专注文档加密 保护核心数据

什么是内核驱动层加密技术?

 二维码 52
发表时间:2018-11-28 21:52

      就目前市面上的数据防泄密产品来看,主要分为三大类:即磁盘加密、应用层透明加密技术和驱动层透明加密技术,基于安全性和效率性,前两者基本被淘汰,本文将重点对后两种技术的优缺点进行剖析。


      应用层透明加密(钩子透明加密)技术简介


    所有Windosw应用程序都是通过windows API函数对文件进行读写的。程序在打开或新建一个文件时,一般要调用windows的CreateFile或OpenFile、ReadFile等Windows API函数;而在向磁盘写文件时要调用WriteFile函数。


      同时windows提供了一种叫钩子(Hook)的消息处理机制,允许应用程序将自己安装一个子程序到其它的程序中,以监视指定窗口某种类型的消息。当消息到达后,先处理安装的子程序后再处理原程序。这就是钩子。


      应用层透明加密技术俗称钩子透明加密技术。这种技术就是将上述两种技术(应用层API和Hook)组合而成的。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。


      应用层透明加密(钩子透明加密)技术与应用程序密切相关,它是通过监控应用程序的启动而启动的。一旦应用程序名更改,则无法挂钩。同时,由于不同应用程序在读写文件时所用的方式方法不尽相同,同一个软件不同的版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。


     目前不少应用程序为了限止黑客入侵设置了反钩子技术,这类程序在启动时,一旦发现有钩子入侵,将会自动停止运行,所以应用层加密很容易通过反钩子来避开绕过。


      驱动层透明加密技术简介


      驱动加密技术是基于windows的文件系统(过滤)驱动(IFS)技术,工作在windows的内核层。我们在安装计算机硬件时,经常要安装其驱动,如打印机、U盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时,文件驱动会监控到程序的操作,并改变其操作方式,从而达到透明加密的效果。


      驱动加密技术与应用程序无关,他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时,系统自动将文件解密;当进入写操作时,自动将明文进行加密。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定。


      但是,驱动加密要达到文件保密的目的,还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序,哪些程序是非法的程序。


      驱动层透明加密技术工作在内核层。


      驱动加密技术虽然有诸多的优点,但由于涉及到windows底层的诸多处理,开发难度很大。如果处理不好与其它驱动的冲突,应用程序白名单等问题,将难以成为一个好的透明加密产品。


      应用层透明加密技术(钩子透明加密技术)与驱动层透明加密技术优缺点比较


      两种加密技术由于工作在不同的层面,从应用效果、开发难度上各有特点。

  综上所述,应用层透明加密技术(钩子透明加密技术)开发容易,但存在技术缺陷,而且容易被反Hook所破解。正如杀毒软件技术从Hook技术最终走向驱动技术一样,而驱动层加密技术就解决了应用层所存在的技术漏洞。


为您推荐
文章附图

密码法草案25日提请十三届全国人大常委会初次审议。草案明确,任何组织或者个人不得窃取他人的加密信息,不得非法侵入他...

文章附图

互联网的便捷毋庸置疑,但也同时增加数据泄密的风险......经常能在各大新闻媒体看到,又有某某公司发生用户信息数据...

文章附图

  传统思维上的理解,或者我们个人用户使用的文档数据加解密行为当中:我们需要手动去设置一个密码把文件保护起来,然后...

189-2841-6750