[求助]请问如何防止文件外泄？hook？文件过滤驱动-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
IamHuskar 雪币： 1392 活跃值： (5202) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 2 楼驱动还是应用层这些什么的技术还是次要的。一些关键点要想清楚。比如QQ外发。 ReadFile你读取了一个文件。你如何知道他是外发，还是自己使用？网络数据流和文件流对比？防君子还是防小人？光驱 USB 蓝牙红外这种可以过滤驱动解决。 win上做兼容肯定要做多个版本的。一般两个版本是XP及其以下。VISTA及其以上你提的这些问题要是都给你回答完毕，加上策略控制。就自己能做一个完整的DLP产品了，哪有那么容易啊。 2016-8-5 16:16 0
hiroada 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	hiroada 3 楼你好，谢谢你的回复，我们就是做类似产品的，只差桌面终端这部分。防君子。不通过网络数据流去监控的，我们有相应的网络产品和技术，服务器和网络的技术公司都有积累。但是windows这块是我们公司的弱项。终端上肯定是希望通过文件数据流去做匹配。我们公司对驱动和HOOK的积累几乎为零，可以说完全不清楚，目前在预研，但是项目紧，不想走太多弯路。 1.对于光驱 USB 蓝牙红外这些希望，传输和copy发生时，拿到文件的路径，能够识别目标位置的类别，并且能够阻断该行为，我们现在混乱在没有经验，比如说做在驱动层，不知道是应该做在文件驱动层面，还是说分别做在usb、光驱等驱动的层面。在文件的驱动层面能不能识别目标设备？ 2.对于QQ外发的问题，文件驱动层面截获能否识别属于哪个应用程序的动作，能否判断是QQ的动作，有没有进程ID等标识可以获取？至于判断是否属于外发这个确实也是我们想知道的。 3.xp和7以上两个版本的问题先谢谢您了，至少我们知道方向了，是指Minifilter和sFilter作两个版本吗？ 4.对于windows共享目录这种文件，我们在什么层面监控过滤能判断出目标地址属于共享目录？ 2016-8-7 12:57 0
zylyy 雪币： 144 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 4 楼坦白的跟你讲，如果公司没有这方面的技术积累，而想做这种文件过滤驱动，是很麻烦的。控制文件的复制行为，必须区分该动作的来源，某个程序打开某个文件都会产生句柄操作。而识别这种行为是合法和非法，是很麻烦的。不管是用户直接发起的文件操作行为，还是某个特定程序发起的行为。 2016-8-7 14:51 0
zylyy 雪币： 144 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 5 楼我们往往能够做的，是针对用户某些特定的行为，使用特定的策略。解决你的需求，是一个策略集合，而且是一个增加的策略集合。就像杀毒一样，我们建立一个足够复杂的规则库，以拦截常规的文件复制操作。但是很多未知的情况，我们没法识别，往往是动态增加新的规则。 2016-8-7 14:56 0
zylyy 雪币： 144 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 6 楼这类软件一般就是：通用可靠的常规拦截规则+动态增加的规则。其他未知的情况，往往要靠主动发现去弥补 2016-8-7 14:57 0
爱鸟雪币： 245 活跃值： (93) 能力值： ( LV6，RANK：80 ) 在线值：发帖 21 回帖 318 粉丝 1 关注私信	爱鸟 1 7 楼百度 “透明加密” 2016-8-7 16:00 0
IamHuskar 雪币： 1392 活跃值： (5202) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 8 楼一般来说对于USB蓝牙光驱等都是做完全不可用只读禁用三种状态，不会去看是不是拷贝文件的操作。拷贝实质上和新建文件写文件一个概念，从电脑C拷贝一个a.txt文件到USB被你拦截了。那我USB新建一个b.txt。打开b.TXT CTRL+C CTRL+V拷贝a.txt里面的内容到b.txt保存，你拦不拦截呢？ minifilter可以做拷贝到USB的拦截，不过我不知道怎么实现的。越到底层你可以控制的东西越多，但是应用层的信息就越少。控制君子无意识的拷贝这种应用层全局HOOK CopyFile之类的比较稳定。minifilter没有个一定经验写出来也谈不得稳定好用。 2016-8-8 08:27 0
ysbysb 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ysbysb 9 楼之前一家公司用过一个和你们产品一样功能的软件 <虹安加密>也是根据规则拦截COPY动作，包括文件加密功能，在没有安装的机器上打开安装过这个软件的机器上的文件都是乱码，你可以了解参考一下 2016-9-15 13:47 0
wangbingquan 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wangbingquan 10 楼您好，我的邮箱是464713256@qq.com，你说的功能目前解决了吗？我们也是网络端的dlp搞定了。但是客户端情况和你一样，也是什么都不清楚。指点下！谢谢！ 2018-3-27 14:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
IamHuskar 雪币： 1392 活跃值： (5202) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 2 楼驱动还是应用层这些什么的技术还是次要的。一些关键点要想清楚。比如QQ外发。 ReadFile你读取了一个文件。你如何知道他是外发，还是自己使用？网络数据流和文件流对比？防君子还是防小人？光驱 USB 蓝牙红外这种可以过滤驱动解决。 win上做兼容肯定要做多个版本的。一般两个版本是XP及其以下。VISTA及其以上你提的这些问题要是都给你回答完毕，加上策略控制。就自己能做一个完整的DLP产品了，哪有那么容易啊。 2016-8-5 16:16 0
hiroada 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	hiroada 3 楼你好，谢谢你的回复，我们就是做类似产品的，只差桌面终端这部分。防君子。不通过网络数据流去监控的，我们有相应的网络产品和技术，服务器和网络的技术公司都有积累。但是windows这块是我们公司的弱项。终端上肯定是希望通过文件数据流去做匹配。我们公司对驱动和HOOK的积累几乎为零，可以说完全不清楚，目前在预研，但是项目紧，不想走太多弯路。 1.对于光驱 USB 蓝牙红外这些希望，传输和copy发生时，拿到文件的路径，能够识别目标位置的类别，并且能够阻断该行为，我们现在混乱在没有经验，比如说做在驱动层，不知道是应该做在文件驱动层面，还是说分别做在usb、光驱等驱动的层面。在文件的驱动层面能不能识别目标设备？ 2.对于QQ外发的问题，文件驱动层面截获能否识别属于哪个应用程序的动作，能否判断是QQ的动作，有没有进程ID等标识可以获取？至于判断是否属于外发这个确实也是我们想知道的。 3.xp和7以上两个版本的问题先谢谢您了，至少我们知道方向了，是指Minifilter和sFilter作两个版本吗？ 4.对于windows共享目录这种文件，我们在什么层面监控过滤能判断出目标地址属于共享目录？ 2016-8-7 12:57 0
zylyy 雪币： 144 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 4 楼坦白的跟你讲，如果公司没有这方面的技术积累，而想做这种文件过滤驱动，是很麻烦的。控制文件的复制行为，必须区分该动作的来源，某个程序打开某个文件都会产生句柄操作。而识别这种行为是合法和非法，是很麻烦的。不管是用户直接发起的文件操作行为，还是某个特定程序发起的行为。 2016-8-7 14:51 0
zylyy 雪币： 144 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 5 楼我们往往能够做的，是针对用户某些特定的行为，使用特定的策略。解决你的需求，是一个策略集合，而且是一个增加的策略集合。就像杀毒一样，我们建立一个足够复杂的规则库，以拦截常规的文件复制操作。但是很多未知的情况，我们没法识别，往往是动态增加新的规则。 2016-8-7 14:56 0
zylyy 雪币： 144 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 6 楼这类软件一般就是：通用可靠的常规拦截规则+动态增加的规则。其他未知的情况，往往要靠主动发现去弥补 2016-8-7 14:57 0
爱鸟雪币： 245 活跃值： (93) 能力值： ( LV6，RANK：80 ) 在线值：发帖 21 回帖 318 粉丝 1 关注私信	爱鸟 1 7 楼百度 “透明加密” 2016-8-7 16:00 0
IamHuskar 雪币： 1392 活跃值： (5202) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 8 楼一般来说对于USB蓝牙光驱等都是做完全不可用只读禁用三种状态，不会去看是不是拷贝文件的操作。拷贝实质上和新建文件写文件一个概念，从电脑C拷贝一个a.txt文件到USB被你拦截了。那我USB新建一个b.txt。打开b.TXT CTRL+C CTRL+V拷贝a.txt里面的内容到b.txt保存，你拦不拦截呢？ minifilter可以做拷贝到USB的拦截，不过我不知道怎么实现的。越到底层你可以控制的东西越多，但是应用层的信息就越少。控制君子无意识的拷贝这种应用层全局HOOK CopyFile之类的比较稳定。minifilter没有个一定经验写出来也谈不得稳定好用。 2016-8-8 08:27 0
ysbysb 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ysbysb 9 楼之前一家公司用过一个和你们产品一样功能的软件 <虹安加密>也是根据规则拦截COPY动作，包括文件加密功能，在没有安装的机器上打开安装过这个软件的机器上的文件都是乱码，你可以了解参考一下 2016-9-15 13:47 0
wangbingquan 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wangbingquan 10 楼您好，我的邮箱是464713256@qq.com，你说的功能目前解决了吗？我们也是网络端的dlp搞定了。但是客户端情况和你一样，也是什么都不清楚。指点下！谢谢！ 2018-3-27 14:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复