- 主题:文件系统加密有人懂吗?
磁盘加密,很容易绕过去。 文件系统层简单加密,做些异或,同磁盘加密结合起来。
windows操作系统。 文件读写的话,会有buffer,不知道能不能实现
--
FROM 115.220.204.*
文件读写,使用buffer的话,是不是会不经过文件系统?
而驱动是挂载在文件系统minifilter这一层,这个时候加解密不一致。
这个不好弄。不知我的表述是否有问题
【 在 ddk3000 的大作中提到: 】
: 能实现
:
--
修改:saynothing FROM 223.104.244.*
FROM 223.104.244.*
谢谢指正。
磁盘加密功能太弱了,入侵一拷就拷走了。 文件系统层加上权限控制访问进程。但架不住 磁盘卷类设备 到文件系统之间,安插了其他驱动,绕过权限控制,还是可以拷走。 所以需要文件系统层做些加密
【 在 z16166 的大作中提到: 】
: 使用buffer咋会导致文件操作就不走文件系统了?表述肯定是有问题的。
: 是指Fast I/O?
: Fast I/O is specifically designed for rapid synchronous I/O on cached files. In fast I/O operations, data is transferred directly between user buffers and the system cache, bypassing the file system and the storage driver stack. (Storage drivers do not use fast I/O.) If all of the data to be read from a file is resident in the system cache when a fast I/O read or write request is received, the request is satisfied immediately. Otherwise, a page fault can occur, causing one or more IRPs to be generated. When this happens, the fast I/O routine either returns FALSE, or puts the caller into a wait state until the page fault is processed. If the fast I/O routine returns FALSE, the requested operation failed and the caller must create an IRP.
: ...................
--
FROM 115.220.204.*
厉害
【 在 pccq2002 的大作中提到: 】
: 不就是windows上的文件透明加解密,我做过,minifilter + layerfsd架构的
--
FROM 36.27.95.*
听说这玩意做稳定比较难。 有没有什么经验分享
我的理解: 文件系统创建文件、读写、关闭文件等操作,对应为IRP_MJ_XXX等一系列回调实现。 这部分内容和操作系统教科书比较接近,FCB、文件句柄的管理、文件对象的管理。 至于细节的一些东西(irp),多看看windows 内核的书。 还有,借鉴微软的代码
之前卷设备,作为逻辑设备(没有名字),想通过IOCTL传递密钥,借鉴了veracrypt的实现方式: 绑定上一个有名设备。 处理的时候需要区分irp来自有名设备,还是无名设备。
谢谢
【 在 pccq2002 的大作中提到: 】
: 不就是windows上的文件透明加解密,我做过,minifilter + layerfsd架构的
--
FROM 122.233.228.*
我们单位做透明加密,这个项目10年前就已经有人做好了。
现在做,是借国密的风。。
【 在 saynothing 的大作中提到: 】
: 感恩大神的回复。
: 单位做windows透明加密,这个项目是个大坑。 之前有好几个人,不愿意接手这个烫手山芋。 还有年轻人进公司,做不出来走了。
: 我做什么倒是无所谓的。 昨天看了文章《基于文件过滤驱动的透明加密那点事儿》,感觉主管人真不地道。 原理上不复杂,但结合windows驱动、操作系统实现、API、编程方式、应用场景、以及各种不同的os版本,人家都说了要2、3年。 主管磁盘加密之前预定的时间,调研学习了解3个月(之前年轻人和他在弄),产品两个半月。 文件系统加密又想这个套路:学习了解3个月,产品3个月。 我之前磁盘加密集成功能做了3个月不到,完成功能(安装/卸载/IOCTL传密钥/传白名单/产品化/性测/文档),被说太慢了。
: ...................
--
FROM 122.233.228.*