基于APIHOOK的U盤安全衛(wèi)士設(shè)計(jì)與實(shí)現(xiàn)

1、Computer Knowledge and Technology 電腦知識(shí)與技術(shù)本欄目責(zé)任編輯:謝媛媛軟件設(shè)計(jì)開發(fā)第7卷第22期(2011年8月基于API HOOK 的U 盤安全衛(wèi)士設(shè)計(jì)與實(shí)現(xiàn)吳茜茵,鄭雪(江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院,江蘇無(wú)錫214200摘要:如何防止存儲(chǔ)設(shè)備中的文件被泄露是很多用戶面臨的一個(gè)重要問題?，F(xiàn)有U 盤的加密軟件和管理軟件,都很難兼顧U 盤的安全性與共享性。針對(duì)上述問題,設(shè)計(jì)了一款集安全、管理為一體的U 盤管理軟件。軟件通過(guò)Windows 系統(tǒng)下的API HOOK 機(jī)制攔截用戶操作,給予用戶不同的訪問權(quán)限,使U 盤不僅方便管理,而且具有安全性高、成本低和共享性好等優(yōu)點(diǎn),

2、具有廣闊的應(yīng)用前景。關(guān)鍵詞:U 盤;文件保護(hù);管理軟件;API HOOK ;訪問權(quán)限中圖分類號(hào):TP311文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(201122-5378-03The Design and Realization Based on the API HOOK of U Disk SecurityWU Xi-yin,ZHENG Xue(School of IOT Engineering,Jiangnan University,Wuxi 214200,ChinaAbstract:It is an important issue for many users to prevent

3、the document in the storage device was leaked.But the existing U disk encryp -tion software and management software are hard to deal with the security and sharing problem.So we design an U disk management soft -ware to solve the problem.In order to give the users different access rights,the software

4、 intercept the user s operation through the Windows system which under API HOOK mechanism.Thus,the U disk is not only has the advantages of high safety,low cost and easy sharing,but also convenient to management.This U disk management software has broad application prospects.Key words:U disk;file pr

5、otection;management software;API HOOK;access authority隨著社會(huì)信息化程度不斷提高,人們對(duì)信息儲(chǔ)存的要求也越來(lái)越高。U 盤具有體積小、容量大、傳輸速度快等優(yōu)點(diǎn),給信息的傳輸和交換帶來(lái)很大方便1。現(xiàn)在市場(chǎng)上的U 盤從功能上可分為以下三類:1普通型U 盤。該U 盤是使用范圍較廣泛的一種,共享性好,但安全性卻不高。2加密型U 盤。其安全性能較第一種大大提高,但通常只限于個(gè)人使用,共享性差。3文件只讀型U 盤。具備一定的共享性和安全性,但是操作比較麻煩。這些U 盤或是共享困難,或是安全性能不好,亦或是操作不便。針對(duì)這些情況,設(shè)計(jì)了一種直接安裝在U 盤

6、上的新型管理軟件。軟件兼顧了安全性和共享性,能對(duì)文件進(jìn)行多種保護(hù)。1設(shè)計(jì)思想這種新型U 盤管理軟件能對(duì)用戶的身份進(jìn)行識(shí)別,并對(duì)指定文件進(jìn)行監(jiān)視和保護(hù)。下面具體說(shuō)明這三項(xiàng)功能:1身份認(rèn)證功能:在進(jìn)入管理軟件時(shí)對(duì)用戶身份進(jìn)行識(shí)別。若是U 盤“管理者”,則可對(duì)U 盤文件進(jìn)行任何操作,如修改、刪除文件等;若是“訪客”,則只擁有“管理者”給予的文件權(quán)限。2監(jiān)視功能:在文件的管理中加入“訪問日志”一項(xiàng),管理者可觀察在訪問日志清零之前的所有訪問記錄。這樣可有效防止“訪客”越權(quán)操作。3保護(hù)功能:這也是這款軟件中最重要的功能。保護(hù)功能主要包括:刪除保護(hù)、寫保護(hù)、讀保護(hù)等。其中刪除保護(hù)是指在“訪客”刪除文件時(shí)拒絕

7、執(zhí)行操作;寫保護(hù)是指在“訪客”修改文件時(shí)拒絕執(zhí)行操作;拒絕讀是指“訪客”不能讀出該文件。2結(jié)構(gòu)模型根據(jù)U 盤管理軟件的結(jié)構(gòu)模型如圖1。用戶登錄界面并進(jìn)行身份驗(yàn)證,系統(tǒng) 接收用戶操作命令后連接到驅(qū)動(dòng),軟件安裝鉤子并根據(jù)操作命令添加、修改、刪除文件數(shù)據(jù)庫(kù)中的內(nèi)容,系統(tǒng)將結(jié)果返回用戶操作界面,最后卸除鉤子。將用戶分為管理者和訪客兩類,其中管理者不僅能對(duì)文件進(jìn)行讀取、修改、刪除等操作,同時(shí)可對(duì)文件保護(hù)權(quán)限進(jìn)行設(shè)置和修改;而訪客只能對(duì)未設(shè)置相應(yīng)保護(hù)功能的文件進(jìn)行相關(guān)操作。1管理者操作流程:在插入U(xiǎn) 盤并確定身份是“管理者”后,驅(qū)動(dòng)部分從數(shù)據(jù)庫(kù)中調(diào)取文件保護(hù)信息,并將文件信息發(fā)送到管理者界面。收稿日期:2

8、011-05-16基金項(xiàng)目:U 盤數(shù)據(jù)安全衛(wèi)士(2010年江南大學(xué)大學(xué)生創(chuàng)新訓(xùn)練計(jì)劃項(xiàng)目,編號(hào):1003042作者簡(jiǎn)介:吳茜茵(1990-,女,浙江東陽(yáng)人,本科,主要研究方向?yàn)樾畔踩?鄭雪(1990-,女,江蘇常州人,本科,主要研究方向?yàn)樾畔踩?。圖1結(jié)構(gòu)模型Computer Knowledge and Technology 電腦知識(shí)與技術(shù)Vol.7,No.22,August 2011.5378Computer Knowledge and Technology 電腦知識(shí)與技術(shù)軟件設(shè)計(jì)開發(fā)本欄目責(zé)任編輯:謝媛媛第7卷第22期(2011年8月若文件已受保護(hù),則詢問用戶是否需要修改保護(hù)信息。若需修

9、改則做相應(yīng)設(shè)置并將保護(hù)文件信息存入數(shù)據(jù)庫(kù)中;反之,則返回文 件所在界面。若文件沒有被保護(hù),則詢問用戶是否要對(duì)該文件進(jìn)行保護(hù)。若用戶選擇是,則將文件保護(hù)信息加入受保護(hù)文件數(shù)據(jù)庫(kù)中;反之,則返回文件所在界面。具體流程如圖2所示。2訪客操作流程:在插入U(xiǎn) 盤并確定身份是訪客后,驅(qū)動(dòng)部分截獲訪客對(duì)某一文件的操作信息,并判斷該文件是否已經(jīng)受到保護(hù)。若未受保護(hù),則系統(tǒng)允許打開該文件且訪客操作不受限制;若文件受到保護(hù),則系統(tǒng)從受保護(hù)文件數(shù)據(jù)庫(kù)中讀取該文件受保護(hù)的信息,并判斷訪客進(jìn)行的操作是否超出權(quán)限。若未超出權(quán)限,則訪客可以對(duì)文件進(jìn)行相關(guān)操作;否則,返回警告信息并由驅(qū)動(dòng)部分向訪客界面發(fā)出警告。具體流程如圖3

10、所示。3文件保護(hù)的實(shí)現(xiàn)針對(duì)結(jié)構(gòu)模型,下面對(duì)文件保護(hù)的實(shí)現(xiàn)進(jìn)行詳細(xì)的闡述。 3.1主要數(shù)據(jù)結(jié)構(gòu)下面的是存儲(chǔ)一個(gè)被保護(hù)文件信息的數(shù)據(jù)結(jié)構(gòu):struct PROTECTED_FILEchar *PF_pPath;/儲(chǔ)存路徑WORD PF_type;/存儲(chǔ)保護(hù)方式BYTE PF_piority;/路徑的優(yōu)先級(jí)struct FSD_PATH PF_fsdPath;/儲(chǔ)存驅(qū)動(dòng)器卷標(biāo)和已解析的路徑;3.2核心函數(shù)函數(shù)_cdecl HookProc 的作用是處理整個(gè)軟件的主流程,用偽代碼的方式表示如下:int _cdecl HookProc (if 軟件的應(yīng)用程序請(qǐng)求忙碌或重復(fù)進(jìn)入then退出程序;設(shè)置程序重

11、復(fù)標(biāo)識(shí)為首次進(jìn)入;if 函數(shù)為刪除保護(hù)thenif 文件不需要?jiǎng)h除或隱藏保護(hù)then退出;if 正確調(diào)用刪除保護(hù)函數(shù)then設(shè)置文件重復(fù)標(biāo)識(shí)并返回正確路徑;退出;if 函數(shù)為寫保護(hù)thenif 文件不需寫保護(hù)或文件已經(jīng)被保護(hù)then退出;if 文件不能被進(jìn)行寫操作then發(fā)出警告并設(shè)置文件重復(fù)標(biāo)識(shí);以.bak 為后綴重命名文件進(jìn)行保護(hù);if 函數(shù)為讀保護(hù)thenif 文件不需要讀保護(hù)或文件已經(jīng)被保護(hù)then退出;發(fā)出警告并設(shè)置文件重復(fù)標(biāo)識(shí);退出程序;3.3文件鉤子(HOOK 文件鉤子是Windows 消息機(jī)制的一個(gè)平臺(tái),利用進(jìn)程對(duì)API 函數(shù)的調(diào)用來(lái)執(zhí)行HOOK ,改變應(yīng)用程序流程,從而實(shí)現(xiàn)對(duì)

12、API 函數(shù)調(diào)用的監(jiān)視和控制2。于是,要實(shí)現(xiàn)文件保護(hù),只需對(duì)傳給鉤子函數(shù)的文件路徑進(jìn)行判斷,如果受保護(hù),就不把文件操作往下傳,或者改變操作方式。函數(shù)InstallHook 的作用是安裝鉤子,具體函數(shù)偽代碼如下:圖2管理者操作流程圖3訪客操作流程5379Computer Knowledge and Technology 電腦知識(shí)與技術(shù)本欄目責(zé)任編輯:謝媛媛軟件設(shè)計(jì)開發(fā)第7卷第22期(2011年8月BOOL InstallHook(if 已經(jīng)安裝鉤子thenreturn 1;else if 鉤子安裝失敗then卸除鉤子并標(biāo)記鉤子安裝失敗;return 0;else標(biāo)記鉤子安裝成功;return 1

13、;end if函數(shù)UninstallHook 的作用是卸除鉤子,具體函數(shù)偽代碼如下:BOOL UninstallHook(if 已經(jīng)安裝鉤子thenreturn 1;end ifif 鉤子卸除失敗thenreturn 0;else標(biāo)記鉤子卸除成功;return 1;end if4總結(jié)與展望隨著現(xiàn)代社會(huì)活動(dòng)過(guò)程中交換信息的數(shù)據(jù)量越來(lái)越大,數(shù)據(jù)管理的重要性也越來(lái)越突出。U 盤作為一種便攜式存儲(chǔ)設(shè)備,已經(jīng)越來(lái)越受大眾的喜愛。本文提出了一種對(duì)U 盤進(jìn)行管理的軟件,論文研究主要取得以下幾個(gè)成果:1在U 盤較為單一的存儲(chǔ)功能基礎(chǔ)上加入了U 盤文件管理。使U 盤具備良好的共享性和安全性。2對(duì)U 盤的文件進(jìn)行

14、了多種權(quán)限設(shè)置:寫保護(hù)、刪除保護(hù)等。不同的文件其權(quán)限可以不同。3軟件操作簡(jiǎn)單,適用于廣大人群。該軟件還存在一些不足:如文件保護(hù)功能可能不夠完善,在投放使用后將針對(duì)客戶要求改進(jìn);可用AES 等加密算法實(shí)現(xiàn)更為可靠的加密體制。總而言之,擁有該管理軟件的U 盤彌補(bǔ)了原有U 盤只有單一的安全性或共享性的不足。隨著U 盤的使用越來(lái)越廣泛,U 盤的安全和共享這個(gè)既矛盾又互相聯(lián)系的問題也越來(lái)越重要。這個(gè)問題也亟待我們繼續(xù)研究下去。參考文獻(xiàn):1段翼真,王曉程,王斌.USB 存儲(chǔ)設(shè)備安全監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)J.計(jì)算機(jī)應(yīng)用,2010,30(1:102-108.2李珂,寧超.惡意腳本程序研究以及基于API HOOK 的注冊(cè)表監(jiān)控技術(shù)J.計(jì)算機(jī)應(yīng)用,2009,29(12:3197-3200.3張帆,史彩成.Windows 驅(qū)動(dòng)開發(fā)技術(shù)詳解M.北京:電子工業(yè)出版社,2008:62-65.4李偉,蘇璞睿.基于內(nèi)核驅(qū)動(dòng)的惡意代碼動(dòng)態(tài)檢測(cè)技術(shù)J.中國(guó)科學(xué)院研究生院報(bào),2010,27(5