w indow s 文件过滤方案设计与实现原理 Window s 文件系统简介 Windows 文件系统是Windows 中非常复杂的一部分,微软设计了诸多机制来提高文件系统的效率,因此,文件过滤驱动是Windows 驱动开发最复杂的部分,完全不同于普通的系统设备驱动开发,在设计文件过滤系统时将要面对非常复杂的问题。 首先,Windows 有着复杂的内存映射机制。它将一个文件映射到某个内存空间,需要访问这个文件内容的基础只需要访问这个内存空间即可,然而进程对内存的访问无法被文件过滤驱动捕获。其次,当我们打开Explore 浏览文件时,Explorer 就已经将文件读到文件缓冲中了,office 一类的应用程序通过内存映射的方式来打开word、excel 等文件。 文件的内容是通过缺页中断来从硬盘复制到进程空间里的。这是,被内存映射的文件实际上成了一个分页交换文件。一旦进程访问到实际上不存在的内存页(还在硬盘式),就会有一个文件上的页面被交换到内存。在交换发生时,有一个有特殊标记(irp->Flags 带有IRP_PAGING_IO、IRP_SYNCHRONOUS_PAGING_IO或IRP_NOCACHE)的IRP_MJ_READ 请求发送到文件驱动,这种读/写请求被称为分页读/写请求。 所幸分页读写请求时文件过滤驱动可以捕获的。我们可以在捕获这个请求后,对于读/写的信息进行加解密操作。 Windows具 有巧 妙 的文件缓冲机制,只要一个文件被以缓冲方式打开过,则其内容用的全部或者 一部分就已经保 持 在内存里了。这个部分信息称为文件缓冲,文件缓冲这是全局 的。一般 的说 ,一个文件无论 有多少 个进程在访问,都 只有一份 文件缓冲。 应用程序看到的文件内容文件缓冲中的文件内容真实硬盘上的文件内容缓冲写请求分页写请求缓冲读请求分页读请求 图1 Windows 文件读写请求 Sfilter 文件过滤可以过滤到全部这4 种IRP,但是无法过滤内存访问。但是一般的应用程序读/写文件,都有以上4 种IRP 存在[12]。 对于一个机密进程而言:以下是确信无疑的: (1) 真实硬盘上的文件内容必须是密文。这是防止信息泄密的要求所致。 (2) 应用程序看到的文件内容必须是明文。如果不是明文,应用程序自然就无 法正常编辑文件,而对于一个普通进程而言:普通进程看到的文件内容必须是密文。 本作品采取文件缓冲为明文,这样只需处理分页读/写请求就可以了。而分页读/写请求是无论是否使用内存映射文件都存在的,这样就能合并处理两种情况(使用内存映射文件或是不使用)。 ...
