Double tampon transparent cryptage et décryptage basé sur le cadre minifilter

Table des matières
FOKS-TROT Documents de développement 1
Introduction： 1
Introduction： 1
Comment compiler et utiliser： 1
Section de la conception： 3
Section des essais： 18
Non réparé bug: 18
Fin： 18
Introduction：
Ce projet est expérimental,Et la compréhension de l'auteur du système de fichiers, etc., est in évitablement biaisée,Cela peut induire en erreur,J'espère que le lecteur apprendra la dialectique,Et demandez au lecteur de suivre le Protocole open source pertinent.
Parce que j'en ai déjà écrit un. minifilter Le pilote de cryptage et de décryptage transparent de,Mais les niveaux étaient limités à l'époque, Il y a beaucoup de problèmes.,Aucune raison trouvée,C'est juste un contournement,Il en résulte une autre erreur sur la base de l'erreur,Donc, sur la base de l'expérience acquise dans l'élaboration de projets antérieurs,J'ai écrit ce projet.
Ce projet est également destiné à être achevé en tant que,Comme d'habitude,C'est la même chose. s(- -)b
Introduction：
Ce projet est une utilisation minifilter Le lecteur de filtre transparent crypto - décryptage du cadre,Lorsque le processus a écrit une extension de fichier spécifique（Par exemple, txt,docx）Chiffrement automatique des fichiers en cas de tendance.Le processus d'autorisation décrypte automatiquement lorsqu'il veut lire un fichier cryptographique,Processus non autorisé non décrypté,Afficher le texte chiffré,Et la modification du texte chiffré n'est pas autorisée,Le cryptage ou le décryptage ici ne vise que NonCachedIo.Le côté Bureau peut également envoyer des commandes de chiffrement et de décryptage de privilèges,Implémenter un chiffrement ou un décryptage séparé.
1.Ce projet utilise un double tampon,Les processus autorisés et non autorisés utilisent respectivement un tampon texte clair et un tampon texte chiffré;
2.Utiliser StreamContext Stocker les informations du fichier pour l'exécution du pilote , Comment utiliser le fichier pour identifier la queue , À la fin du document 4KB Informations de décryptage nécessaires pour stocker le fichier ;
3.Utiliser AES 128-ECB Mode, Et utiliser des mots de passe pour détourner （Ciphertext stealing）Méthode, Évitez que le texte clair doive être aligné en bloc (padding)La question de;
4.Write Et Read Utiliser SwapBuffers Pour le cryptage transparent et le décryptage ;
5. Le chiffrement privilégié et le déchiffrement privilégié utilisent la rentrée （Reentry）De la façon dont, Décrypter le fichier avec le chiffrement du pilote ;
6.Résolution FileRenameInformationEx Et FileRenameInformation Questions, Il est donc possible de chiffrer et de décrypter automatiquement docx,doc,pptx,ppt,xlsx,xls Etc. tmp Renommer un fichier en lecture - écriture ;
7. Enregistrer les rappels liés au processus , Gérer uniformément les processus d'autorisation et de non - autorisation à l'aide d'une liste liée ; Enregistrer le processus et le rappel de l'objet thread , Processus de protection EPROCESS,ETHREAD Objet; Vérification de l'intégrité du fragment de Code du processus d'autorisation .
Comment compiler et utiliser：
1.Installation CNG Bibliothèque：
https://www.microsoft.com/en-us/download/details.aspx?id=30688
Besoin de télécharger sur le site officiel de Microsoft Cryptographic Provider Development Kit,
Projets->Propriété VC++Répertoire contenant le répertoire, Le Répertoire de la Bibliothèque définit l'emplacement approprié
La routine du Linker ->Ajouter un répertoire de bibliothèque C:\Windows Kits\10\Cryptographic Provider Development Kit\Lib\x64
Entrée-> Les dépendances supplémentaires doivent être définies à ksecdd.lib
2.In Utils.c-> PocBypassIrrelevantFileExtension Définir l’extension de fichier à filtrer ,Process.c->PocIsUnauthorizedProcess Définir un processus non autorisé
3.Utiliser Visual Studio 2019 Compiler Debug x64 Drive,Compiler User、UserDll Et
UserPanel
4.Recommandations Windows 10 x64,NTFS Environnement opérationnel（C'est surtout FltFlushBuffers2
De IRP_MN_FLUSH_AND_PURGE Soutien uniquement NTFS）,