基于双驱动联动的文件安全主动防护方法

摘要

基于双驱动联动的文件安全主动防护方法，具体步骤：安装驱动，驱动以服务存在；通过服务管理项加载该联动驱动；将预置的文件安全防护规则读取至规则链；将IRP处理例程函数入口赋给DriverObject；填充FastI/O处理例程；文件过滤驱动正常派遣例程，并对缓存进行监控；创建系统线程，获取TCP/IP设备对象后，启动包括TDI层和NDIS层两层的网络驱动，对通过网络进程操作文件的行为进行监控；文件过滤驱动根据规则链，对接收到的IRP流进行过滤，对用户操作受保护文件的行为进行IRP级的监控。本发明基于内核态文件系统驱动和网络驱动联动的文件安全防护技术，有效解决了恶意文件操作和网络攻击活动以及病毒木马对文件的破坏和窃取。

主权项

基于双驱动联动的文件安全主动防护方法，其特征在于：具体步骤如下：a)    利用INF文件安装驱动至目标操作系统，驱动以服务存在，并设置成随操作系统启动；b)    通过操作系统的服务管理项加载该驱动；c)    将预置的文件安全防护规则读取至规则链；d)    将IRP处理例程函数入口赋给DriverObject即“驱动程序对象”的对应派遣例程数组；e)    填充Fast I/O处理例程，Fast I/O是缓存管理器调用所引发的一种没有IRP的请求；文件过滤驱动除了正常派遣例程之外，还为DriverObject即驱动程序对象撰写另一组Fast I/O 函数，对缓存进行监控；f)     创建系统线程，获取TCP/IP设备对象后，启动网络驱动，包括TDI层和NDIS层两层的网络驱动，对通过网络进程操作文件的行为进行监控；g)    TDI即“Transport Driver Interface传输驱动程序接口”层网络驱动能够做到对系统中的网络进程的自发现，对联网状态的动态监控，以及对病毒木马破坏和窃取受保护文件的行为进行主动分析和捕获；h)    NDIS即“Network Driver Interface Specification网络驱动程序接口说明”层网络驱动采用内核级内联Hook技术对NDIS.SYS关键导出API进行挂接，内联Hook挂接过程为：找到系统原导出函数首地址，修改其前五个字节为JMP指令，用于跳转到自己的挂钩函数，当执行完自己的挂钩函数后跳转回系统原导出函数正常执行；对发送的NDIS数据包进行协议解析，防止用户通过局域网文件共享方式对受保护文件进行破坏和窃取，具体的流程为：首先驱动程序调用XF_SendPacket函数发送数据包，然后调用CheckPacket函数对NDIS_PACKET封包进行解析，若是共享数据，则交由安全共享处理模块进行处理，否则以默认方式进行处理；i)     文件过滤驱动根据规则链，对接收到的IRP流进行过滤，对用户操作受保护文件的行为进行IRP级的监控，依据被操作文件的安全属性，对IRP包序列进行行为特征分析，全寿命防护；步骤g、h和i是实时动态的，并无时间和逻辑上的先后顺序；步骤g和h中TDI层和NDIS层两层的网络驱动组织结构为：网络行为首先由TDI层和NDIS层驱进行处理，然后再交由网络文件行为实时捕获模块处理；步骤g、h和i中首先需要提取被操作文件的安全属性，依据文件安全属性对文件的操作进行主动安全防御，防止用户对被保护文件的恶意破坏和窃取。