Windows文件系统过滤驱动在防病毒方面的应用

在操作系统内核层,对用户模式应用程序请求读写的磁盘数据进行病毒扫描.介绍文件系统过滤驱动的工作原理,利用文件系统过滤驱动,捕获用户应用程序发往目标文件系统驱动的磁盘操作请求,进而获得这些操作请求的处理权.论述防病毒的工作原理,利用文件扫描程序扫描文件系统过滤驱动程序截获的文件数据,并与特征码库中的病毒特征码进行匹配.若匹配成功,则通知用户模式应用程序进行处理;否则,不做处理.防止从磁盘读取病毒文件或将病毒文件写入磁盘.     

文件自动搜寻与文件型病毒检测器

我们有时需要在一个存有大量文件的硬盘上,找出某个不知道文件名的文档、程序或数据文件,可以根据被寻找文件的性质和内容,将某个特殊词汇、人地名、公式或其独有的数据、符号等当成查找特征,用汉字或ASCⅡ码输入文后所附的简短C语言程序,即能自动将所有含这些特征的文件从全盘中迅速找出。此程序还可检测文件型病毒,根据这类病毒具有一段十六进制程序代码的特征识别码的特点,来进行检测。如文件型病毒V934的特征码为B4     

面向PE病毒检测的行为特征分析方法研究

目前,计算机病毒的存在成为了信息安全的一大威胁,其中以Windows32 PE文件为感染目标的PE病毒最为盛行,功能最强,分析难度也最大。对此,本文研究了一种面向PE病毒检测的行为特征分析方法,详细分析PE病毒执行过程中的关键行为特征、一般行为特征等,并以其十六进制行为字符串特征码作为PE病毒的检测依据,通过对可疑PE文件中字符串的匹配实现PE病毒的启发式检测。     

基于TRAP SERVER变形病毒特征码的分析与定位技术

在分析当前变形病毒最新发展方向及技术特点的基础上,利用HONEYNET软件TRAP SERVER诱捕黑客及其病毒入侵。并分析被捕获病毒的特点,特别是最新变形病毒的技术特点,在此基础上对变形病毒特征码进行定位。通过实验对病毒特征码位置进行验证,从而实现对变形病毒特征码的技术分析与定位。     

引毒出洞

变形病毒敲响了利用特征码查消病毒法的葬钟。由于变形病毒有多种（甚至是无数种）变形,故对于同一种变形病毒,人们往往不能找到统一的特征码,或不能找全其特征码。实际上,只要有一种特征码没有考虑到,就不能说已能检测该种变形病毒。这就给利用特征码法检测变形病毒设置了严重（甚至是不可逾越）的障碍。不能检测到病毒,自然就不能清除病毒了。     

基于文件过滤驱动的内核病毒防火墙技术

分析了基于NT内核的文件过滤驱动程序的开发原理、步骤和应用，以实现实时病毒防火墙原型系统，保障文件系统的安全。     

一种基于N-Gram的计算机病毒特征码自动提取方法

随着计算机和互联网技术的发展和普及,计算机病毒所带来的安全威胁日趋严重。基于特征码扫描的病毒检测技术是目前检测已知病毒最为简单、有效的方法,但病毒特征码需要经验丰富的计算机病毒分析师手动从病毒中提取出来,其效率并不高。提出了一种基于N-Gram的病毒特征码自动提取方法,将N-Gram统计语言模型应用到病毒特征码提取中。通过实验证明了该算法能有效提取病毒特征码。     

平常如何预防病毒

电脑发展初期病毒的数量并不多,高手可以通过特征来预防病毒,但现在病毒层出不穷,特别是一些蠕虫病毒,一旦中毒可能某一类型的（如EXE）文件全部感染,不太容易恢复,所以平时应该羊成好习惯来预防病毒。下面说一下我的方法：1、装防毒软件：现今病毒无孔不入,安装一套防毒软件很有必要。首次安装时,一定要对计算机做一次彻底的病毒扫描,尽管麻烦一点,但可以确保系统尚未受过病毒感染。另外建议你每周至少更新一次病毒定义码或病毒引擎（引擎的更新速度比病毒定义码要慢得多）,因为最新的防病毒软件才是最有效的。     

基于特征码技术的攻防策略

本文深入讨论了特征码技术在病毒攻与防中的运用策略及其发展趋势。实验中针对不同类型的病毒特征码进行手动定位、分析和验证,并通过修改、加壳和加密等技术手段达到免杀效果。如果将单一的特征码技术和主动防御相结合,就能在攻与防的对抗中取得更大的突破。     

基于文件系统过滤驱动的涉密文档安全存储技术研究

该文介绍了一种基于文件系统过滤驱动的涉密文档安全存储系统的总体结构及工作原理,阐述了基于文件系统过滤驱动技术实现文件加解密和文件防扩散功能的基本方法和过程。     

安全增强型虚拟磁盘加密系统技术

应用文件系统过滤驱动技术,结合审计、防U盘扩散、防缓存泄漏方法,对现阶段流行的虚拟磁盘加密软件的透明加解密方案进行改进,在其虚拟驱动层上增加了旨在提升整体安全性能的文件系统过滤驱动层(下面称之为安全层).针对开源的truecrypt进行测试,结果表明,在Windows各版本操作系统下,对虚拟磁盘加密软件上加入安全层以后,解决了U盘扩散、虚拟磁盘卸载之后缓存泄漏等安全问题,实现了对用户操作的审计监控,能有效增强虚拟磁盘加密软件的安全性能.     

基于文件系统过滤驱动的安全增强型加密系统技术研究

应用层加密系统在实际的应用中一般要求用户在访问文件前手动进行加解密操作,有些系统中文件正常使用时必须以明文形式存储在磁盘上.基于文件系统驱动的加密文件系统减少了用户的参与操作,同时保证了磁盘上文件处于加密状态,但是其在设计与实现上较为复杂.针对上述方法存在的问题,本文采用Windows NT内核操作系统的驱动框架,基于文件系统过滤驱动技术实现对数据进行透明加解密.通过这种方法不仅解决了应用层加密系统存在的不足,与加密文件系统相比开发实现较简单灵活.另外使用智能卡作为加解密密钥的存储容器,进一步增强整个系统的安全性.     

一种基于文件过滤驱动的Windows文件安全保护方案

针对提高文件安全级别需要较高安全成本问题,提出了一种低成本高安全的Windows文件保护方法。该方法采用Windows NT驱动框架,基于文件系统过滤驱动技术实现对文件进行透明加解密。文件内容用快速的对称算法加密,并且一文件一密钥。文件密钥用安全性更高的非对称算法加密,加密密钥保存于专用密钥文件中,用户私钥存放在密钥U盘里。在此基础上,提出了一种文件安全共享的方法。分析和应用表明,该方案在增加较少硬件成本基础上,可有效保护存储设备遗失或被盗、管理员密码被破解、文件共享时的文件安全。     

基于WindoWs内核模式的iSCSI启动器设计

介绍了一种基于Windows 2000内核模式的iSCSI启动器设计,通过SCSI小端口驱动实现虚拟磁盘,从文件系统截取I/O请求,然后在操作系统内核根据iSCSI协议处理,并且利用TDI技术将封装好的iSCSI PDU通过TCP网络发送给目标器,从而实现了iSCSI启动器在Windows操作系统中的无缝集成.     

基于iSCSI网络存储协议的虚拟SCSIHBA驱动方法

iSCSI已成为网络存储的重要协议。基于该协议设计一种将普通的以太网卡虚拟成SCSI HBA的方法，并在Windows和Linux操作系统下开发了相应的虚拟设备驱动程序。根据本方法设计的虚拟SCSI HBA驱动在Linux和Windows平台上映射的SCSI硬盘呈现出和本地主机物理硬盘一样的访问机制，即由谊虚拟SCSI HBA驱动向主机应用程序或文件系统的I／O请求提供磁盘访问重定向服务。并且进行映射SCSI硬盘的读写性能测试。结果表明，读写映射SCSI硬盘性能接近1000M以太网络线速度的70％。应用证明，该虚拟驱动方法是一种最经济的SAN网络存储模式，它突破SCSI连接的物理距离限制，实现远距离工作主机共享SCSI磁盘阵列的需求。该方法可在不改变现有网络结构的前提下，实现SCSI直接连接存储（1）AS）模式向IPSAN存储模式的平滑过渡。     

基于Windows 2000的存储加密系统设计与实现

文章分析了Windows2000系统的文件系统结构，提出了一种基于Windows2000的虚拟磁盘存储加密系统的设计方案，讨论了存储加密系统在Windows2000文件系统基础上的设计及实现原理并给出了加密存储系统在驱动程序中的实现方法，并对加密模块的密钥使用方式进行了分析和设计。该存储加密系统实现了透明加、解密，操作简便，安全性高。     

基于虚拟磁盘的文件加密方法

文件加密存储是保证机密数据不被窃取或篡改的有效方法。介绍了一种基于虚拟磁盘的文件加密方法，其思想是利用Windows WDM设备驱动程序技术，创建虚拟磁盘分区，在响应虚拟磁盘的I／O请求的过程中，进行实时的数据加／解密，并采用USB智能卡进行用户身份认证及密钥管理，从而保证存储在虚拟磁盘中的文件的安全性。实验证明，该方法是一种安全、高效、易用的文件加密存储解决方案。     

Windows下的虚拟网络存储的设计与实现

介绍了虚拟存储的形式及实现层次，并在Windows平台下，利用现有的网络环境，在主机设备驱动层实现基于块存储的虚拟网络存储的一种方法，主机通过运行驱动程序将整个或一部分网络存储空间映射为本地的磁盘，然后像对本地盘一样对该盘进行格式化、创建文件系统、存储文件，从而实现网络存储。整个虚拟空间既可以映射为主机的单一硬盘，构成海量存储器，也可将虚拟空间根据不同主机要求映射为不同容量的虚拟磁盘，构成网络移动磁盘。     

基于内容审计的千兆网络监控系统的设计*

网络监控系统通过网络处理器和改进的捕获驱动进行高效数据捕获,通过设置虚拟磁盘、优化文件系统进行海量数据存储,并着眼于内容审计,采用多线程、简化协议等方法进行协议分析,解决了在千兆级网络监控中存在的一系列性能问题。     

基于双缓存机制的文件透明加解密方法与实现

为了实现文件透明加解密过滤驱动,首先提出了基于文件流的文件信息存储和转化方式,对于已经存储标识信态的文件,只有规定进程,才能读到其明文,否则读到的则是该文件的密文.其次,提出了分组对齐IRP(Input/Output Pequest packet)的方法,使加解密过滤驱动对加解密算法具有通用性.最后,设计并实现了具有文...