（计算机应用技术专业论文）基于文件过滤驱动的移动存储控制系统的研究与实现.pdf

摘要 随着计算机技术及网络技术的快速发展，以及大型企业、公共事业等单位内部各种业 务系统、服务系统的建立，公共文件数量快速增长。这些文件中有很多是涉密文件，而且 这些涉密文件分散地存放在企业各个业务骨干员工的计算机上。由于内部网中的机密信息 很容易因为互相拷贝的违规操作、越权行为和无意识操作而泄漏。移动存储设备的安全访 问控制已经成为内网信息安全保密工作中一个十分重要的环节。 鉴于文件过滤驱动和操作系统其它组件的紧密联系，本文首先对与文件系统相关的主 要系统组件进行了分析，并重点研究了w i n d o w s 文件系统和文件过滤驱动，论述了文件过 滤驱动的原理，讨论了文件过滤驱动应用于移动存储设备的使用控制的理由，详细阐述了 与此相关的文件过滤技术。 在此基础上，论文设计了一个基于文件系统过滤驱动移动存储控制系统，给出了系统 结构图并实现该系统。系统功能包括控制移动存储中的文件访问，隐藏禁止访问的文件， 防范和查杀卷中存储的病毒。另外，本文还从系统的功能，性能，安全性，稳定性等几个 主要方面进行详细实验，充分验证了本系统的可行性。 本文的创新性工作在于对于移动存储中的卷进行权限分级，通过识别移动存储设备生 成的多个卷和每个卷的唯一标识，并结合每个卷的访问权限，实时进行控制；同时结合进 程的监控，防范和查杀卷中存储的病毒木马。 本文设计的系统具有以下特征：可以根据策略，对指定卷，或某几类卷设置访问权限 进行透明控制：在读取移动存储文件过程中保证安全使用，避免主机被恶意病毒感染破坏； 本论文提出的利用过滤驱动实现的移动存储控制方法是增强计算机主机安全的有效方法， 在局域网的应用中有着重要的意义。 关键词：文件过滤，卷控制，文件隐藏，a u t o r u n 病毒，进程监控 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rt e c h n o l o g ya n dn e t w o r kt e c h n o l o g y , a sw e l la s s e r v i c es y s t e me s t a b l i s h m e n to ft h ev a r i o u so p e r a t i o n a ls y s t e m sw i t h i nl a r g en t e r p r i s e s ，p u b l i c u t i l i t i e sa n do t h e ru n i t s ，n u m b e ro fp u b l i cd o c u m e n t sg r o w e dr a p i d l y m a n yo ft h e s ed o c u m e n t s w e r ec l a s s i f i e dd o c u m e n t s ，a n ds e c r e td o c u m e n t sw e r eo f t e nd i s t r i b u t e dt os t o r ei nt h ec o m p u t e r o fe n t e r p r i s eb a c k b o n eo rv a r i o u st e c h n i c a ls t a f fo rb u s i n e s s b e c a u s eo fe a c hi l l e g a lo p e r a t i o no r c o p y , t h ec o n f i d e n t i a li n f o r m a t i o nw i t h i nt h ei n t e r a ln e t w o r kw a se a yt ol e a k , t h es a f e t ya c c e s s c o n t r o lo fr e m o v a b l es t o r a g ed e v i c e sw i t h i nt h ei n t e r n a ln e t w o r kb e c a m eav e r yi m p o r t a n tp a r ti n t h es e c u r i t ya n dc o n f i d e n t i a l i t yo fi n f o r m a t i o n i nv i e wo ft h ef i l es y s t e mf i l t e rd r i v e rh a dc l o s ec o n t a c t 谢t ho t h e rc o m p o n e n t s ，f i r s t l yt h i s p a p e ra n a l y z e dm a i ns y s t e mc o m p o n e n t sa s s o c i a t e dw i t ht h ef i l es y s t e m ，a n df o c u s e do nt h e w i n d o w sf i l es y s t e md r i v e ra n df i l es y s t e mf i l t e rd r i v e r , d i s c u s s e dt h ep r i n c i p l eo ff i l es y s t e m f i l t e rd r i v e r , d i s c u s s e dh o wt h ef i l es y s t e mf i l t e rd r i v e rw a su s e di nr e m o v a b l es t o r a g ed e v i c e s a n dd e s c r i p e df i l t e rt e c h n o l o g yu s e d o nt h i sb a s i s ，t h ep a p e rd e s i g n e dar e m o v a b l es t o r a g ec o n t r o ls y s t e mf i l es y s t e mf i l t e rd r i v e r b a s e do nf i l es y s t e mf i l t e rd r i v e r , g i v e nt h es y s t e ms t r u c t u r ea n di m p l e m e n t so ft h es y s t e m s y s t e m sf e a t u r e si n c l u d e dc o n t r o l l i n gf i l ea c c e s so f t h er e m o v a b l es t o r a g e ，b l o c k i n ga c c e s st o h i d ef i l e s ，p r e v e n t i n ga n dk i l l i n gt h ev i r u ss t o r e di nv o l u m e s i na d d i t i o n ，t h i sp a p e rm a d e d e t a i l e de x p e r i m e n t sf r o ms y s t e m sf u n c t i o n a l i t y , p e r f o r m a n c e ，s e c u r i t y , s t a b i l i t y , a n ds e v e r a l o t h e rk e ya s p e c t so f , f u l l yv e r i f i e dt h ef e a s i b i l i t yo ft h i ss y s t e m t h i sp a p e r sc r e a t i v ew o r kw a sc l a s s i f i c a t i o na u t h o r i t yi ne v e r yr e m o v a b l es t o r a g ev o l u m e ， b yi d e n t i f y i n ge a c hv o l u m ea n di t su n i q u e l yi d e n t i f i eg e n e r a t e db yr e m o v a b l es t o r a g ed e v i c e s ， m a d er e a l - t i m ec o n t r o lt oe a c hv o l u m ea c c o r d i n gt oi t sa c c e s s ；a tt h es a m et i m ew i t ht h ep r o c e s s m o n i t o r i n g ，p r e v e n t e da n d k i l l e dt h ev i r u sa n dt r o j a ni ns t o r a g ev o l u m e t h i ss y s t e md e s i g n e dh a dt h ef o l l o w i n gc h a r a c t e r i s t i c s ：a c c o r d i n gt ot h ep o l i c y , t h es p e c i f i e d v o l u m ew a ss e tt oc e r t a i nt y p e so f t r a n s p a r e n ta c c e s sc o n t r o l ；e n s u r et h es a f eu s ei nt h ep r o c e s so f r e a d i n gt h er e m o v a b l es t o r a g ef i l e ，t oa v o i dd a m a g et ot h eh o s tb yam a l i c i o u sv i r u s ；t h i sm e t h o d w a st oe n h a n c et h eh o s ts a f e t yb yi m p l e m e n t i n gt h eu s eo fr e m o v a b l es t o r a g ef i l t e rd r i v e ra n d h a de f f e c t i v ea p p l i c a t i o na n di m p o r t a n ts i g n i f i c a n c ei nt h ei n t e m a ln e t w o r k k e y w o r d s ：f i l ef i l t e r ，v o l u m ec o n t r o l ，f i l eh i d d e n , a u t o r u nv i r u s ，p r o c e s sn o t i f y n 目录 第一章绪论1 1 1 课题研究背景与意义1 1 2 国内外的研究现状2 1 3 研究内容及目标3 1 3 1 移动存储卷控制技术3 1 3 2w i n d o w s 文件隐藏技术4 1 3 3a u t o r u n 病毒防御技术4 1 4 论文的组织结构s 第二章文件系统相关的内核组件6 2 1w i n d o w s 内核组件基本概念6 2 1 1 w i n d o w s 总体结构6 2 1 2w i n d o w s 内核组件7 2 2 本章小结9 第三章文件过滤驱动技术研究1 0 3 1 过滤驱动的基本概念1 0 3 1 1 什么是过滤驱动1 0 3 1 2 文件过滤驱动原理1 1 3 3 设计文件过滤驱动1 4 3 3 1 附加到目标设备对象1 4 3 3 2 截获创建打开请求。1 5 3 1 3 - 3 完成例程1 5 3 3 4 从目标设备对象解除附加1 6 3 4u s b 过滤。1 7 3 6 本章小结。1 7 第四章系统设计与实现1 8 4 1 文件系统中的卷1 8 4 1 1 移动存储卷识别模块1 8 4 1 2 唯一性识别模块2 1 i 4 1 3 卷访问控制模块2 2 4 2 文件隐藏模块的实现2 4 4 2 1 文件隐藏的实现原理2 4 4 2 2 内核模式挂接a p i 2 5 4 2 3 文件和文件夹隐藏2 6 4 3 规则模块2 8 4 3 1 传统模式( c s 模式) 。2 8 4 3 2 采用“云”存储2 9 4 3 3 内存中的规则结构。3 1 4 4 防毒模块3 3 4 4 1a u t o r u n 病毒原理。3 4 4 4 2a u t o r u n 病毒的防御和查杀3 4 4 4 3 进程监控。3 6 4 5 本章小结3 8 第五章系统实验与测试。3 9 5 1 系统功能验证。3 9 5 1 1 测试环境3 9 5 1 2 系统文件隐藏功能验证3 9 5 1 3 卷控制功能验证3 9 5 1 4 防病毒功能验证4 0 5 2 与其他类似产品比较4 3 5 2 1 对移动存储设备卷的识别4 4 5 2 2 控制功能测试对比4 4 5 2 3 防毒能力对比4 5 5 3 本章小结4 6 第六章总结与展望4 7 6 1 总结4 7 6 2 展望4 7 参考文献4 8 t t 至i 【谢5 1 附录一缩写词表。5 2 附录二本文对应图表。5 3 作者简介5 4 i 第一章绪论 1 1 课题研究背景与意义 第一章绪论 目前，计算机网络日益普遍，信息技术高度发展，无论是企业还是个人都逐渐加入到 因特网的行列，但是因特网也引发了不少安全问题，如信息是否安全存储，是否安全传递， 是否安全交换。因此，企业，高校，政府部门，军事部门，商业部门等在进行数据存储、 传递、交换时将安全性放在了首位，他们希望数据在安全可靠的环境下透明控制访问，于 是数据的安全控制访问成了信息安全的首要考虑因素。 对于重要信息资料，比如说技术文档，设计文档，机密文件，人员名单等，出于安全 保密考虑，需要根据用户性质设置不同的访问权限，这就需要一个安全可靠的访问控制方 法，以使用必要的技术手段对机密文件进行访问控制、授权管理，从技术上杜绝泄漏机密 信息，防患于未然。 目前移动存储介质因使用灵活、方便，已得到普及，成为现今不可缺少的文件存储、 传输、交换工具。同时，越来越多的敏感信息，机密数据被存储在移动存储介质中，如管 理混乱，使用不当，往往会导致机密信息泄露，给用户带来巨大的安全隐患。 鉴于移动介质给企业、政府等机构的重要数据带来巨大威胁，市场上出现了一些移动介 质安全管理类产品来控制移动介质在内网中的使用。这些产品通过对移动介质进行注册、 授权及日志审计，完成对介质的安全管理。但此类产品普遍存在一些缺陷，他们大多基于应用 层进行开发，利用线程时刻检测是否有介质插入及介质种类并采取相应措施，这样一些非法 介质可绕过系统的检测线程而进行非法使用【l l 。随着技术的发展，有一些产品采用了内核 层次的驱动来解决问题，这些产品从系统底层对移动存储进行控制，管理移动存储的使用， 有的采用u s b 过滤驱动，有的采取文件过滤驱动和u s b 过滤驱动的组合，有的直接使用 文件过滤驱动，但是没有考虑到对于不同的移动存储进行灵活授权，病毒木马感染等问题。 综合以上情况，本文提出了基于文件过滤驱动的移动存储访问控制方法。该方法通过 唯一识别出移动存储的每个卷，根据卷的访问权限进行访问控制。卷的权限包括只读，只 写，无权访问，完全访问。另外，利用控制粒度灵活的特点，对于卷中的恶意木马病毒程 序给予清除和防范。 计算机的数据信息安全是网络安全的一个重要方面【2 1 。计算机网络给人们提供的各种 服务，最终体现在网络中所存储的信息上。这些信息一方面为合法使用者提供各种数据服 务，支撑整个网络和系统的正常运转，另一方面也是网络攻击者偷窃的重要内容。涉密文 件的泄密，大部份是内部泄密。调查显示：有超过8 5 的安全威胁来自组织内部【3 】【4 】，有 1 6 来自内部未授权的存取。在各种安全漏洞造成的损失中，3 0 4 0 是由电子文件的泄 露造成的，而在f o r t u r e 排名前1 0 0 0 家的公司中，每次电子文件泄露所造成的损失平均是 南京信息工程大学硕士学位论文 5 0 万美元。所以文件的安全管理是杜绝涉密文件泄密的最好方式，其市场前景也是相当客 观的。 因此，加强对移动存储保护的研究，具有重大的战略意义和现实意义。 1 2 国内外的研究现状 计算机的外部存储设备，特别是可移动u s b 存储设备( 如u 盘、u s b 移动硬盘等) 具有 易于携带、容量大和使用方便等特点，给计算机之间的数据交换带来了巨大的方便，但与 此同时，u s b 移动存储设备等外部存储设备也给非法复制和泄漏敏感数据提供了机会。 目前许多单位为了防止机密数据泄漏，对u s b 移动存储使用产生的安全威胁采取了对 应策略。主要方法有两种，一种是从物理上禁止使用u s b 移动存储设备，但是这个给文件 传输，交换带来了很大的不便，也没有将移动存储的方便移动的特点利用起来，一般这种 方法是将信息只存在计算机上，不移动数据，一旦要进行数据传输，要安装各种输入输出 设备，比较麻烦，这种方法不够灵活，降低了工作效率；另一种方法是将所有u s b 移动存 储采取权限控制，所有的u s b 移动存储只局限于内部局域网中使用，使用技术手段控制 u s b 移动存储设备，只有权限被批准或者授权通过才能够使用u s b 移动存储系统，即在内 部网中部署管理方案对设备访问进行实时访问控制。解决方案主要分为用户层应用软件和 内核层驱动软件两种。 围绕通过技术手段防止通过u s b 移动存储设备泄漏涉密或敏感数据的问题，国内外展 开了研究，并提出了一些解决方案。主机监控产品在国外出现的比较早，而它在国内主要 是在上世纪末才引起人们的重视，随之也出现了大量的相关产品。现在有大量的主机监控 及管理系统存在，国外的女i ：w e b s e n s e 、n e t w o r k e a g l e m o i t o r 、o p m a n a g e r 和n a g i o s 等；国 内的如：内网l l o 、中软防水墙、太古主机安全监控等。 当今，随着国际信息安全形势的日益严峻，以及人们对安全防范意识的日益提高，未 来主机监控的概念可以归结为这样几句话：主机监控管理要达到“5 w ”i s ，即任何一个授 权者( w h o e v e r ) 无论在任何时候( w h e n e v e r ) 、任何地点( w h e r e ) ，都能通过任何一种手段 ( h o w e v e r ) ，以获取任何一个被监控对象( 人或设备) ( w h i c h e v e r ) 的任何信息( w h a t e v e r ) ( 比如， 图像、声音和数据等) ，形成一个高度智能化的完备的监控网，这是未来监控的理想模式和 发展趋势。 u s b 移动存储介质控制访问系统应具备以下基本功能： ( 1 ) 对本单位所有涉密移动存储介质进行注册登记，加强涉密移动存储介质台帐管理； ( 2 ) 控制非涉密移动存储介质无法在涉密计算机上使用，避免信息被非法拷贝；( 3 ) 经过注册的涉密移动存储介质应采取特殊处理，使其在非涉密计算机上无法识别； ( 4 ) 由管理员指定涉密移动存储介质密级、使用范围，控制涉密u 盘在不同密级涉 密计算机上的读写权限； ( 5 ) 支持配套使用带有数据加密等技术的安全u 盘，防范保管不善造成的泄密： 2 第一章绪论 ( 6 ) 可对涉密移动存储介质中存储的数据进行彻底销毁，防范数据恢复造成的泄密； ( 7 ) 提供审计信息，可以查询所有涉密移动存储介质的使用情况。 w i n d o w s2 0 0 0 以后，微软提出了文件过滤驱动1 6 】。文件过滤驱动的作用包括： ( 1 ) 用于防病毒引擎。希望在系统读写文件的时候，捕获读写的数据内容，然后检测 其中是否含有病毒代码。 ( 2 ) 用于加密文件系统。希望在文件写过程中对数据进行加密，在读的过程中进行解 密。 ( 3 ) 设计透明的文件系统加速。读写磁盘的时候，合适的c a c h e 算法是可以大大提高 磁盘的工作效率。w i n d o w s 本身的c a c h e 算法未必适合一些特殊的读写磁盘操作1 7 】。设计 自己的c a c h e 算法的效果会更好些。微软、卡巴斯基等公司将侧重点集中在文件过滤驱动 用于文件透明加密，防病毒引擎中。很少有公司关注将文件过滤驱动用于移动存储的访问 控制，仅设置u 盘的只读或者只写，对于移动存储上的文件无法进行细粒度的操作。 国内学者们也有使用u s b 过滤驱动实现移动存储的访问控制，文献f 8 1 0 f l p 采用了 u s b 过滤驱动来实现，在u s b 存储设备加载识别的过程中进行拦截实现设备的控制，不同 的是文献【8 9 】采用的是w d m 框架，文献 1 0 】采用的是w d f 框架，但是没有考虑到基于卷 的层次1 6 】基于文件的层次对设备进行控制，也没有考虑到设备中是否感染了病毒木马的问 题。于是有些学者开始采用文件过滤驱动进行设备控制，文献 1 1 】用了u s b 过滤驱动结合 文件过滤驱动的方式进行设备控制：文献【1 2 】虽然使用文件过滤驱动控制存储设备，但是 都没有考虑到多卷和卷的唯一性识别问题，一个移动存储设备在文件系统层次可能生成多 个卷。 1 3 研究内容及目标 1 3 1 移动存储卷控制技术 卷是在文件系统层次上的概念。在w i n d o w s 系统上，移动存储从插入u s b 接口到最后 访问存储介质上的文件，包含一系列动作，其中有个动作是挂载移动存储的卷，然后才能 操作访问移动存储中的文件。 在卷挂载之前，首要遍历文件系统，生成卷的设备对象，卷的设备对象的生成如果失 败，那么没有设备对象供下一步的挂载操作，只有卷生成成功了，卷才有可能被挂载，卷 的对象由文件系统生成。因此从文件过滤驱动层次而言，如果想禁止卷的加载，可以从文 件系统生成卷的设备对象的过程中进行过滤，过滤未授权的移动存储设备的非法使用。利 用这个特点可以实现未授权移动存储的拒绝访问功能。 对于拒绝功能而言，无外乎两种：读和写操作。如果从这两个角度出发，对于未授权 移动存储而言，读和写操作均被禁止，也可以实现拒绝访问功能。从灵活度和系统方便集 成，响应速度而言，该方案较阻止卷的生成更具有灵活性。 3 南京信息工程大学硕士学位论文 除了拒绝访问，移动存储的控制还包括只读，只写方式。在以往的学者研究中，曾经 采用了u s b 过滤驱动来实现只读，但是控制力度不够细，达不到卷的层次，所以，利用文 件过滤驱动实现起来具有不可比的优势。 在文件过滤驱动层次，只读和只写，通过判断两个i r p 主功能i r pm jw r i t e 和 i r pm aw r i t e 实现。这个切合点正好和利用读和写操作实现卷的拒绝访问功能一致。在 这个层次上，一旦卷的权限被查询到，响应的速度也是非常高的。 如果单纯从u s b 过滤驱动来实现以上功能，只读、只写和拒绝访问容易实现，但是达 不到卷的层次，对于大型移动存储生成的多个卷而言，可能实现起来的难度相对高，同时， 也不象文件过滤驱动来得灵活。 本文采用的是基于文件过滤驱动的移动存储设备控制方法。该方法可以识别移动存储 设备生成的多个卷设备，每个卷有唯一的标识，卷的访问权限分为无权访问、单向访问、 双向访问三种模式。 1 3 2w i n d o w s 文件隐藏技术 现在隐藏文件的方法主要分为从应用的层次上隐藏和通过内核层次隐藏。应用程序的 层次上有：修改注册表，使得普通的文件操作，无法看到被隐藏的文件【”】；将文件夹伪装 成回收站然后将文件隐藏在该文件夹中 1 4 1 ；内核层次的隐藏有：挂接操作系统的与文件相 关的a p i ，使得通过资源管理器或者文件工具，无法看到被隐藏的文件【1 5 1 ；还有直接加密 整个文件，并将源文件删除f l6 j ；再就是修改文件系统结构隐藏文件【l7 1 。 在对这些方式进行比较之前，先介绍一下隐藏强度的概念【l 引，隐藏强度包括破解隐藏 文件的时间复杂度和技术难度两个因素，查找文件需要的时间复杂度越高，技术难度越大， 则文件隐藏强度越强，反之越小。从隐藏强度来看，通过修改注册表的方式，以及利用系 统回收站特性的文件隐藏方式，隐藏强度较低，如果调用系统a p i 函数来遍历文件系统， 可以很容易地将这些被隐藏的文件找出来【6 j ，而其它几种文件隐藏方式，在满足一定条件 的情况下，其文件隐藏强度相对较高。 1 3 3a u t o r u n 病毒防御技术 随着网络应用的普及和移动存储设备的广泛使用，a u t o r u n i n f 病毒【l9 】的传播日益广泛， 并且有以下共同特征及发展趋势：( 1 ) 种类繁多；( 2 ) 以网络为载体进行传播；( 3 ) 迅速 产生更多新变种、更具破坏性。因此，了解和认识a u t o r u n i n f 病毒的原理和查杀方法，进 一步增强预防a u t o r u n i n f 病毒的意识，才能保证计算机的正常运行和网络用户的利益不受 损害。 鉴于a u t o r u n 的危害性，本文从a u t o r u n 病毒的原理提出了防范措施，并对移动存储 进行a u t o r u n 病毒免疫，对执行程序的运行进行监控。 4 第一章绪论 1 4 论文的组织结构 本文设计和实现了一种基于文件过滤驱动的移动存储控制系统。全文共六章，各章分 布如下： 第一章绪论。从当前信息安全现状出发，阐述移动存储控制的重要意义，介绍了文件 系统紧密联系的内核组件，以及文件加密、文件隐藏技术，给出了本文结构。 第二章文件系统相关的内核组件。介绍了与文件过滤驱动相关的内核组件的组成和定 义，首先介绍了w i n d o w s 家族操作系统的总体结构，然后介绍了w i n d o w s 重要的内核组 件，比如w i n d o w s 执行体，硬件抽象层，图形处理系统等，最后介绍了和文件系统紧密联 系的i o 管理器、虚存管理器、缓存管理器和对象管理器。这四个重要内核组件都属于 w i n d o w s 执行体。 第三章文件过滤驱动技术研究。首先介绍了w i n d o w s 文件过滤驱动的基本概念和文 件过滤驱动的基本原理，从设备对象的创建挂载，截获目标设备对象的i r p 操作，设置完 成例程，解除完成例程方面描述如何设计一个文件过滤驱动。最后简单的描述了u s b 过滤 驱动的原理，作为使用文件过滤驱动控制移动存储设备的参考。 第四章系统设计与实现。提出系统的主要模块结构，其中包括卷的控制，文件隐藏， 规则模块，病毒查杀模块。描述了系统的卷控制功能，对文件隐藏进行了详细的描述，规 则模块使用了云存储机制，保证了数据的安全和稳定性，并以高效的规则查找。病毒查杀 模块，主要针对移动存储特定的a u t o r u n 病毒进行深入分析，给出了有效预防方法。 第五章系统实验与测试。主要针对移动存储控制系统进行功能测试，首先从移动存储 的功能上进行测试，然后与目前已经存在的相似解决方案进行了对比。测试系统的功能包 括，对于卷的只读，只写，无权，双向访问控制，对于只写模式下，对文件的隐藏进行了 功能测试；对于移动存储的a u t o r u n 病毒免疫同样也进行了测试。另外本文还选择了目前 已经存在的产品或者解决方案进行了充分的对比。经测试表明本文提出的解决方案有效性 和相对于其他作者所做工作的先进性。 第六章总结与展望。总结了系统的功能并做了展望。 5 南京信息工程大学硕士学位论文 第二章文件系统相关的内核组件 2 1w i n d o w s 内核组件基本概念 文件系统是极其复杂的，它会涉及到多个内核模式组件，比如利用虚存管理器分配内 存，必须与内核模式组件紧密联系。本节主要讨论文件系统相关的内核组件和其工作原理。 2 1 1 w i n d o w s 总体结构 w i n d o w s 操作系统的设计原理和方法逻辑来自u n i x 和o p e n v m s 操作系统，同时还 受到m s d o s 和o s 2 的影响【2 0 1 。在w i n d o w s n t 操作系统的设计中，包括设计最小化内 核和实现c s 结构，以方便各个内核模块相互之间传递消息。 操作系统呈现层次化的结构，每一层和其他层之间的通信均在定义良好的接口上进行。 简化的w i n d o w s 总体结构图如图2 1 所示。 内核模式 图2 1 简化的w i n d o w s 总体结构 从图2 1 中可以看出，与大多数多用户操作系统类似，w i n d o w s 系统应用程序与操作 系统本身被分割在两个不同的层次上，一个是用户模式，一个是内核模式【2 l 】。在内核模式 下，包括执行体，内核，设备驱动程序和硬件抽象层以及负责用户界面接口的窗口和图形 系统；用户模式包括子系统d l l ，环境子系统，用户应用程序，服务进程等。 内核模式和用户模式中执行代码的区别是c p u 的硬件特权级。i n t e l 系列c p u 有四个 特权级，从r i n 9 0 到r i n 9 3 t 2 2 1 1 2 3 1 1 2 4 1 。c p u 的硬件特权决定了代码能够执行的指令集。 w i n d o w s n t 使用简化的两个等级模式：内核模式( 处理器处于r i n 9 0 特权) 允许代码在处理器 上做任何必要的事情，可以访问系统数据和硬件数据，包括使系统崩溃或毁坏用户数据：用 户模式( 处理器处于m n 9 3 特权) 进程则被严格的约束在一个被允许的操作范围里，只有有限 6 第二章文件系统相关的内核组件 的一组接口可以使用，对系统数据的访问受到限制，并且无法直接访问硬件。 操作系统提供保护子系统1 2 ，每个保护子系统拥有与其他子系统相隔离的内存，驻留 在自己的进程中。内存保护是由内核的虚拟内存管理器所提供支持的。子系统提供定义良 好的应用编程接口，从而用户模式的进程可以调用期望的功能。子系统再用定义良好的系 统服务调用与内核模式的操作系统组件通信。当用户模式程序调用一个系统服务时，处理 器捕获到该调用，然后将调用线程切换到内核模式。当该系统服务完成时，操作系统将线 程环境切换到用户模式，并允许调用者继续执行。 2 1 2w i n d o w s 内核组件 w i n d o w s 内核模式组件包括以下部分：w i n d o w s 执行体、w i n d o w s 内核、设备驱动程 序、硬件抽象层、窗口和图形系统 2 1 l 。其中执行体包含不同模块或子系统，每个模块或子 系统负责一部分功能。和文件系统驱动密切相关的即w i n d o w s 执行体，本节重点介绍 w i n d o w s 执行体。 执行体为子系统提供了大量的系统服务a p i 。另外，执行体( e x e c u t i v e ) 广泛支持第三方 驱动程序、可安装文件系统驱动和过滤驱动等软件。w i n d o w s 执行体主要包含了以下的内 核组件：i o 管理器、虚拟内存管理器、缓存管理器、配置管理器、进程管理器、安全引用 监视器、即插即用( p 】心) 管理器1 2 。和文件系统驱动紧密联系的有i o 管理器、虚拟内存管 理器、缓存管理器、对象管理器。 2 1 2 1f o 管理器 i o 管理器采用i r p 数据包作为通信的基本请求单位【6 】，在分层的内核驱动程序，每个 层次中的驱动程序接受一个i r p 请求包，然后依次向下传递，最低层的驱动程序最接近硬 件本身。采用了这种分层的结构，更加方便了开发者开发第三方功能。 根据注册表中的内容，f o 管理器来决定驱动加载的顺序，注册表中包含驱动的参数， 配置的数据等，这样做使用户最大化配置了驱动的加载。 i o 操作分为同步和异步，i o 管理器支持异步i o ，允许线程请求一个i o 操作，继续 执行其他任务，如果先前的请求结束，该线程将得到通知。图2 2 显示的是同步和异步i o 操作的动作序列。如图所示，异步i o 能够和其它i o 任务一起并行执行计算动作。这使 得系统拥有更高的性能和更高的吞吐量。 w i n d o w sn t 系统默认的i o 机制是同步模式。 7 南京信息工程大学硕士学位论文 2 1 2 2 缓存管理器 线了i 谳= 警1 加腓祟薯i 理 控制没有返回给线程控制和状态返回 耋耋：翼篷朴攫执行线程继续通常的处可以任何时候检查操作 勰= = 竺= 作厂 厂 图2 2同步异步处理 w i n d o w s 缓存管理器是w i h d o w s 的核心组件，他和w i n d o w s 虚拟内存管理器紧密相关。 它提供一个全局一致的数据缓存，该缓存是和文件系统、虚拟内存管理器以及i r p 管理器 共同协作管理的。 缓存管理器执行文件数据的“预读”。缓存管理器根据每个文件被用户应用程序的数据 访问模式来调节“预读”策略。如果一个用户应用程序要读某个文件的前面1 0 k 字节，n t 缓存管理器通常会试图预读该文件接下来的6 4 k 字节到内存中。然后，如果应用程序试图 得到这些数据，他就能够简单地从系统缓存中把数据送给应用程序，从而避免了使应用程 序等待数据从辅助存储器读进来，提高了应用程序的执行效率。 缓存管理器提供修改数据延迟写的功能。通过把修改数据在系统中保留一段时间然后 再实际写到磁盘，可以向用户应用程序提供更快的响应。通过把多个成批的内存中连续的 写操作在一个单个的i o 操作中完成所有的修改数据，使w i n d o w s 系统对执行多个单独的 小的写操作时更有效率。通过延迟到磁盘的i o 操作，这使修改只在内存中进行，完全避 免了重复写介质的负载。 2 1 2 3 虚拟内存管理器 虚拟内存管理器为系统的其他组件提供下列的功能： ( 1 ) 提供分页的虚拟内存系统。每个进程有一个相关的虚拟地址空间。这个虚拟地址 空间由在需要的时候从机器上的可用的总的物理页池中分配的物理页组成。 8 第二章文件系统相关的内核组件 ( 2 ) 支持内存映射文件。这些文件可以任意大小。支持在系统中不同的进程之间共享 内存。这也是用于进程间通信的一个方法。 ( 3 ) 管理分配给进程的物理内存的工作集，执行所有物理内存的分配与释放。不管该 内存是分配给用户空间的应用程序还是给内核模式的文件数据缓存。 2 1 2 4 对象管理器 对象管理器定义、创建和管理所有的w i n d o w s 执行体组件导出的供其他的内核模式模 块使用的数据类型和数据实例。对象是特定的内核组件实现和操作的不透明的数据结构。 每个对象包括创建、删除、等待通知等操作。 对象管理器维护一个全局名字空间。系统中所有的命名对象可以在这个空间中访问到。 对象的命名空间符合通常的文件命名习惯。有一个全局的“”根目录在系统初始化的时候 被对象管理器创建出来。执行组件可以在根目录下创建目录和子目录，然后可以在那些目 录中创建对象类型的实例。 当一个对象被创建或者插入后，从对象管理器维护的名字空间的根目录开始分析对象 的名字。如果对象关联了分析方法，对象管理器为该对象调用分析方法。 n t 对象管理器维护的对象类型结构包含应该被分配的内存池、对象的有效的访问类 型、对象关联的处理过程的指针( 该指针是可选的，包括创建，打开，关闭，删除和其他的 过程指针) 和对象管理器为特定类型的所有实例维护的同步结构。 每个对象有一个标准的对象头和对象类型特有的对象体。标准对象头包含如对象名字 的指针，和对象相关安全描述符对象的访问模式，引用记数，对象类型的指针( 指向拥有的 对象实例) 和其他相关属性。 2 2 本章小结 本章首先介绍了w i n d o w s 家族操作系统的总体结构，然后分析了w i n d o w s 重要的内 核组件，比如w i n d o w s 执行体，硬件抽象层，图形处理系统等，最后讨论了和文件系统紧 密联系的i o 管理器、虚存管理器、缓存管理器和对象管理器。这四个重要内核组件都属 于w i n d o w s 执行体。 9 南京信息工程大学硕士学位论文 第三章文件过滤驱动技术研究 本章首先给出过滤驱动的定义，然后研究过滤驱动技术的实现原理，重点讲述了文件 过滤驱动设计方法。 3 1 过滤驱动的基本概念 3 1 1 什么是过滤驱动 开发过滤驱动是为了在操作系统提供的功能之上提供附加值。过滤驱动是一种内核模 式驱动，它依靠拦截发往存在的内核模式驱动的请求来提供新的功能。如图3 1 所示。 i 0 管理器 i ( 发送i r p ) l 过滤驱动( 拦 i 截发往目标驱 i 动的请求) l 核心模式驱动 l ( 目标驱动) 图3 1 过滤驱动 图3 1 中，发往目标驱动的i o 请求被过滤驱动拦截，过滤驱动可以使用目标驱动提供 的服务也可以使用用户模式或内核模式软件提供的服务来提供附加功能。 设计和开发文件系统过滤驱动的根本原因是提供操作系统不能提供的附加功能。过滤 驱动用于在不改变底层设备驱动或者用户程序的情况下增加设备新功能。过滤驱动允许不 用重写底层驱动代码而改变这个已存在驱动的特性。当想开发一个软件，可以扩充、修改 或者完全支持当前已经存在的模块，就可以使用过滤驱动。 w i n d o w s 的设计使得第三方软件开发商可以通过对过滤驱动的开发提供附加功能。过 滤驱动可以截获用户的写请求，在数据传输到存储介质之前对数据进行加密，从而实现了 数据动态加密，如果是用户的读操作，则截获用户的读请求，并且在完成例程中得到读取 的数据，并进行解密，这就实现了数据的动态解密。除了对读取操作的动态加解密，文件 过滤驱动还可以用于病毒的实时监测，数据在写入读取的时候，数据都会被过滤驱动拦截， 一旦发现含有病毒木马特征，则阻止数据的传播。文件过滤驱动可以对文件和文件夹进行 保护，也可以拓展到对整个逻辑卷进行保护。 文件过滤驱动还可以用作数据存储管理。它可以将不常访问的数据保存到到廉价速度 慢的二级存储；一旦有应用程序访问二级存储中的的数据，那么过滤驱动将该数据自动恢复 1 0 第三章文件过滤驱动 到速度快的存储中，方便应用程序访问。 在最初的操作系统设计中，操作系统内核和文件系统并没有明确的分开，耦合在一起， 当访问文件相关