(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN103605930103605930A(43)申请公布日2014.02.26(21)申请号201310617088.7(22)申请日2013.11.27(71)申请人湖北民族学院地址445000湖北省恩施土家族苗族自治州学院39号(72)发明人陈世强金恺邵楚育(74)专利代理机构北京轻创知识产权代理有限公司11212代理人杨立(51)Int.Cl.G06F21/62(2013.01)权权利要求书3页利要求书3页说明书9页说明书9页附图4页附图4页(54)发明名称一种基于HOOK和过滤驱动的双重文件防泄密方法及系统(57)摘要本发明涉及一种基于HOOK和过滤驱动的双重文件防泄密方法，应用层控制模块将过滤策略分别发送到HOOK模块和文件过滤驱动模块，所述HOOK模块和文件过滤驱动模块根据过滤策略分别作如下防泄密处理：在所述HOOK模块中，将HOOK.DLL加载到系统运行进程中，在应用层使用HOOK拦截对剪贴板的所有系统调用函数，并监控应用层的数据复制；在文件过滤驱动模块中注册IRP分发函数，拦截IO管理器发往文件系统的IRP请求，并根据过滤策略进行处理。在本发明的方法中，所采用的方法在应用层和驱动层双重保护文件信息，相互弥补单方可能产生的泄密漏洞，安全稳定可靠，且不需要额外的硬件和软件支持，成本很低，不管是个人还是企事业单位都适合普遍采用。CN103605930ACN103659ACN103605930A权利要求书1/3页1.一种基于HOOK和过滤驱动的双重文件防泄密方法，其特征在于：包括以下步骤，S100：应用层控制模块向服务端发送机主身份认证请求；S200：管理端根据应用层控制模块的机主身份认证请求来配置和存储服务端中的加密策略；S300：服务端将加密策略派发给应用层控制模块；S400：应用层控制模块将过滤策略分别发送到HOOK模块和文件过滤驱动模块，所述HOOK模块和文件过滤驱动模块根据过滤策略分别作如下防泄密处理：在所述HOOK模块中，将HOOK.DLL加载到系统运行进程中，在应用层使用HOOK拦截对剪贴板的所有系统调用函数，并监控应用层的数据复制；在文件过滤驱动模块中注册IRP分发函数，拦截IO管理器发往文件系统的IRP请求，并根据过滤策略进行处理。2.根据权利要求1所述的一种基于HOOK和过滤驱动的双重文件防泄密方法，其特征在于：在应用层使用HOOK拦截对剪贴板的所有系统调用函数，HOOK截获剪贴板系统调用的方法，包含如下子步骤，S101：在应用层控制程序中以全局钩子的方式加载HOOK.DLL到系统所有进程中，并在HOOK.DLL中将剪贴板的系统调用地址替换成自定义的函数地址，如果发生剪贴板数据复制，则进入步骤S102，如果发生剪贴板数据粘贴，则进入步骤S103；S102：发生剪切板数据复制时，判断复制进程是否在机密进程白名单中，如果是，则以原子操作的方式将DLL共享数据段中机密进程复制数据布尔值设为true，如果不是，则以原子操作的方式将DLL共享数据段中机密进程复制数据布尔值设为false；S103：发生剪切板数据粘贴时，判断粘贴进程是否在机密进程白名单中，如果粘贴是在机密进程白名单中，并且DLL共享中机密进程复制字段为false，则将剪贴板清空，否则，调用相应的被HOOK掉的API。3.根据权利要求2所述的一种基于HOOK和过滤驱动的双重文件防泄密方法，其特征在于：所述剪切板包括标准剪贴板和OLE剪贴板，如果粘贴进程是发生在OLE剪贴板中，则不需要清空剪贴板。4.根据权利要求1或2所述的一种基于HOOK和过滤驱动的双重文件防泄密方法，其特征在于：进程间的通讯采用共享内存，并使用命名内核对象通知进程访问。5.根据权利要求1或2所述的一种基于HOOK和过滤驱动的双重文件防泄密方法，其特征在于：在所述文件过滤驱动模块中注册IRP分发函数，拦截IO管理器发往文件系统的IRP请求，并根据过滤策略进行处理，包含以下子步骤，S201：当文件过滤驱动模块截获到一个IRP包时，检测IPR包是否满足过滤条件，如果满足过滤条件，则直接发往文件系统驱动，如果不满足过滤条件，则根据IRP包类型做如下处理：“打开请求”进入步骤S202，“读请求”进入步骤S203，“写请求”进入步骤S204，“关闭请求”进入步骤S205，“清理请求”进入步骤S206，“查询请求”进入步骤S207；S202：在“打开请求”处理时，获取文件流上下文，如果文件不是首次打开，则添加引用计数，并发往下层驱动，继续构造读请求，IRP包以非重入方式读取文件加密标识，判断是否为加密文件，并设置文件流上下文，如果是加密文件，则设为读时解密，写时加密，并置为加密状态，2CN103