《一种ntfs文件隐藏方式研究》由会员分享,可在线阅读,更多相关《一种ntfs文件隐藏方式研究(51页珍藏版)》请在金锄头文库上搜索。
1、华中科技大学 硕士学位论文 一种NTFS文件隐藏方式研究 姓名:金晶 申请学位级别:硕士 专业:计算机系统结构 指导教师:陈加忠 20090526 I 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 摘摘 要要 保护电脑上文件的安全已经成为大家很关心的问题。文件隐藏技术从一个方面 解决了这个问题,这种技术逐渐被国内外学术界关注和重视。 设计了一种 NTFS(New Technology File System)文件隐藏方式, 它包括三个关键 技术的研究,分别是在根目录下搜索目标文件的方式,隐藏文件相关信息的保存以 及修正值技术。根目录下目标文件的搜索,是通过遍历索引根属
2、性值和索引分配属 性值来实现;隐藏文件相关信息的保存,将相关信息写到卷上的保留扇区,实现了 隐藏保存;修正值技术,通过分析 NTFS 卷,将更新序列数组(USA)改写成适当的 值,否则前面的任何修改都不能生效。 实现隐藏文件的同时,也实现了基于这种方式所隐藏文件的恢复。并在恢复的 时候,针对隐藏文件的上层目录名发生变化的情况,提出了基于 ObjectId 的文件匹 配方法。能够在隐藏文件的上层目录名发生变化的时候,将隐藏的文件恢复到相应 的改变后的目录下。 这种 NTFS 卷上的文件隐藏和恢复的方式,它的优点包括:操作系统无关,换 成任何别的操作系统,同样的方法也可实现隐藏;能隐藏 NTFS
3、卷上的任何文件, 与文件的特性无关;它不需要搬移隐藏文件的数据,只修改 MFT 记录中的内容, 因此隐藏文件的效率与文件的大小无关;隐藏的文件隐蔽性好,不会被轻易发现; 它对文件系统改动很少,却达到了很好的效果,实现方便。 在计算机应用越来越广泛,数据安全越来越重要的今天,所做的工作具有一定 的现实意义。 关键词关键词:文件隐藏,新技术文件系统,主文件表 II 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 Abstract To protect the security of computer files has become a matter of great co
4、ncern to everyone. The file hiding technique solves the problem to some extent, and it has been paid attention and recognition by home and abroad academe. The design of file hidden research on NTFS, includes research on three key technologies. They are the pattern of target file search under root, t
5、he way of keeping the related information of hidden files and the technology of checksum. The search of target file, realizes by traversal of index root properties and index allocation properties; the preservation of the hidden file information, achieves by writing to the reservation sectors; checks
6、um technology, though parsing NTFS, updating the USA, otherwise any modify has no effect. At the same time realize the recovery of the hidden file or folder base on this file hidden method. In the recovery, aim to the changes of the upper layers folder name, put forward a solution based on the match
7、ing method of ObjectId. It can recovery hidden file to the corresponding changed directory. The design of the NTFS file hidden research, has effect on: unrelated to the Operating System, it can achieve hidden function in any types of Operating Systems; it is effective to any file on NTFS file system
8、, and unrelated to the features of the file; The method do not need to move the data stream of the hidden file, only need to modify the content of MFT record, so the speed of file hidden has no relation ship to the size of file. It has high hidden strength, and can not be easily found. It has few ch
9、anges on file system, but achieves good results. At present more and more applications are used in a wide range of computer and data security is more and more important, the task this article acted has practical significance. Key words: File Hidden, New Technology File System, Master File Table 独创性声
10、明独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其 他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和 集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人 承担。 学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版, 允许论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进
11、行检 索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密, 在 年解密后适用本授权书。 不保密。 (请在以上方框内打“”) 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 本论文属于 1 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 1 绪论绪论 随着计算机硬件的不断升级和网络技术的不断发展,计算机被越来越多的人所 用,在各行各业都有广泛的应用。但是,广泛应用后面,也为人们带来了安全隐患。 人们担心存在自己电脑上的文件被偷窥,在别人使用自己计算机的时候,不想自己 的私密文件被别人看到;更担心“黑客们”利用联网的计算机上的后门
12、漏洞入侵, 盗走计算机上的机密文件,或者将计算机上的数据篡改,而自己竟然毫不知觉。为 了保护计算机上的隐私,人们考虑将计算机上的私密文件隐藏起来,并在这方面做 了不少的研究。 1.1 国内外国内外相关相关研究概况研究概况 1.1.1 将待隐藏的文件伪装成系统回收站 回收站是用来暂时保存已经删除的文件,将要隐藏的文件放在回收站中,具有 一定的安全性。要利用回收站来隐藏文件,首先要修改回收站的属性,将回收站变 成普通的文件夹,然后将要隐藏的文件保存在这个文件夹下面,最后再将文件夹恢 复成回收站1。这时再打开“回收站”,根本看不到里面隐藏的文件。即使执行“清 空回收站”的操作,被隐藏的文件仍然不会被
13、删除。通过切换“回收站”文件夹的 属性,能隐藏自己的文件。 1.1.2 修改注册表键值始终不显示隐藏文件 在Windows系列的操作系统中, 如果不想让同一台计算机的其他用户看到私密文 件,通常的做法是,将文件的属性改为“隐藏”,然后在工具栏中选择“不显示隐 藏文件”就可以了。但是,只要在工具栏中选择“显示所有文件”,就又能将它们 全部显示出来。这种情况下,可以对“显示所有文件”的选项加以限制。在 “ HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerA dvancedFolderHiddenSHOWALL”这个注册
14、表项中,将名称为“Checked value”的 2 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 项的数值数据置为“0”。这样一来,“显示所有文件”选项卡就对用户失效了。系 统会自动选中“不显示隐藏文件”这一项1。 以上两种隐藏文件方法都是基于Windows操作系统的, 但是这两种方法隐藏强度 较低,要访问被隐藏文件,第一种方式下只需要通过路径来访问,第二种方式下只 要通过操作系统提供的API函数遍历文件系统, 就能很轻易地破解这两种文件隐藏的 方式。 1.1.3 加密隐藏文件的方式 加密技术(Cryptography)已经为人们所熟悉,研究已经有多年了,广泛应用于
15、各 行各业。利用加密技术隐藏文件的方式,与具体的操作系统无关,就是将要隐藏的 文件或者目录通过某种方式加密以后以密文的形式存储于磁盘上,再将原文件或者 目录删除,从而达到隐藏文件的目的2。但是,随着计算机性能的不断发展,解密时 间大大缩短,利用这种技术进行文件隐藏显示了它的局限性,它要求加密算法复杂 度足够高。另外,利用加密技术隐藏文件的方式,过程比较繁琐,并且加密文件通 常会占用更大的存储空间,在隐藏的文件很多时会浪费掉大量的空间。加密文件的 时间与文件大小相关,如果待隐藏的文件较大,那么加密它所花费的时间也较长。 由于删除了源文件或者目录,如果遗忘了使用加密算法的密钥,就没有办法恢复隐 藏
16、的文件了。 1.1.4 在文件读写软件上实现 这种隐藏文件的方式一般是通过挂接操作系统 API 函数来实现。这也是跟操作 系统密切相关的一种隐藏方式。挂接 API 函数的基本方法就是:通过提高自己的权 限,替换原 API 函数的入口地址,使它的地址指向自定义的函数,在执行完自定义 函数之后,返回,再将控制权交给原函数3。将这种挂接 API 函数的方式应用在文 件隐藏的实现中,就是将文件系统原来的文件管理函数的地址替换为自定义的文件 管理函数的地址,在执行完自定义的函数,过滤了要隐藏的文件的信息后,再调用 文件系统原来的文件管理函数。这样,用户在进行查看文件的相关操作时,调用的 3 华华 中中 科科 技技 大大 学学 硕硕 士士 学学 位位 论论 文文 是自定义函数,就可以屏蔽要隐藏文件的相关信息了。 在 Windows 下挂接操作系统的 API,一般有两种方式:用户模式的挂接和内核 模式的挂接。用户模式的挂接可以安装全局钩子函数来实现。内核模式的挂接需要 了解文件读写的驱动原理。内核模式的挂接又包括 SS
