一种GHOST文件保密检查方法及装置与流程

文档序号:11063660阅读:499来源:国知局
本发明涉及计算机及信息安全领域,特别涉及一种GHOST文件保密检查方法及装置。
背景技术
:GHOST文件由Symantec公司出产,由于可以出色的实现FAT16、FAT32、NTFS、OS2、EXT2、EXT3等多种硬盘分区格式的分区及硬盘的备份还原,被广泛使用在各个政府机关、学校企业、医院银行中。一般的电脑系统上也广泛存在这类文件,故针对主机的信息保密检查系统,需要对GHOST文件内容进行分析提取,以方便查看GHOST文件中是否存在敏感信息。GHOST文件无法直接打开查看,保密检查的目的是为了查找GHOST文件中是否含有涉密信息,因此保密检查的第一步是打开GHOST文件,然后将GHOST文件里的内容存放到安全的地方再进行安全检查。由于Symantec公司拒绝公开任何GHOST格式的信息,所以直接解析GHOST文件格式,工作量巨大。一般公司直接调用Symantec公司的GhostExp、GhostLook等工具解析GHOST文件,并将GHOST文件的内容提取到本地硬盘,检查结束后,再进行删除。上述检查方式会在硬盘上留有GHOST文件的痕迹,也就是说,将GHOST文件的内容提取到硬盘中存储,即便删除硬盘上的数据,也可以通过恢复工具和手段进行数据还原,造成数据不安全,这与保密检查的宗旨不符。技术实现要素:根据本发明实施例提供一种GHOST文件保密检查方法及装置,实现无痕检查GHOST文件。根据本发明实施例提供的一种GHOST文件保密检查方法,包括:对计算机中的GHOST文件进行保密检查期间,在所述计算机的内存中设置虚拟磁盘;通过打开所述GHOST文件,读取所述GHOST文件的内容,并将所述GHOST文件的内容写入所述虚拟磁盘;对已写入所述虚拟磁盘的所述GHOST文件的内容进行保密检查,并在完成保密检查后,卸载所述虚拟磁盘。优选地,所述的在计算机的内存中设置虚拟磁盘包括:根据所述计算机的内存容量和所述GOHST文件的数量,确定需要设置的虚拟磁盘的数量,以便在所述内存中创建相应数量的虚拟磁盘。优选地,通过以下步骤打开所述GHOST文件:通过调用Ghost文件查看器,打开所述GHOST文件。优选地,还包括:在调用所述Ghost文件查看器期间,屏蔽所述Ghost文件查看器的窗口。优选地,所述的将所述GHOST文件的内容写入所述虚拟磁盘包括:当所述虚拟磁盘的数量大于或等于所述GOHST文件的数量时,将所有GOHST文件的内容依次写入不同的虚拟磁盘。优选地,所述的将所述GHOST文件的内容写入所述虚拟磁盘包括:当所述虚拟磁盘的数量小于所述GOHST文件的数量时,按照所述虚拟磁盘的数量,对所有GOHST文件进行分组;对当前分组的各GOHST文件的内容依次写入不同的虚拟磁盘;当所述当前分组的各GOHST文件保密检查完成后,删除每个虚拟磁盘的GOHST文件的内容,并将下一分组的GOHST文件的内容依次写入不同的虚拟磁盘。优选地,在将GHOST文件的内容写入虚拟磁盘期间,建立虚拟磁盘的存储路径,以便按照所述虚拟磁盘的存储路径,将GHOST文件的内容写入所述虚拟磁盘。优选地,通过以下步骤将GHOST文件的内容写入所述虚拟磁盘:在所述Ghost文件查看器的文件系统加载线程中插入用于模拟手工操作的指令;利用所述用于模拟手工操作的指令,控制所述Ghost文件查看器复制所述GOHST文件的内容,并将所复制的GOHST文件的内容粘贴至所述虚拟磁盘。优选地,所述的对已写入所述虚拟磁盘的所述GHOST文件的内容进行保密检查包括:采用并行方式,对写入各个虚拟磁盘的GHOST文件的内容进行保密检查。根据本发明实施例提供的一种GOHST文件保密检查装置,包括:设置模块,用于对计算机中的GOHST文件进行保密检查期间,在所述计算机的内存中设置虚拟磁盘;提取模块,用于通过打开所述GOHST文件,读取所述GHOST文件的内容,并将所述GHOST文件的内容写入所述虚拟磁盘;检查模块,用于对已写入所述虚拟磁盘的GHOST文件的内容进行保密检查;卸载模块,用于在完成保密检查后,卸载所述虚拟磁盘。本发明实施例提供的技术方案具有如下有益效果:本发明实施例通过将GHOST文件的内容写入内存中设置的虚拟磁盘,实现对GHOST文件的无痕检查。附图说明图1是本发明实施例提供的GHOST文件保密检查方法框图;图2是本发明实施例提供的GOHST文件保密检查装置框图;图3是本发明实施例提供的GOHST保密检查流程图;图4是本发明实施例提供的GHOST保密检查函数调用流程图;图5是本发明实施例提供的提取GHOST文件的内容的流程图;图6是本发明实施例提供的执行VHD挂载的示意图。具体实施方式以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。图1是本发明实施例提供的GHOST文件保密检查方法框图,如图1所示,步骤包括:步骤S101:对计算机中的GHOST文件进行保密检查期间,在所述计算机的内存中设置虚拟磁盘。步骤S102:通过打开所述GHOST文件,读取所述GHOST文件的内容,并将所述GHOST文件的内容写入所述虚拟磁盘。步骤S103:对已写入所述虚拟磁盘的所述GHOST文件的内容进行保密检查,并在完成保密检查后,卸载所述虚拟磁盘。本实施例中,通过调用Ghost文件查看器,例如GhostExp,打开所述GHOST文件。在调用Ghost文件查看器期间,屏蔽所述Ghost文件查看器的窗口。本实施例中,在内存划分部分空间,用来建立用于临时保存GHOST文件的内容的虚拟磁盘,该GHOST文件的内容是利用Symantec公司的现有工具解析GHOST文件而得到的。在对该GHOST文件检查之后,可以卸载所设置的虚拟磁盘。本实施例中,在内存中设置的虚拟磁盘的数量可以根据需要进行保密检查的GHOST文件的数量和内存容量确定,每个虚拟磁盘的容量可以根据所述GHOST文件的大小确定。如果内存足够大,可以为每个GHOST文件建立一个相应容量的独立的虚拟磁盘,此时虚拟磁盘的数量可以大于或等于所述GHOST文件的数量。在进行保密检查期间,首先利用现有工具对每个GHOST文件进行打开操作,得到所述GHOST文件的内容;其次对所述GHOST文件的内容进行全选和复制操作,将复制的所述GHOST文件的内容粘贴至相应的虚拟磁盘;然后同时对各个虚拟磁盘中保存的GHOST文件的内容进行保密检查,即采用并行方式,对各个虚拟磁盘的GHOST文件的内容进行保密检查,提高保密检查效率。如果内存空间不足以为每个GHOST文件建立一个独立的虚拟磁盘,则根据可供建立虚拟磁盘的内存空间的大小,合理结合GHOST文件数量和大小等信息,确定虚拟磁盘的数量和容量,此时虚拟磁盘的数量小于GHOST文件的数量。在进行保密检查期间,首先按照所述虚拟磁盘的数量,对所有GHOST文件进行分组;其次利用现有工具对当前分组的每个GHOST文件进行打开操作,得到所述GHOST文件的内容;然后对所述GHOST文件的内容进行全选和复制操作,将复制的所述GHOST文件的内容粘贴至相应的虚拟磁盘;最后同时对各个虚拟磁盘中保存的GHOST文件的内容进行保密检查。当所述当前分组的GHOST文件保密检查完成后,删除每个虚拟磁盘的GHOST文件的内容,并将下一分组的GHOST文件的内容依次提取至不同的虚拟磁盘。例如,GHOST文件12个,根据内存可用的空间建立3个虚拟磁盘,此时可以将GHOST文件分为4组,按组进行保密检查。例如,依次将第1组的3个GHOST文件的内容分别读取并写入所建立的3个虚拟磁盘,然后进行并行保密检查,检查结束后,删除3个虚拟磁盘中的已检查的GHOST文件的内容,并重复上述步骤,直至对第4组完成并行保密检查处理。本实施例中,将每个GHOST文件写入相应虚拟磁盘之前,需要建立虚拟磁盘的存储路径,从而按照所建立的虚拟磁盘的存储路径,将GHOST文件的内容写入该虚拟磁盘。本实施例可以在所述Ghost文件查看器的文件系统加载线程中插入用于模拟手工操作的指令,从而利用所述用于模拟手工操作的指令,控制所述Ghost文件查看器复制所述GOHST文件的内容,并将所复制的GOHST文件的内容粘贴至所述虚拟磁盘。图2是本发明实施例提供的GOHST文件保密检查装置框图,如图2所示,包括:设置模块,用于对计算机中的GOHST文件进行保密检查期间,在所述计算机的内存中设置虚拟磁盘,虚拟磁盘的数量及每个虚拟磁盘的容量可以根据需要进行保密检查的GOHST文件的数量和大小、可供创建虚拟磁盘的内存容量确定。提取模块,用于通过打开所述GOHST文件,读取所述GHOST文件的内容,并将所述GHOST文件的内容写入所述虚拟磁盘。具体地说,提取模块利用Symantec公司的Ghost文件查看器打开所述GOHST文件,得到所述GHOST文件的内容,然后通过模拟手工操作对所述GHOST文件的内容依次进行“全选”、“复制”和“粘贴”操作,并按照虚拟磁盘的存储路径,将所述GHOST文件的内容写入虚拟磁盘。检查模块,用于对已写入所述虚拟磁盘的GHOST文件的内容进行保密检查,可以预先设置敏感信息,并通过保密检查,确定GHOST文件中是否存在敏感信息。需要进一步说明的是,当对多个虚拟磁盘的GHOST文件的内容进行保密检查时,采用并行方式检查,以提供保密检查效率。卸载模块,用于在完成保密检查后,关闭所述虚拟磁盘,然后卸载所述虚拟磁盘。本发明实施例可以应用于GHOST文件的查看与文件分析等保密检查。以下实施例以检查GHOST文件为例进行进一步说明。虚拟磁盘就是在内存中虚拟出一个或者多个磁盘的技术,和虚拟内存一样,内存的速度要比硬盘快的多,本发明实施例利用这一点,在内存中虚拟出一个或者多个磁盘,从而加快磁盘的数据交换速度。当程序运行结束后,释放内存,保证系统安全。本实施例通过虚拟磁盘实现GHOST提取,以方便GHOST文件的保密检查。图3是本发明实施例提供的GOHST保密检查流程图,如图3所示,在调用GHOST文件保密检查装置后,首先获取本机中所有GHOST文件,并形成列表输出到界面,以供用户选择待检查的GHOST文件。用户选定待检查的GHOST文件后,GHOST文件保密检查装置将用户选定的GHOST文件的所有内容提取到虚拟磁盘中,然后进行保密检查。图4是本发明实施例提供的GHOST保密检查函数调用流程图,如图4所示,启动GHOST文件保密检查装置后,调用ListLocalhostGhost()函数,找到并在界面列出本机所有的GHOST文件;待用户选择待检查的GHOST文件后,调用VixDiskLib_Init()函数进行初始化VHD设置,并依次调用VixDiskLib_Create()函数和VixDiskLib_Open()函数创建并打开VHD,利用现有工具中的Ghost_Extract()函数将GHOST文件打开,复制GHOST文件的内容,然后利用VixDiskLib_Write()函数将复制的GHOST文件的内容写入到VHD。待写入完毕后,可利用VixDiskLib_Read()函数对VHD中的数据进行读取,并调用Secret_Ayalyze()函数对所读取的GHOST文件的内容进行保密检查分析。分析完整个VHD后,调用VixDiskLib_Close()函数关闭VHD,然后调用VixDiskLib_FreeInfo()函数释放空间,最后调用VixDiskLib_Exit()函数退出。在保密检查、核查取证等领域,针对GHOST文件进行分析检查时,本发明实施例,通过VHDGHOST提取技术,能够解决GHOST文件的内容写入到本地磁盘时磁盘交换速率低和磁盘留痕的问题,为GHOST文件分析提供了极大的便利。本发明实施例在保密检查、核查取证等领域,可以利用GHOST文件查看器GhostExp进行内部文件的提取,由于GhostExp是一个有用户交互界面的GHOST文件查看器,因此需要将GhostExp的界面与本发明实施例产品的界面融合。本发明实施例通过手工修改GhostExp二进制文件,引入动态库GWDLL.DLL,屏蔽GhostExp的界面模式,进而可以被其它进程调用。本发明实施例的GHOST文件保密检查装置调用GWDLL.DLL中的特定函数模拟手工操作,实现全选GHOST文件内容、复制、粘贴到VHD操作。下表1是GWDLL.DLL中包含的主要函数。表1GWDLL.DLL中包含主要函数函数函数作用Connect()传递CFrameWnd指针,获得GhostExp主窗口标识符。MainWindowProc()子类化主窗口,方便截获GhostExp操作结束信号。Hook()改变Ghost执行流程,调用模拟手工操作函数。MainThread()模拟手工操作,进行全选复制粘贴动作。WaitCompletion()捕获操作结束信号。图5是本发明实施例提供的提取GHOST文件的内容的流程图,如图5所示,包括GhostExp和GWDLL.DLL两部分。GhostExp被调用后,对GhostExp主窗口进行屏蔽,避免显示该GhostExp主窗口,通过修改代码将GhostExp主窗口标识符传送给Connect()函数,Connect()函数收到主窗口标识符后,调用子类化主窗口函数MainWindowProc(),以便捕获GhostExp操作结束信号。在调用子类化主窗口函数结束之后,调用GhostExp的文件系统加载线程,从而利用GhostExp工具加载出所选GHOST文件里面的文件内容。在文件系统加载线程的尾部插入用于调用Hook()函数的代码,在Hook()函数中启动MainThread线程,以模拟手工操作,进行全选、复制、粘贴到VHD操作,同时对GhostExp子窗口进行屏蔽,避免显示该GhostExp子窗口。然后WaitCompletion()捕获MainThread退出信号,当收到线程退出信号后,退出执行流程。可见,本发明实施例能够屏蔽GhostExp界面,并利用GhostExp本身的功能进行GHOST文件的解析,引入GWDLL.DLL,模拟手工全选复制粘贴到VHD的操作,从而在VHD上对GHOST文件的内容进行保密检查操作。1.本发明实施例利用GhostExp工具提取GHOST文件的内容,能够大大缩减开发时间;2.本发明实施例通过修改GhostExp的二进制文件,屏蔽GhostExp交互界面,并改变GhostExp执行流程,模拟手工操作;3本发明实施例利用VHD技术,大大提高了数据存取的速度,并且真正做到无痕检查。在实际应用过程中,由于GHOST文件一般比较大,如果计算机上存在较多的虚拟磁盘,一个个顺序检测耗时较长,因此本发明实施例采用并发执行方式,例如三个并发执行。图6是本发明实施例提供的执行VHD挂载的示意图,如图6所示,在进行虚拟磁盘挂载时,利用函数VixDiskLib_CreateChild()创建虚拟磁盘。假设主机上有三个GHOST文件,本发明实施例的程序可以在主机上首先以现有实际硬盘(PhysicalDisk)为父节点,创建虚拟磁盘Child1,以Child1为父节点,创建虚拟磁盘Child2,依次类推;其次将提取的GHOST文件的内容从Child3节点写入,依次写入Child2、Child1。然后并行对Child3、Child2、Child1中的数据进行保密检查分析,分析结束后,依次关闭并卸载各个VHD。本发明提供的实施例可以应用于单机,即单机用户可以根据需要进行保密检查,保密检查结束后将检查结果显示在用户计算机上。本发明提供的实施例也可以应用于网络,对网络中的每台计算机进行保密检查,具体地说,后台网管可以向网络中的每台计算机发送保密检查指令,每台计算机收到该指令后,按照本发明实施例提供的技术方案进行保密检查,并将检查结果反馈给所述后台网管。综上所述,本发明的实施例具有以下技术效果:1、本发明实施例利用VHD技术,进行GHOST文件解析和提取,实现无痕检查;2、本发明实施例将GHOST文件提取至内存中建立的VHD,大大提高了数据存取的速度,解决现有技术对硬盘进行读写时读写速度慢的问题;3、本发明实施例通过采用并行处理方式,对多个VHD中的GHOST数据同时进行保密检查,提高了保密检查效率;4、本发明实施例通过修改GhostExp文件,调用GWDLL.DLL,屏蔽交互界面,提取GHOST文件的内容,也就是说,在使用GhostExp文件期间,通过调用GWDLL.DLL,提取GHOST文件的内容。尽管上文对本发明进行了详细说明,但是本发明不限于此,本
技术领域
技术人员可以根据本发明的原理进行各种修改。因此,凡按照本发明原理所作的修改,都应当理解为落入本发明的保护范围。当前第1页1 2 3 
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1