[发明专利]一种用户态监视加密磁盘的方法

摘要

本发明公开了一种用户态监视加密磁盘的方法，在监控、审计环境和加密存储设备之间嵌入一个软件层，在需要监控、审计时，该软件层提供一个看起来完全透明的明文存储设备，通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控，通过对现有审计监控系统，提供一种软件实现方案，可以审计、监控加密存储设备上的文件，本发明的软件能够非常方便的嵌入现有的监控、审计环境中，不必对现有的监控、审计软件、操作系统做更改，极大的降低了部署成本；本发明能够对多种加密软件做到良好的普适性、兼容性和稳定性，不会对系统稳定性造成影响，也不用频繁升级和修改。

主权项

一种用户态监视加密磁盘的方法，其特征在于：在监控、审计环境和加密存储设备之间嵌入一个软件层，在需要监控、审计时，该软件层提供一个看起来完全透明的明文存储设备，通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控；所述“通过对用户态进程注入，截获用户态和内核态的加密、解密交互数据，而后通过解密流程重放的方式对已加密数据进行解密获取明文，实现过滤和监控”具体包括以下步骤：1）实现一个用户态的进程监视模块，所述进程监视模块监视系统中所有进程的启动，可以根据特定的特征匹配来识别当前启动的进程是否是需要进行监视的目标进程；2）实现一个用户态的动态链接库注入模块，所述动态链接库注入模块可以注入到指定目标进程中；3）以动态链接库的形式，实现一个进程监控模块，在进程中搜寻到用户态与内核态交互接口，并通过热补丁的方式，将此接口的数据流重定向到进程监控模块中去；具体是指，动态链接库注入模块根据步骤2），将加密交互内容截获模块注入存储加密程序进程的内存空间；加密交互内容截获模块在存储加密程序进程的内存空间中搜寻到该进程与存储加密驱动程序交互的函数接口，保存该函数接口的内存地址fAddr，并将该函数的入口改为一条跳转语句，跳转到加密交互内容截获模块中来；4）在存储加密过程中，用户态进程与内核进行数据交互时，记录这些交互数据流以及文件位置信息到加密交互内容截获模块；具体是指，记录交互数据，用户的加解密操作和驱动交互的内容，都重定向到了加密交互内容截获模块，加密交互内容截获模块对用户的加解密操作和驱动交互的内容进行数据记录；加密交互内容截获模块记录完毕后，根据之前保存的fAddr值，跳转回原来的存储加密驱动程序交互的函数接口，将控制权交还原存储加密程序；5）当监控、审计进程需要访问的文件位于加密的存储介质中时，软件从加密交互内容截获模块中找到解密流程使用的数据流，并使用该数据流和目标软件的驱动进行交互，重放解密流程，实现存储数据的解密；所述“用户态监视加密磁盘的方法”包括以下模块：进程监视模块，监视系统内所有的进程启动，并根据软件特征码识别启动的进程是否是一个存储加密软件进程；动态链接库注入模块，将加密交互内容截获模块注入到待监视进程中；加密交互内容截获模块，记录解密信息；加密设备重载模块，对已加密的存储数据重新加载并提供明文访问接口；所述“进程注入”，将某个动态连接库置于进程空间运行，并且使用热补丁的方式替换原进程与驱动通讯的接口函数为自身某个监视函数，以达到监视用户态进程与驱动的加密会话过程；所述“热补丁的方式”，在进程运行过程中，不需要重新启动进程，在内存中对进程代码进行修改并且实时生效的进程代码修改方法；所述“加密设备重载”，利用加密交互内容截获模块已记录的信息，对解密流程进行“重放”而获取明文的过程。