基于文件过滤驱动的透明加密那点事儿(转)

文件透明加密这点事儿,从2001年开始出现基于API HOOK的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于API HOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的双缓冲第三代技术和基于微软新一代minifilter框架的Layerfsd双缓冲第四代技术。第一代和第二代的技术划分基本上没有异议,所谓的第四代很多人并不认同,认为使用minifilter框架算不上是技术突破,其技术实现仍然是基于Layerfsd的双缓冲技术,没有新意。
        我们从2009年开始研究并实现了基于Layerfsd的双缓冲技术,并应用于自己的产品中,这些本来都是老生长谈,只是最近几天根据用户反馈修改了几个BUG,忽然觉得还可以说道说道。Layerfsd的双缓冲技术最早出现在驱网论坛上的时候,讨论可谓是热烈,随着一些开发者逐步从理论到实践,完成了具体的实现之后,就开始了有意无意的技术封锁,一些技术理论和部分公开的源代码都无影无踪,不过从侧面也可以看出来,这个技术其实还是有一定的门槛的。其门槛并不在于技术有多难,关键在于细节和稳定性,根据理论做出一个实现不难,网上很多号称出售Layerfsd的双缓冲技术实现源代码的,叫价8-40万的都有,不过都只能算是一个理论研究系统,稳定性都很难保证,更不用说实用性了。
        为了了解同行的技术成熟度,我们经常找来同行的产品进行测试,今年上半年测试了两个驱动,一个驱动是对Visual Studio不兼容,每次保存文件后都会提示文件被外部修改,需要再确认一次,都是做这个的,我们当然清楚这个是layerfsd层的文件时间没有处理好,不过用VC编译一个加密的工程源代码时,总是蓝屏,这个应该就是实现者的技术实力问题了,还有对NTFS分区还马马虎虎,但是只要操作FAT分区的文件系统就没有反应,根据我们的经验应该是内部有死锁产生。还有一个驱动是不支持动态磁盘系统和可卸载的媒体(比如U盘),用WORD打开的文档,在编辑状态时居然可以从资源管理器中删除,这个是致命的layerfsd层文件权限管理失败,和作者沟通这个问题,作者认为这是双缓冲驱动实现的特征,只要是使用双缓冲技术实现的驱动都有这个问题,对此我们不敢苟同。
        这样的实现买回去也没办法用,想做出实用的商业软件至少还要2-3年的时间开发功能并做好稳定性。如果有钱,可以直接购买OSR的DMK,稳定性有一定的保证,但是要在上面做二次开发实现自己的功能。pfp也公开过一份源代码,是个半成品系统(现在驱网所有的下载链接都失效了),但是距离实现还有很远的距离,当然还是有很多人的实现都是基于这个源代码做的,这个一测试就能感觉出来。
        使用第二代技术实现的商业应用很多,只要能做稳定,基本都有市场,但是这个技术有几个致命的问题,就是文件操作效率低下,容易损坏文件,并且和反病毒软件不兼容。文件操作效率低下的原因在于为了防止非授信进程访问文件系统缓存的文件明文,每次打开和关闭文件时都要清理文件缓存。这对相当于屏蔽了系统文件缓存带来的性能优化,对大文件的操作影响尤其明显。我们测试过一个使用这种技术实现的商业软件,用word打开一个100多M的大文件后,用另一个非授信进程每隔15-30秒钟只读访问一次这个文件(这会促使驱动实现每隔15-30秒钟就清一次缓存),结果卡的基本上没办法操作这个word文档,如果是双缓冲,就没有这个问题。损坏文件的原因主要是对于延迟写入的缓冲文件,用户的写入操作是写入了缓存,但是负责延迟写入的system进程还没有将其写入文件,此时如果有非授信进程打开文件,会导致缓存被清除,这导致用户的修改没有写入,很多情况下都会造成文件数据丢失或文件格式损坏,与杀毒软件不兼容也基本上是这个原因。
        第二代技术的实现,在处理加密文件标识的问题上也很棘手,我们测试过的很多实现都是使用影子文件的方式,所谓影子文件,就是构造一个文件名与加密文件有一定的关联的影子文件,比如在原始文件名前增加一个固定标识的前缀,或后缀,或使用一个特殊的文件扩展名。当打开一个文件时,加密驱动首先看看是否存在影子文件,如果是就说明是一个加密文件,需要做解密处理。影子文件的管理也是一个很麻烦的地方,需要在驱动中对IRP_MJ_DIRECTORY_CONTROL进行过滤处理,对上层应用过滤掉这些文件名,使得用户在资源管理器中看不到这些影子文件,感觉不到他们的存在。但是只要用户停止驱动,这些文件就原型毕露,一些安全软件,比如冰刃,可以绕过驱动直接删除影子文件,会带来一些不稳定因素。此外,文件的复制和删除都要考虑影子文件,维护上也挺麻烦的。也有一些商业实现将影子文件集中在某个系统目录中进行管理,但是也要解决同名的问题,也不是完美的方案。
        从理论上所,使用双缓冲技术可以回避上面提到的清缓存问题,同时,双缓冲也可以解决文件加密标识的存放问题。双缓冲技术可以将加密信息构造成一个特殊的数据块直接存放在文件中,至于是放在文件头部还是文件尾部(从理论上说,也可以放在文件中间某个位置,不过是自找麻烦),不同意见还是很多的,各有各的理论依据,有人认为放在文件头部容易破坏文件,不过这是没有根据的,如果驱动实现不成熟,这块信息放在什么地方都可能破坏文件。倾向于将这块信息放在文件尾部的人觉得文件完成最后的写入,关闭之前补上一块加密信息是顺理成章的事情,倾向于将这块信息放在文件头部的人则是秉承传统的思想,毕竟很多文件格式都是将文件的特殊信息构造成一个特殊的文件头存放的,不过就实现而言,这二者没有优劣之分。
        双缓冲技术需要在一个layerfsd层访问真实文件,这就带来一个驱动的(IRP_MJ_CREATE)重入问题,这个解决不好就直接递归到栈溢出了。防止重入有多重方法,使用minifilter框架的有个优势,就是可以直接使用FltCreateFile系列函数绕开驱动直接打开和读写文件,这个后面再说。如果不使用minifilter框架,常用的两种方法就是构造影子卷进行文件访问,或直接构造IRP进行文件操作。构造影子卷的原理就是通过影子卷重定向文件的访问,因为过滤驱动不会attach影子卷,因此就规避了重入问题。使用影子卷的好处是可以使用ZwCreateFile等内核API直接操作文件,方便、安全。但是attach物理卷的时候要避开影子卷,一旦不小心attach了影子卷就会死的很惨。直接构造IRP进行文件操作应该是一个很优雅的方案,但是实现起来需要考虑比较多的细节,网上也有一些现成的源代码实现,不过或多或少都有一些问题,需要修改一下才能用。关于这方面的资料首先是OSR的“Rolling Your Own - Building IRPs to Perform I/O”一文,此外,还有baiyuanfan的“Windows平台内核级文件访问”一文也有很不错的介绍。
        minifilter是微软引入的一个轻量级微过滤驱动模型,简化了文件过滤驱动的实现细节,使得微过滤驱动可以忽略一些细枝末节的东西,将注意力集中在业务实现上。这比采用遗留驱动模型的sfilter框架有一定的优势,但是就透明加密驱动而言,并没有进步到说使用minifilter框架就比sfilter技术先进的程度,要知道,第二代透明加密技术的驱动也可以用minifilter框架实现,所以鼓吹minifilter+layerfsd更先进是没有依据的,重要的还是谁的驱动更稳定,毕竟动不动就蓝屏,或者损坏文件是用户最不能接受的。
        最后要说一些细节问题,比如双缓冲,所谓的双缓冲就是对同一个文件的访问形成两个cache缓存,对于授信进程,可以使用解密数据的明文cache,对于非授信进程,则使用密文的cache,二者共存且互相不干扰。使用双缓冲对系统内存的使用肯定是会增加的,但是带来的安全性和文件访问效率的提升是不言而喻的。至于cache的实现方式,可以使用windows的文件缓存系统,也可以自己实现文件缓存系统,据我所知,很多数据库软件就没有使用windows的文件缓存系统,而是根据需求自己实现的缓存系统。极端的说,你甚至可以不实现缓存,所有加密文件的读写都是实时操作实际文件,不支持一切缓存读写和fastio,我们在测试时遇到过这样的实现,也号称是支持layerfsd的双缓冲技术,虽然没有双缓冲的文件访问效率,但是也算是回避了第二代驱动技术的几个难题。还有比如授信进程的识别问题,简单地根据程序文件名称进行识别是非常幼稚的做法,对程序改个名字就可以欺骗加密驱动得到解密后的明文。还有授信进程的识别问题,对于有的应用程序,通常是一个图形的前端加上几个没有界面的后台程序配合工作,如果授信进程只有前端的UI进程,还是无法访问加密文件,对这种情况也要做进程父子关系的识别和处理。当然还有经典的线程注入问题,通过远程线程注入,可以在授信进程中启动一个线程访问加密文件,并将解密的明文通过共享内存或socket接口传递给另一个非授信进程。解决之道就是阻止线程注入,内核和应用层都可以做,当然也会对正常需要线程注入的程序产生影响,比如本人的TabSiPlus外挂插件,需要注入到Source Insight进程内部启动一个tab标签栏,就因为这个原因与加密软件产生冲突。对于一些支持插件的软件,比如office,还需要对插件进行识别和屏蔽,方法也很多,方式也很流氓,经常弄得用户莫名其妙。我的建议是对这种支持插件的软件不要做特殊处理,安全性由用户自己管理,用户有时候并不是那么傻,不要什么事情都替用户做了。

时间: 2024-12-31 12:35:19

基于文件过滤驱动的透明加密那点事儿(转)的相关文章

文件过滤驱动开发

文件过滤驱动 一.文件透明加解密 关键字:透明.文件过滤驱动.加密标识,缓存 文件过滤驱动最重要的两点是搞定加密标识和缓存管理 1.透明概念: 透明指的是用户在操作的时候,虽然后台在自动的进行加解密,但是用户根本就不知道加密的存在,就像中间隔了一层透明的玻璃一样. 透明的好处在于不改变用户的操作,一切都和加密之前一样,甚至在有些企业安装加密后都无需通知所有的员工,就像加密并不存在一样,只是加密文件到了企业安全环境的外部才会发现文件无法打开. 透明的程度也是加密软件一个很重要的方面,例如:正在编辑

文件过滤驱动实现目录重定向(一)good

文件过滤驱动拦截的IRP主要包括以下几个:IRP_MJ_CREATE,文件创建操作,文件的任何操作,都是从这里开始的.IRP_MJ_CLEANUP,文件的HANDLE句柄全部关闭会触发这个消息IRP_MJ_CLOSE,文件对象 FILE_OBJECT引用减为0,文件对象即将被删除时触发.IRP_MJ_READ.IRP_MJ_WRITE, 文件的读写操作IRP_MJ_QUERY_INFORMATION 查询文件信息,比如文件创建修改时间,文件大小等等.IRP_MJ_SET_INFORMATION

[转载]文件过滤驱动 文件系统激活通知 IoRegisterFsRegistrationChange函数实现

IoRegisterFsRegistrationChange 注册一个文件系统变动回调函数,用来被通知文件系统的激活和注销,激活是指第一次加载文件系统,当一个文件系统已经加载后,当加载一个同种文件系统的卷时,该文件系统就和激活没关系.话说该函数调用后,激活的文件系统会重新激活一遍,在2k SP4之后的系统都会这样做. 现在考虑下,这种机制是怎么实现的,猜测是在注册的时候,注册完成后,系统将各种类型的文件系统,都调用该回调函数一遍,来一次所有文件系统激活的通知.而事实上,也应该如此,reactOs

文件过滤驱动开发入门笔记

转载(详细教程):http://blog.csdn.net/chenyujing1234/article/details/7565346 转载(文件驱动小例子SFilter):http://download.csdn.net/detail/wangqjpp/4826392 转载(楚狂人教程):http://blog.csdn.net/joshua_yu/article/details/589981 转载(Win7 VS2012 环境搭建教程):http://blog.sina.com.cn/s/

File System Minifilter Drivers(文件系统微型过滤驱动)

问题: 公司之前有一套文件过滤驱动,但是在实施过程中经常出现问题,现在交由我维护.于是在边看代码的过程中,一边查看官方资料,进行整理. 这套文件过滤驱动的目的只要是根据应用层下发的策略来控制对某些特定文件的控制,例如根据后缀名来决定是否允许查看,是否允许查看指定目录啊之类的功能. 介绍: MSDN上对可安装的文件系统驱动介绍http://msdn.microsoft.com/en-us/library/windows/hardware/ff548143(v=vs.85).aspx:其中树形结构菜

企业文件透明加密软件那个好用?如何实现对文件的使用控制?湖南风奥科技

正是因为目前对于互联网市场上频繁出现的数据泄露事件,已经严重影响了企业的发展,并且也让互联网企业深深意识到加强企业内部数据安全的重要性!因此,大家对于企业加密软件的关注程度也得到了提升,想要寻找一款更加完善适合自己企业发展的安全软件来保证企业在后期发展中的安全,保护企业内部的重要数据文件不被泄露,保证公司稳定运行和发展! 企业文档加密软件主要应用在哪些行业及领域呢?作为企业只要你具备了安全的意识,想要对自身企业的核心数据进行保护,都可以使用加密软件来实现!加密软件适用于不同类型的不同行业对于不同

环境加密与透明加密的优缺点

环境加密与透明加密的优劣 数据保密产品发展至今已有差不多有大10个年头,还是处于群雄争霸的地步,也未出现在行业内具有垄断地位的企业.大致上来说,数据防泄密产品分为两类:文档加密类产品(又称透明加密类)和整体防护类(或者称为环境加密)产品.两类产品设计理念和功能迥异,都处在不断的发展和互相借鉴中.需要特别指出的是,大多数客户对于数据防泄密产品的选择往往不够重视,将其和普通的软件产品等同对待.而事实上,数据防泄密项目和现有的企业信息系统密切相关,并非简单的加密一些文件或者硬盘了事.从这几年的应用情况

架构搭建----基于DDD领域驱动设计的WCF+EF+WPF分层框架(2)

写在最前面:转载请注明出处 目录置顶: 关于项目--------------------基于DDD领域驱动设计的WCF+EF+WPF分层框架(1) 架构搭建--------------------基于DDD领域驱动设计的WCF+EF+WPF分层框架(2) WCF服务端具体实现---------基于DDD领域驱动设计的WCF+EF+WPF分层框架(3) WCF客户端配置以及代理-----基于DDD领域驱动设计的WCF+EF+WPF分层框架(4) Domain具体实现------------基于DD

透明加密+人工智能,数据加密安全保护双管齐下

6月实施的<网络安全法>,法律明确规定了网络安全的相关制度,而8月份,第三届中国互联网安全领袖峰会中各领域安全专家就对"人工智能如何有效地提升网络和信息安全"展开激烈的研究讨论.当数据安全成为热门话题,当蠕虫病毒肆虐全球,当法律法规对数据安全重点规范,试想再普通的人都会对自身隐私信息,数据安全而感到担忧并希望能采取保护措施,这也是一场风暴,席卷了国内外数据安全领域,也成为了一场数据安全革命保卫战. 数据安全防御从有到无的理念转变 在数据安全发展的历史中,以入侵检测.防火墙及