Windows内核关键技术研究及其在内网安全中的应用

作     者：张立建 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：杨义先

授予年度：2013年

学科分类：08[工学] 0839[工学-网络空间安全] 

主      题：Windows过滤驱动 内网安全 NDIS中间层驱动 光驱只读 

摘      要：随着互联网的迅速普及,网络已经成为推动企业发展的一大助力。然而,网络犹如一把双刃剑,在给企业带来便利的同时,也给企业带来了危害。信息泄露事件发生的越来越频繁,而且大部分泄密都直接或者间接的源于公司内部人员。所以内网安全问题,已经成为了各大公司关注的重点。 基于以上现状,本文研究了Windows内核驱动关键技术,并将其应用到内网安全管理系统中,有效地管控了内网系统的安全问题。本文对于内网安全管理系统整体架构及各个功能模块的设计进行了详细地介绍。本文详细地讲解了Windows过滤驱动技术,设计并实现了基于过滤驱动技术的内网安全管理系统的功能模块。本文研究了NDIS中间层驱动技术及其应用,通过对比NDIS中间层驱动,原始套接字以及Winpcap在网络数据包处理方面的优缺点,设计并实现了基于NDIS中间层驱动的网络控制模块。本文研究了WDM式驱动模型和类过滤驱动的开发,设计并实现了基于类过滤驱动的光驱只读控制模块。本文研究了文件系统过滤驱动技术,并对其应用进行了分析,设计并实现了基于文件系统过滤驱动的外设控制模块。 本文还采用了底层驱动技术实现对于管控系统运行所需的文件、注册表和进程进行了保护。本文采用SSDT Hook技术和对象变动回调技术实现了对于注册表和进程的保护;本文采用了文件系统保护保护驱动程序实现了对于系统运行文件和配置文件的保护;本文通过对比各种网络服务防删除和卸载手段,采用隐藏驱动服务实现了对于网络过滤驱动的保护。 本文通过大规模的系统测试、压力测试,以及实际环境的部署,验证了本系统所提供的登录控制、网络控制和外设控制等功能,能够有效地管理内网中的终端机。