Windows操作系统下一种文件保护的新思路

本文介绍了一种有别于传统保护系统的方法。该方法利用WindowsNT内核技术对磁盘文件进行隐藏保护,只有当用户被验证通过后才能够访问磁盘文件。同时在驱动层上直接向系统发送IRP来访问文件系统,绕过Windows API层级以达到对文件深度保护的目的。     

基于文件过滤驱动的文本数字水印研究与实现

电子文档易于编辑,存储和传输,在提高办公效率的同时也具有数据安全隐患。为了对文件实施加解密保护,防止加密文件被泄露,提出了一种基于文件过滤驱动和数字水印的文件保护方案。首先研究了Minifilter技术的在内核层的加解密原理并使用这项技术开发出微过滤驱动程序。通过对文件I/O请求进行拦截,添加保护功能,对文件数据实施加密保护。接着,结合高级加密标准（AES）算法和海明码编码技术,使用Minifilter技术对无格式文本中的数据进行水印信息的嵌入。最后,实现了基于文件过滤驱动的文本数字水印系统,通过测试表明这个系统可以加强文件数据的安全性,为文本数据提供了更全面的保护,提出的文本水印算法在保证足够水印容量的前提下具有良好的不可见性和鲁棒性。     

PE文件的信息隐藏方案与实现

论文从一个全新的角度来研究信息隐藏技术,首次将PE文件作为掩护媒体引入信息隐藏领域。在分析PE文件结构和PE文件实现信息隐藏原理的基础上,给出了基于PE文件的信息隐藏方案,分析表明PE文件完全可以作为掩护媒体。     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

一种快速查寻隐藏文件的方法

隐藏文件是一种特殊的文件,是一类不愿被用户看到的文件,但在实际工作中,有时我们却需要专门对这类文件进行查寻。例如当系统启动出现故障时,有必要查寻系统文件,而系统文件中就有隐藏文件。Win95提供了非常方便的查寻文件的方法;但却没有这方面的功能,一般情况下查寻不到隐藏文件,即使通过菜单选项可以查寻到隐藏文件,这类文件也和其他文件混在一起．无法区分。DOS中的attrib命令提供了显示文件属性的功能,但隐藏文件和非隐藏文件仍排列在一起,当支作很多时,查寻起来还是不方便,有无只显示＠向文件的方法呢？／L胎中的ilirt…     

基于Minifilter的多层次文件操作行为提取技术研究

文章研究了对于不同层次的文件操作行为的提取及监控,旨在针对目前存在的绕过过滤驱动的检测方法进行改进,更加有效地针对恶意软件行为进行监控,多层次提取其文件操作的技术。文章首先概述了文件过滤驱动技术工作原理及当前应用现状,介绍了目前被广泛应用的微文件过滤驱动（Minifilter）技术的开发原理、步骤和应用领域。随后对文件操作的底层行为全过程进行了分析,并对Minifilter在其中的检测原理进行了相关介绍,对其安全性进行分析,提出当前能绕过过滤驱动检测的几种方法原理,包括通过增加过滤驱动以及Hook派遣函数等原理绕过过滤驱动,从而造成过滤驱动无法检测。列出了目前存在的从不同层次绕过过滤驱动的几种攻击方法,包括附着新的过滤驱动,直接访问内核,对底层文件结构的派遣函数进行不同的Hook等。针对其攻击原理进行分析,提出对应的检测方法。通过在原有Minifilter的基础上添加以上几种检测方法,可实现对目前存在的多种攻击手段进行多层次检测,从而添加相应的防护措施。在之后对改进后的过滤驱动进行功能及性能上的针对性测试中,表明改进后的检测驱动能利用更小的时间成完成更深层次的检测。因此,改进后的行为提取技术能绕过普通文件过滤驱动的恶意行为进行拓展检测,更深层次地提取恶意软件的文件操作行为,从而实现对目标程序的可疑文件操作进行更加全面的监控。     

简单操作让文件隐藏更彻底

众所周知,Windows已经提供了文件隐藏功能,只需将目标文件设置为隐蔽属性,之后在“文件夹”选项窗口中的“查看”面板中勾选“不显示隐藏的文件和文件夹”项,就可以让隐藏文件消失。不过这种方法太过简单,稍有电脑知识的人即可轻松将其破解。如果将上述窗口中的相关项目彻底隐藏起来,就可以有效避免别人的非法操作,因为他们根本无法调整文件的隐藏或显示状态。     

基于磁盘的信息隐藏系统

近年来,在通信领域,信息隐藏技术正越来越受到重视。信息隐藏中的一个重要的子学科是信息隐写技术(Steganography),大量的信息隐藏方案被提了出来,但在这些算法中的载体几乎都是声音,图像或视频信号中的一种。文章提出了一种新的信息隐藏方案,该方案中用于隐藏秘密信息的载体为磁盘中的文件分配表。最后对其安全性进行了讨论。     

新加密文件系统的研究与实现

为了解决Windows系统中文件加密存储的难题,分析了Windows EFS系统的不足,深入研究了过滤驱动开发过程中对IRP的处理、文件状态跟踪、避免重入等关键技术,使用文件过滤驱动技术,设计并实现了一个新的加密文件系统.该系统对用户完全透明,可以根据用户的策略对指定文件、文件夹或者某一类型文件进行加密存储,支持NTFS、FAT等多种文件系统,加密算法可以更改.实验结果表明,该系统性能良好且在功能和应用上都扩充了Windows EFS.     

Windows注册表隐藏检测完全解决方案

在分析Windows注册表系统及注册表隐藏技术的基础上,提出一个完全解决方案用于检测被Rootkit等木马隐藏的注册表项。设计底层数据复制算法来复制注册表文件,以解决无法直接读取注册表信息的问题,通过多层次匹配算法检测得到注册表的隐藏位置。实验结果证明,该方案可以突破Windows系统的限制,检测到从内核层到应用层所有被隐藏和修改的注册表信息及其隐藏位置,且不受Rootkit木马干扰。     

基于驱动堆栈单元的文件隐藏方法

为能在操作系统的驱动级实现新的文件隐藏点,对传统的文件系统过滤驱动原理和驱动数据堆栈单元结构进行分析。通过修改驱动堆栈单元的结构和完成例程,配合修改I/O请求包的传递方法,实现2种驱动级文件隐藏的方法。使用该2种方法的文件可以在系统中实现深度隐藏,使得操作系统无法查询,也不能通过正常途径访问。     

基于磁盘冗余空间的数据隐藏

为保护计算机磁盘上的敏感数据, 提出基于磁盘冗余空间的数据隐藏方法。该方法在分析磁盘分区策略和簇式文件系统的文件管理机制的基础上, 将分散的文件簇冗余空间有机组合以存储敏感数据, 并利用存储于分区策略冗余空间的数据结构来维护恢复原始数据所需数据。实验结果表明, 基于磁盘冗余空间的数据隐藏方法不占用文件系统有效空间, 具有隐蔽性高、系统开销小、隐藏容量与文件系统内部文件总量正相关, 以及抗干扰性易受到宿主文件稳定性影响等特点。此外, 当文件总量较大时, 隐藏容量将十分可观, 而通过选取稳定性强的文件作为宿主文件, 可提高该方法的抗干扰性。     

防止电子文档泄露的策略与机制

文档安全系统是当前需求较大的内网文档安全方面的研究课题.主要研究文档安全系统的特点,探讨文件系统过滤驱动相关的内核基础知识,着重研究基于文件系统过滤驱动的防泄露策略以及灵活运用策略的方法,并实现了一个基于文件系统过滤驱动层加解密技术的防电子文档泄露的内网安全系统.     

基于驱动层的数据安全存储系统设计

就目前数据集中存储带来的风险进行分析,并提出基于驱动的数据安全存储系统设计。数据安全存储系统能够在不改变终端用户操作习惯的情况下实现文件的安全存储,该系统工作在操作系统文件驱动层和设备驱动层之间,采用透明加密的方式,在文件物理写入磁盘的过程中,嵌入一系列安全操作,保证实际存储的数据全部经过保护。     

Image reversibility in data embedding on the basis of blocking-predictions

The popularity of peer-to-peer (P2P) multimedia file sharing applications such as voice, files, images, video, texts have created a flurry of recent research activity into P2P architectures. Reversible data hiding has drawn considerable attention in recent years. Being reversible, the decoder can extract the hidden data and recover the cover image completely. In this paper we used the block prediction to achieve histogram-based reversible data hiding. The histogram is created by exploiting all difference values between pixels and their predictive values. Experimental results show that our scheme is capable of providing great embedding capacity without making noticeable distortion. In the one-level data hiding, our scheme preserves image quality larger than 48 dB and has the best capacity. Moreover, in the multilevel cases, our scheme performs better than other existing schemes. Our scheme can successfully increase the embedding capacity from histogram-based data hiding and preserve image quality well.     

一种带有密钥的.EXE文件隐秘传输方法

为解决电子商务中各种文件的隐秘传输问题,在分析可执行文件特点的基础上,结合空域信息隐藏原理,设计实现了一种带有密钥的.EXE文件隐密传输方法.该方法在密钥的作用下,将.EXE文件的比特流,隐藏在载体图像较低的3个比特位上.方法已采用Matlab编程实现,实验表明采用该方法进行可执行文件隐藏时,嵌入前后图像的PSNR大于30dB,人类的视觉根本无法区分.而且恢复的可执行文件同正常文件一样,其运行未受任何影响.算法的隐藏效果较好,可以满足文件的隐秘传输需要.     

WindowsNT文件系统驱动程序原理及设计方法

本文详细阐述了WindowsNT下的文件系统驱动程序的功能原理以及文件驱动层相应的数据结构,通过一个具体的写文件系统驱动程序设计过程总结出了文件系统驱动程序的设计方法。     

基于VMM的文件完整性监控系统的设计与实现

虚拟机监控器(VMM)具有强控制性、隔离性的特点。针对现有文件完整性监控系统中存在的缺陷,提出了一种新的基于VMM且与客户机相隔离的文件完整性保护方法,该方法能够保护用户的敏感文件,特别是文件完整性监控系统本身,使其免受恶意代码的攻击。这种基于虚拟机监控器的文件完整性保护解决方案,在虚拟机隔离层中通过设计和嵌入的"探测器"和"文件逆向定位器"两种关键技术,能够实时地探测到对被保护文件的所有访问企图,从而实现预置的保护策略。     

计算机病毒与反病毒检测系统技术分析

针对计算机被病毒感染和破坏造成严重损失,在分析了计算机病毒的特征和反病毒检测系统技术的基础上,提出了一种高效的病毒特征检测机制.首先,例举先进的反病毒技术有实时扫描技术,启发式代码扫描技术,虚拟机技术和主动内核技术等;然后,分析了二进制可执行病毒脚本病毒和宏病毒的特征提取技术,设计出一个简单蜜罐系统来获取病毒样本;其次,为了解决特征代码不能检测未知病毒的问题,对引擎做了改进,提出了一种融合AC自动机匹配算法和BM算法的ACBM多模式匹配算法.算法在匹配病毒特征时,具有效率高,速度快和准确度高的特点,以特征代码法为基础杀毒软件是病毒检测系统是下一步研究目标.