
| US11567684B1 (en) | Constant time updates after memory deduplication | |
| IL267854A (en) | Early detection of running time and prevention of atonement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150527 |