- 主题:文件系统加密有人懂吗?
磁盘加密,很容易绕过去。 文件系统层简单加密,做些异或,同磁盘加密结合起来。
windows操作系统。 文件读写的话,会有buffer,不知道能不能实现
--
FROM 115.220.204.*
能实现
【 在 saynothing (止语) 的大作中提到: 】
: 磁盘加密,很容易绕过去。 文件系统层简单加密,做些异或,同磁盘加密结合起来。
: windows操作系统。 文件读写的话,会有buffer,不知道能不能实现
--
FROM 1.202.15.*
文件读写,使用buffer的话,是不是会不经过文件系统?
而驱动是挂载在文件系统minifilter这一层,这个时候加解密不一致。
这个不好弄。不知我的表述是否有问题
【 在 ddk3000 的大作中提到: 】
: 能实现
:
--
修改:saynothing FROM 223.104.244.*
FROM 223.104.244.*
bitlocker你怎么绕过去?
【 在 saynothing 的大作中提到: 】
: 磁盘加密,很容易绕过去。 文件系统层简单加密,做些异或,同磁盘加密结合起来。
: windows操作系统。 文件读写的话,会有buffer,不知道能不能实现
--
FROM 27.91.71.*
minifilter我没有研究过
实现合适的话,是可以加密的,参见linux的ecryptfs
【 在 saynothing 的大作中提到: 】
:
: 文件读写,使用buffer的话,是不是会不经过文件系统?
: 而驱动是挂载在文件系统minifilter这一层,这个时候加解密不一致。
:
: 这个不好弄。不知我的表述是否有问题
--
FROM 111.194.47.*
使用buffer咋会导致文件操作就不走文件系统了?表述肯定是有问题的。
是指Fast I/O?
Fast I/O is specifically designed for rapid synchronous I/O on cached files. In fast I/O operations, data is transferred directly between user buffers and the system cache, bypassing the file system and the storage driver stack. (Storage drivers do not use fast I/O.) If all of the data to be read from a file is resident in the system cache when a fast I/O read or write request is received, the request is satisfied immediately. Otherwise, a page fault can occur, causing one or more IRPs to be generated. When this happens, the fast I/O routine either returns FALSE, or puts the caller into a wait state until the page fault is processed. If the fast I/O routine returns FALSE, the requested operation failed and the caller must create an IRP.
https://docs.microsoft.com/en-us/windows-hardware/drivers/ifs/irps-are-different-from-fast-i-o
https://www.osronline.com/article.cfm%5Eid=166.htm
【 在 saynothing 的大作中提到: 】
: 文件读写,使用buffer的话,是不是会不经过文件系统?
: 而驱动是挂载在文件系统minifilter这一层,这个时候加解密不一致。
: 这个不好弄。不知我的表述是否有问题
: ...................
--
修改:z16166 FROM 221.220.172.*
FROM 221.220.172.*
谢谢指正。
磁盘加密功能太弱了,入侵一拷就拷走了。 文件系统层加上权限控制访问进程。但架不住 磁盘卷类设备 到文件系统之间,安插了其他驱动,绕过权限控制,还是可以拷走。 所以需要文件系统层做些加密
【 在 z16166 的大作中提到: 】
: 使用buffer咋会导致文件操作就不走文件系统了?表述肯定是有问题的。
: 是指Fast I/O?
: Fast I/O is specifically designed for rapid synchronous I/O on cached files. In fast I/O operations, data is transferred directly between user buffers and the system cache, bypassing the file system and the storage driver stack. (Storage drivers do not use fast I/O.) If all of the data to be read from a file is resident in the system cache when a fast I/O read or write request is received, the request is satisfied immediately. Otherwise, a page fault can occur, causing one or more IRPs to be generated. When this happens, the fast I/O routine either returns FALSE, or puts the caller into a wait state until the page fault is processed. If the fast I/O routine returns FALSE, the requested operation failed and the caller must create an IRP.
: ...................
--
FROM 115.220.204.*
你说得还是很不清楚。你想讲一下你的威胁模型是什么,想把加密做到什么效果,然后再说为什么全盘加密方案LUKS,文件系统加密方案fscrypt(
https://github.com/google/fscrypt)等方案不满足你的需求。
【 在 saynothing (止语) 的大作中提到: 】
: 谢谢指正。
: 磁盘加密功能太弱了,入侵一拷就拷走了。 文件系统层加上权限控制访问进程。但架不住 磁盘卷类设备 到文件系统之间,安插了其他驱动,绕过权限控制,还是可以拷走。 所以需要文件系统层做些加密
--
FROM 103.90.178.*
不就是windows上的文件透明加解密,我做过,minifilter + layerfsd架构的
--
FROM 106.11.34.*
厉害
【 在 pccq2002 的大作中提到: 】
: 不就是windows上的文件透明加解密,我做过,minifilter + layerfsd架构的
--
FROM 36.27.95.*