CN109614300A - 一种基于etw的wpd内的文件操作监视方法 - Google Patents
一种基于etw的wpd内的文件操作监视方法 Download PDFInfo
- Publication number
- CN109614300A CN109614300A CN201811330859.3A CN201811330859A CN109614300A CN 109614300 A CN109614300 A CN 109614300A CN 201811330859 A CN201811330859 A CN 201811330859A CN 109614300 A CN109614300 A CN 109614300A
- Authority
- CN
- China
- Prior art keywords
- file
- log
- attribute
- wpd
- windows
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000012544 monitoring process Methods 0.000 claims abstract description 25
- 238000004891 communication Methods 0.000 claims abstract description 16
- 230000004913 activation Effects 0.000 claims description 60
- 230000004044 response Effects 0.000 claims description 50
- 230000008569 process Effects 0.000 claims description 39
- 238000012217 deletion Methods 0.000 claims description 13
- 230000037430 deletion Effects 0.000 claims description 13
- 238000005094 computer simulation Methods 0.000 claims description 8
- 235000013399 edible fruits Nutrition 0.000 claims description 2
- 238000013459 approach Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种基于ETW的WPD内的文件操作监视方法,包括:WPD的监控回调函数自动调用截取ETW中相关WPD的操作通信日志;对所述WPD的操作通信日志进行分析,回推用户操作并输出用户操作。从海量的系统日志里面,逆向分析出WPD相关文件操作,解决了WPD内文件无法监控的问题;在不影响用户体验的情况下,后台实现对用户操作WPD内文件的进行记录及监视;通过实时监控用户对WPD内文件的操作监视,及时发现用户的危险操作,遏止泄密工作发生,提升安全性;实现通过分析ETW的WPD操作日志,回溯历史操作,揭秘泄密途径;同时,不需要通过底层驱动实现,避免了驱动和系统的兼容性问题,避免了系统监视WPD频繁发生的蓝屏问题。
Description
技术领域
本发明属于WPD内的数据防泄密安全技术领域,尤其涉及一种基于ETW的 WPD内的文件操作监视方法。
背景技术
在数据防泄密安全技术中,通过监视、跟踪、记录用户对系统的硬盘以及各种可移动设备的文件数据操作,能够及时发现用户的高风险操作,在泄密事件发生前就发出警报,遏止泄密事件发生。同时,还可以通过对用户操作数据的分类整理,回溯历史活动,从而发现泄密渠道。
操作Windows便携设备(WPD,Windows Portable Devices),目前是基于媒体传输协议(MTP,Media Transfer Protocol)和图片传输协议(PTP,Picture TransferProtocol),通过对象ID进行文件控制,实现文件操作,与普通文件系统的操作完全不同。因此,对于移动电话、数码相机等WPD,无法通过常规的文件过滤驱动来实现文件的操作监视,目前还没有一套统一可行的途径来实现对WPD中的文件的新建、删除、拷贝等操作进行记录及监控。
如何实现对WPD内的文件操作进行监控,成为数据防泄密领域必须要解决的问题。
发明内容
为解决上述技术问题,本发明提供一种基于ETW的WPD内的文件操作监视方法。
本发明采用如下技术方案:
在一些可选的实施例中,提供一种基于ETW的WPD内的文件操作监视方法,包括:WPD的监控回调函数自动调用截取Windows事件跟踪(ETW,Event Tracing for Windows)中相关WPD的操作通信日志;对所述相关WPD的操作通信日志进行分析,回推用户操作并输出用户操作。
在一些可选的实施例中,该方法还包括:所述WPD的处理器的主进程加载文件操作监视功能模块;所述文件操作监视功能模块监视用户对所述WPD内的文件的操作;操作系统(OS,Operating System)的ETW功能输出通信日志。
在一些可选的实施例中,对所述相关WPD的操作通信日志进行分析的过程包括:识别WPD属性以及文件属性;识别用户操作状态。
在一些可选的实施例中,所述识别WPD属性以及文件属性的过程包括:
步骤S11:查找ETW日志中的获取属性请求日志,记录获取属性请求日志中的激活ID;
步骤S12:查找ETW日志中的获取所有属性请求日志及响应日志,自所述响应日志中获取激活ID,利用Hash查找算法匹配步骤S11的激活ID,如果匹配成功,则进行步骤S13,否则放弃此次匹配;
步骤S13:自所述响应日志中获取对象ID和父元素对象ID,回溯所述父元素对象ID,如果成功匹配到存储的对象,则生成文件路径识别语法树,否则放弃此次匹配;
步骤S14:自所述响应日志中获取文件名、文件属性信息,依据父子关系获取文件存储的路径信息。
在一些可选的实施例中,所述识别用户操作状态的过程包括:
步骤S21:若是查找到ETW日志中的创建文件和属性请求日志,则进行自电脑复制到WPD模式匹配过程;
步骤S22:若是查找到ETW日志中的打开文件请求日志,则进行自WPD 复制到电脑模式匹配过程;
步骤S23:若是查找到ETW日志中上午设置文件请求日志,则进行重命名文件的匹配过程;
步骤S24:若是查找到ETW日志中的删除文件请求日志,则进行删除文件的匹配过程。
在一些可选的实施例中,所述自电脑复制到WPD模式匹配过程包括:
如果查找到ETW日志中的创建文件和属性请求日志,则从创建文件和属性请求日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自创建文件和属性请求日志中获取父元素对象ID,对所述识别WPD属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;
自创建文件和属性请求日志中获取文件名、文件大小属性;
如果查找到ETW日志中的创建文件和属性响应日志,则自创建文件和属性响应日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自创建文件和属性响应日志获取结果,如果结果是成功,则完成此次匹配,生成数据。
在一些可选的实施例中,所述自WPD复制到电脑模式匹配过程包括:
如果查找到ETW日志中的打开文件请求日志,则自打开文件请求日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自打开文件请求日志中获取对象ID,对所述识别WPD属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;
自打开文件请求日志中获取文件名、文件大小属性。
在一些可选的实施例中,所述自WPD复制到电脑模式匹配过程还包括:
如果查找到ETW日志中读取文件响应日志,则自读取文件响应日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID匹配,如果相同,则继续匹配,否则放弃此次匹配;
如果查找到ETW日志中的关闭文件响应日志,则自关闭文件响应日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
完成匹配,生成数据。
在一些可选的实施例中,所述重命名文件的匹配过程包括:
如果查找到ETW日志中的设置文件请求日志,则自设置文件请求日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自设置文件请求日志中获取对象ID,对所述识别WPD属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;
自设置文件请求日志中获取重命名之后的文件名;
如果查找到ETW日志中的设置文件响应日志,则自设置文件响应日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自设置文件响应日志中获取结果,如果结果是成功,则完成此次匹配,生成数据。
在一些可选的实施例中,所述删除文件的匹配过程包括:
如果查找到ETW日志中的删除文件请求日志,则自删除文件请求日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自删除文件请求日志中获取对象ID,对所述识别WPD属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;
如果查找到ETW日志中的删除文件响应日志,则自删除文件请求日志响应日志中获取激活ID,与所述识别WPD属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自删除文件响应日志中获取结果,如果结果是成功,则完成此次匹配,生成数据。
本发明所带来的有益效果:从海量的系统日志里面,逆向分析出WPD相关文件操作,解决了WPD内文件无法监控的问题;在不影响用户体验的情况下,后台实现对用户操作WPD内文件的进行记录及监视;通过实时监控用户对WPD 内文件的操作监视,及时发现用户的危险操作,遏止泄密工作发生,提升安全性;实现通过分析ETW的WPD操作日志,回溯历史操作,揭秘泄密途径;同时,不需要通过底层驱动实现,避免了驱动和系统的兼容性问题,避免了系统监视WPD频繁发生的蓝屏问题。
附图说明
图1是本发明一种基于ETW的WPD内的文件操作监视方法的流程示意图;
图2是本发明一种基于ETW的WPD内的文件操作监视方法的原理图;
图3是本发明对相关WPD的操作通信日志进行逆向分析的流程示意图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。
在一些说明性的实施例中,如图1和2所示,提供一种基于ETW的WPD 内的文件操作监视方法,包括:
101:WPD的处理器的主进程加载文件操作监视功能模块。
102:文件操作监视功能模块监视用户对WPD内的文件的操作。
103:OS的ETW功能输出通信日志。
104:WPD的监控回调函数自动调用截取ETW中相关WPD的操作通信日志。
105:对相关WPD的操作通信日志进行逆向分析,记录操作通信日志,实现用户操作输出。
如图3所示,在一些说明性的实施例中,对相关WPD的操作通信日志进行逆向分析的过程包括:
S1:识别WPD属性以及文件属性。
S2:识别用户操作状态。
步骤S1包括:
S11:查找ETW日志中的获取属性请求日志,记录获取属性请求日志中的激活ID,用于后续的比较。
S12:查找ETW日志中的获取所有属性请求日志及响应日志,自响应日志中获取激活ID,利用Hash查找算法匹配步骤S11的激活ID,如果匹配成功,则进行步骤S13,即继续往下匹配,否则放弃此次匹配。
S13:自响应日志中获取对象ID和父元素对象ID,回溯父元素对象ID,如果成功匹配到存储的对象,则生成文件路径识别语法树,否则放弃此次匹配。
S14:自响应日志中获取文件名、文件属性等信息,依据父子关系获取文件存储的路径信息。
重复步骤S11至S14,直至成功获取WPD属性以及文件属性,继续进行下面步骤S2的识别用户操作状态。
步骤S2包括:
S21:若是查找到ETW日志中的创建文件和属性请求日志,则进行自电脑复制到WPD模式匹配过程。
S22:若是查找到ETW日志中的打开文件请求日志,则进行自WPD复制到电脑模式匹配过程。
S23:若是查找到ETW日志中上午设置文件请求日志,则进行重命名文件的匹配过程。
S24:若是查找到ETW日志中的删除文件请求日志,则进行删除文件的匹配过程。
如果在ETW日志中没有查找到步骤S21至步骤S24中的请求日志,则放弃此次匹配,回到步骤S1。
在一些说明性的实施例中,自电脑复制到WPD模式匹配过程包括:
步骤S211:如果查找到ETW日志中的创建文件和属性请求日志,则继续往下匹配:
S2111:从创建文件和属性请求日志中获取激活ID,与步骤S1中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配。
S2112:自创建文件和属性请求日志中获取父元素对象ID,对步骤S1中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配。
S2113:自创建文件和属性请求日志中获取文件名、文件大小等属性,用于报警判断。
步骤S212:如果查找到ETW日志中的创建文件和属性响应日志,则继续往下匹配:
S2121:自创建文件和属性响应日志中获取激活ID,与步骤S1所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配。
S2122:自创建文件和属性响应日志获取结果,如果结果是成功,则完成此次匹配,此时说明复制操作结束且复制成功,文件名、文件大小、文件存储路径均在之前获取,生成数据。
步骤S213:结束自电脑复制到WPD模式匹配过程,回到步骤S2,进行下一轮匹配。
在一些说明性的实施例中,自WPD复制到电脑模式匹配过程包括:
步骤S221:如果查找到ETW日志中的打开文件请求日志,则继续往下匹配:
S2211:自打开文件请求日志中获取激活ID,与步骤S1中所保存的激活ID 相比较,如果相同,则继续匹配,否则放弃此次匹配。
S2212:自打开文件请求日志中获取对象ID,对步骤S1中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配。
S2213:自打开文件请求日志中获取文件名、文件大小等属性,用于报警判断。
步骤S222:如果查找到ETW日志中读取文件响应日志,则继续往下匹配:
S2221:自读取文件响应日志中获取激活ID,与步骤S1中所保存的激活ID 匹配,如果相同,则继续匹配,否则放弃此次匹配。
步骤S223:如果查找到ETW日志中的关闭文件响应日志,则继续往下匹配:
S2231:自关闭文件响应日志中获取激活ID,与步骤S1中所保存的激活ID 相比较,如果相同,则继续匹配,否则放弃此次匹配。
S2232:完成此次匹配,此时说明复制操作结束,文件名、文件大小、文件路径均在之前获得,生成数据。
步骤S224:结束自WPD复制到电脑模式匹配过程,回到步骤S2,进行下一轮匹配。
在一些说明性的实施例中,重命名文件的匹配过程包括:
步骤S231:如果查找到ETW中的设置文件请求日志,则继续往下匹配:
S2311:自设置文件请求日志中获取激活ID,与步骤S1中所保存的激活ID 相比较,如果相同,则继续匹配,否则放弃此次匹配。
S2312:自设置文件请求日志中获取对象ID,对步骤S1中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配。
S2313:自设置文件请求日志中获取重命名之后的文件名。
步骤S232:如果查找到ETW日志中的设置文件响应日志,则继续往下匹配:
S2321:自设置文件响应日志中获取激活ID,与步骤S1中所保存的激活ID 相比较,如果相同,则继续匹配,否则放弃此次匹配。
S2322:自设置文件响应日志中获取结果,如果结果是成功,则完成此次匹配,此时说明重命名操作结束且重命名成功,文件名、文件路径、新文件名均之前获得,生成数据。
步骤S233:结束重命名文件的匹配过程,回到步骤S2,进行下一轮匹配。
在一些说明性的实施例中,删除文件的匹配过程包括:
步骤S241:如果查找到ETW日志中的删除文件请求日志,则继续往下匹配:
S2411:自删除文件请求日志中获取激活ID,与步骤S1中所保存的激活ID 相比较,如果相同,则继续匹配,否则放弃此次匹配。
S2412:自删除文件请求日志中获取对象ID,对步骤S1中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配。
步骤S242:如果查找到ETW日志中的删除文件响应日志,则继续往下匹配:
S2421:自删除文件请求日志响应日志中获取激活ID,与步骤S1中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配。
S2422:自删除文件响应日志中获取结果,如果结果是成功,则完成此次匹配,此时说明删除操作结束且删除成功,文件名、文件路径均之前获得,生成数据。
步骤S243:结束删除文件的匹配过程,回到步骤S2,进行下一轮匹配。
本领域技术人员还应当理解,结合本文的实施例描述的各种说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或其组合。为了清楚地说明硬件和软件之间的可交换性,上面对各种说明性的部件、框、模块、电路和步骤均围绕其功能进行了一般地描述。至于这种功能是实现成硬件还是实现成软件,取决于特定的应用和对整个系统所施加的设计约束条件。熟练的技术人员可以针对每个特定应用,以变通的方式实现所描述的功能,但是,这种实现决策不应解释为背离本公开的保护范围。
Claims (10)
1.一种基于ETW的WPD内的文件操作监视方法,其特征在于,包括:
Windows便携设备的监控回调函数自动调用截取Windows事件跟踪中相关Windows便携设备的操作通信日志;
对所述相关Windows便携设备的操作通信日志进行分析,回推用户操作并输出用户操作。
2.根据权利要求1所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,该方法还包括:
所述Windows便携设备的处理器的主进程加载文件操作监视功能模块;
所述文件操作监视功能模块监视用户对所述Windows便携设备内的文件的操作;
操作系统的Windows事件跟踪功能输出通信日志。
3.根据权利要求2所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,对所述相关Windows便携设备的操作通信日志进行分析的过程包括:识别Windows便携设备属性以及文件属性;识别用户操作状态。
4.根据权利要求3所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述识别Windows便携设备属性以及文件属性的过程包括:
步骤S11:查找Windows事件跟踪日志中的获取属性请求日志,记录获取属性请求日志中的激活ID;
步骤S12:查找Windows事件跟踪日志中的获取所有属性请求日志及响应日志,自所述响应日志中获取激活ID,利用Hash查找算法匹配步骤S11的激活ID,如果匹配成功,则进行步骤S13,否则放弃此次匹配;
步骤S13:自所述响应日志中获取对象ID和父元素对象ID,回溯所述父元素对象ID,如果成功匹配到存储的对象,则生成文件路径识别语法树,否则放弃此次匹配;
步骤S14:自所述响应日志中获取文件名、文件属性信息,依据父子关系获取文件存储的路径信息。
5.根据权利要求4所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述识别用户操作状态的过程包括:
步骤S21:若是查找到Windows事件跟踪日志中的创建文件和属性请求日志,则进行自电脑复制到Windows便携设备模式匹配过程;
步骤S22:若是查找到Windows事件跟踪日志中的打开文件请求日志,则进行自Windows便携设备复制到电脑模式匹配过程;
步骤S23:若是查找到Windows事件跟踪日志中上午设置文件请求日志,则进行重命名文件的匹配过程;
步骤S24:若是查找到Windows事件跟踪日志中的删除文件请求日志,则进行删除文件的匹配过程。
6.根据权利要求5所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述自电脑复制到Windows便携设备模式匹配过程包括:
如果查找到Windows事件跟踪日志中的创建文件和属性请求日志,则从创建文件和属性请求日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自创建文件和属性请求日志中获取父元素对象ID,对所述识别Windows便携设备属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;
自创建文件和属性请求日志中获取文件名、文件大小属性;
如果查找到Windows事件跟踪日志中的创建文件和属性响应日志,则自创建文件和属性响应日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自创建文件和属性响应日志获取结果,如果结果是成功,则完成此次匹配,生成数据。
7.根据权利要求6所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述自Windows便携设备复制到电脑模式匹配过程包括:
如果查找到Windows事件跟踪日志中的打开文件请求日志,则自打开文件请求日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自打开文件请求日志中获取对象ID,对所述识别Windows便携设备属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;
自打开文件请求日志中获取文件名、文件大小属性。
8.根据权利要求7所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述自Windows便携设备复制到电脑模式匹配过程还包括:
如果查找到Windows事件跟踪日志中读取文件响应日志,则自读取文件响应日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID匹配,如果相同,则继续匹配,否则放弃此次匹配;
如果查找到Windows事件跟踪日志中的关闭文件响应日志,则自关闭文件响应日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
完成匹配,生成数据。
9.根据权利要求8所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述重命名文件的匹配过程包括:
如果查找到Windows事件跟踪日志中的设置文件请求日志,则自设置文件请求日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自设置文件请求日志中获取对象ID,对所述识别Windows便携设备属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;
自设置文件请求日志中获取重命名之后的文件名;
如果查找到Windows事件跟踪日志中的设置文件响应日志,则自设置文件响应日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自设置文件响应日志中获取结果,如果结果是成功,则完成此次匹配,生成数据。
10.根据权利要求9所述的一种基于ETW的WPD内的文件操作监视方法,其特征在于,所述删除文件的匹配过程包括:
如果查找到Windows事件跟踪日志中的删除文件请求日志,则自删除文件请求日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自删除文件请求日志中获取对象ID,对所述识别Windows便携设备属性以及文件属性的过程中所保存的所有对象ID进行回溯,如果成功匹配,则生成文件路径识别语法树,否则放弃此次匹配;
如果查找到Windows事件跟踪日志中的删除文件响应日志,则自删除文件请求日志响应日志中获取激活ID,与所述识别Windows便携设备属性以及文件属性的过程中所保存的激活ID相比较,如果相同,则继续匹配,否则放弃此次匹配;
自删除文件响应日志中获取结果,如果结果是成功,则完成此次匹配,生成数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811330859.3A CN109614300A (zh) | 2018-11-09 | 2018-11-09 | 一种基于etw的wpd内的文件操作监视方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811330859.3A CN109614300A (zh) | 2018-11-09 | 2018-11-09 | 一种基于etw的wpd内的文件操作监视方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109614300A true CN109614300A (zh) | 2019-04-12 |
Family
ID=66003718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811330859.3A Pending CN109614300A (zh) | 2018-11-09 | 2018-11-09 | 一种基于etw的wpd内的文件操作监视方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109614300A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115129494A (zh) * | 2022-08-31 | 2022-09-30 | 浙江工业大学 | 一种基于Windows内核的事件日志采集方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102541986A (zh) * | 2011-10-27 | 2012-07-04 | 梁松 | 一种文件操作监控审计方法 |
| CN103716354A (zh) * | 2012-10-09 | 2014-04-09 | 苏州慧盾信息安全科技有限公司 | 一种信息系统的安全防护系统和方法 |
| CN104778420A (zh) * | 2015-04-24 | 2015-07-15 | 广东电网有限责任公司信息中心 | 非结构化数据全生命周期的安全管理视图建立方法 |
| US20150207705A1 (en) * | 2013-12-23 | 2015-07-23 | Filetrek Inc. | Method for file activity monitoring |
| CN105631357A (zh) * | 2015-12-22 | 2016-06-01 | 洛阳师范学院 | 一种移动终端信息安全防护系统和方法 |
| CN106407429A (zh) * | 2016-09-27 | 2017-02-15 | 国家电网公司 | 文件追踪方法、装置及系统 |
-
2018
- 2018-11-09 CN CN201811330859.3A patent/CN109614300A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102541986A (zh) * | 2011-10-27 | 2012-07-04 | 梁松 | 一种文件操作监控审计方法 |
| CN103716354A (zh) * | 2012-10-09 | 2014-04-09 | 苏州慧盾信息安全科技有限公司 | 一种信息系统的安全防护系统和方法 |
| US20150207705A1 (en) * | 2013-12-23 | 2015-07-23 | Filetrek Inc. | Method for file activity monitoring |
| CN104778420A (zh) * | 2015-04-24 | 2015-07-15 | 广东电网有限责任公司信息中心 | 非结构化数据全生命周期的安全管理视图建立方法 |
| CN105631357A (zh) * | 2015-12-22 | 2016-06-01 | 洛阳师范学院 | 一种移动终端信息安全防护系统和方法 |
| CN106407429A (zh) * | 2016-09-27 | 2017-02-15 | 国家电网公司 | 文件追踪方法、装置及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115129494A (zh) * | 2022-08-31 | 2022-09-30 | 浙江工业大学 | 一种基于Windows内核的事件日志采集方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8131677B2 (en) | System and method for effecting information governance | |
| CN101467144B (zh) | 声明性管理框架 | |
| US9141628B1 (en) | Relationship model for modeling relationships between equivalent objects accessible over a network | |
| US20100306180A1 (en) | File revision management | |
| US20070083570A1 (en) | File system versioning using a log | |
| US20200241967A1 (en) | Methods and systems for data backup based on cognitive data classification | |
| US20140380010A1 (en) | System and appartus for controlling use of mass storage devices | |
| US11513812B2 (en) | Targeted data extraction system and method | |
| US11914869B2 (en) | Methods and systems for encryption based on intelligent data classification | |
| CN105760756A (zh) | 用于检测修改或损坏的外部设备的系统和方法 | |
| CN111104680B (zh) | 一种安全与智能化的实验数据管理系统及方法 | |
| CN104123197B (zh) | 未持有iOS设备情况下的离线取证方法 | |
| CN108092936A (zh) | 一种基于插件架构的主机监控系统 | |
| KR101256507B1 (ko) | 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법 | |
| CN109977170A (zh) | 一种政务内外网数据同步的方法及系统 | |
| CN102323930A (zh) | 对数据库系统中的数据变更进行镜像 | |
| CN107004016A (zh) | 有效的数据操纵支持 | |
| CN103400431A (zh) | 一种双管双控的智能涉密载体存储柜 | |
| CN109614300A (zh) | 一种基于etw的wpd内的文件操作监视方法 | |
| US20200167485A1 (en) | Systems and methods for data usage monitoring in multi-tenancy enabled hadoop clusters | |
| CN110705712A (zh) | 面向第三方社会服务的人工智能基础资源与技术开放平台 | |
| WO2018000524A1 (zh) | 一种备份文件的方法及装置 | |
| WO2013176433A1 (ko) | 디지털 에이징 시스템 및 그 운용방법 | |
| CN114598556B (zh) | It基础设施配置完整性保护方法及保护系统 | |
| KR20100115451A (ko) | 기업의 정보 유출을 방지하는 보안방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190412 |