一种基于穷尽搜索的操作系统客体重用检验方法

摘要

本发明提供一种基于穷尽搜索的操作系统内存空间、磁盘空间客体重用检验方法，属于信息安全及计算机操作系统领域。内存空间客体重用检验的特征是，采用内核驱动程序进行虚拟地址到物理地址的转换，通过内存物理地址为检验进程分配相同的内存空间，并对该空间中的存储数据采用穷尽搜索的方式进行关键字匹配。磁盘空间客体重用检验的特征是，通过内核驱动程序获取数据存储的磁盘物理地址，通过物理地址直接进行磁盘空间存储数据的读取，然后采用穷尽搜索的方式进行特殊字符匹配。本发明可以快速、有效的对内存、磁盘空间进行客体重用检验，不需要对内存、磁盘空间进行全盘搜索遍历，使用方便、高效，检验结果准确。

主权项

一种基于穷尽搜索的客体重用检验方法，包含内存空间客体重用检验方法和磁盘空间客体重用检验方法。内存空间客体重用检验的特征是：通过内存物理地址在原内存空间中为检验进程分配相同的内存空间，并对该空间中的存储数据采用穷尽搜索的方式进行关键字匹配。磁盘空间客体重用检验的特征是通过内核驱动程序获取数据存储的磁盘物理地址，通过物理地址直接进行磁盘空间存储数据的读取，然后采用穷尽搜索的方式进行特殊字符匹配。内存空间客体重用检验方法检验步骤如下：步骤1：启动进程A，为其申请一块内存空间，在其中写入特征字符。步骤2：通过内核驱动程序将所申请内存空间的虚拟地址转换为物理地址传递给检验进程B，进程A完全释放所申请的内存空间。步骤3：开启客体重用检验进程B，通过所传入的物理地址为其分配一块相同大小的内存空间。读取该空间的存储信息，然后采用穷尽搜索的方式对所获取的数据进行特征字符匹配，若存在属于进程A的特征字符则表示存在客体重用。磁盘空间客体重用检验方法检验步骤如下：步骤1：以用户U1的身份登录操作系统，在一个空文件系统中创建一个文件A，在其中写入特征字符X。步骤2：启动内核驱动程序，获取文件A保存的数据在磁盘中存储的物理地址(CHS信息)，记录该信息。步骤3：删除文件A释放该存储空间，以用户U2的身份登录操作系统，通过CHS信息读取磁盘上的数据，以穷尽搜索的方式对所读取的数据进行特征字符匹配，如果存在文件A中的特征字符，则表明存在客体重用现象。