本發(fā)明涉及計算機及信息安全領(lǐng)域���,特別涉及一種GHOST文件保密檢查方法及裝置���。
背景技術(shù):
:GHOST文件由Symantec公司出產(chǎn),由于可以出色的實現(xiàn)FAT16�����、FAT32�、NTFS、OS2����、EXT2、EXT3等多種硬盤分區(qū)格式的分區(qū)及硬盤的備份還原�,被廣泛使用在各個政府機關(guān)、學(xué)校企業(yè)�����、醫(yī)院銀行中���。一般的電腦系統(tǒng)上也廣泛存在這類文件�����,故針對主機的信息保密檢查系統(tǒng)��,需要對GHOST文件內(nèi)容進行分析提取��,以方便查看GHOST文件中是否存在敏感信息��。GHOST文件無法直接打開查看����,保密檢查的目的是為了查找GHOST文件中是否含有涉密信息�,因此保密檢查的第一步是打開GHOST文件,然后將GHOST文件里的內(nèi)容存放到安全的地方再進行安全檢查���。由于Symantec公司拒絕公開任何GHOST格式的信息�����,所以直接解析GHOST文件格式���,工作量巨大。一般公司直接調(diào)用Symantec公司的GhostExp�、GhostLook等工具解析GHOST文件��,并將GHOST文件的內(nèi)容提取到本地硬盤�����,檢查結(jié)束后���,再進行刪除。上述檢查方式會在硬盤上留有GHOST文件的痕跡��,也就是說�,將GHOST文件的內(nèi)容提取到硬盤中存儲,即便刪除硬盤上的數(shù)據(jù)�����,也可以通過恢復(fù)工具和手段進行數(shù)據(jù)還原����,造成數(shù)據(jù)不安全,這與保密檢查的宗旨不符�����。技術(shù)實現(xiàn)要素:根據(jù)本發(fā)明實施例提供一種GHOST文件保密檢查方法及裝置,實現(xiàn)無痕檢查GHOST文件�����。根據(jù)本發(fā)明實施例提供的一種GHOST文件保密檢查方法����,包括:對計算機中的GHOST文件進行保密檢查期間,在所述計算機的內(nèi)存中設(shè)置虛擬磁盤��;通過打開所述GHOST文件���,讀取所述GHOST文件的內(nèi)容���,并將所述GHOST文件的內(nèi)容寫入所述虛擬磁盤;對已寫入所述虛擬磁盤的所述GHOST文件的內(nèi)容進行保密檢查����,并在完成保密檢查后����,卸載所述虛擬磁盤。優(yōu)選地�����,所述的在計算機的內(nèi)存中設(shè)置虛擬磁盤包括:根據(jù)所述計算機的內(nèi)存容量和所述GOHST文件的數(shù)量,確定需要設(shè)置的虛擬磁盤的數(shù)量��,以便在所述內(nèi)存中創(chuàng)建相應(yīng)數(shù)量的虛擬磁盤��。優(yōu)選地�����,通過以下步驟打開所述GHOST文件:通過調(diào)用Ghost文件查看器����,打開所述GHOST文件。優(yōu)選地��,還包括:在調(diào)用所述Ghost文件查看器期間�����,屏蔽所述Ghost文件查看器的窗口�。優(yōu)選地,所述的將所述GHOST文件的內(nèi)容寫入所述虛擬磁盤包括:當所述虛擬磁盤的數(shù)量大于或等于所述GOHST文件的數(shù)量時����,將所有GOHST文件的內(nèi)容依次寫入不同的虛擬磁盤。優(yōu)選地,所述的將所述GHOST文件的內(nèi)容寫入所述虛擬磁盤包括:當所述虛擬磁盤的數(shù)量小于所述GOHST文件的數(shù)量時�,按照所述虛擬磁盤的數(shù)量,對所有GOHST文件進行分組���;對當前分組的各GOHST文件的內(nèi)容依次寫入不同的虛擬磁盤�;當所述當前分組的各GOHST文件保密檢查完成后��,刪除每個虛擬磁盤的GOHST文件的內(nèi)容�����,并將下一分組的GOHST文件的內(nèi)容依次寫入不同的虛擬磁盤����。優(yōu)選地,在將GHOST文件的內(nèi)容寫入虛擬磁盤期間���,建立虛擬磁盤的存儲路徑�����,以便按照所述虛擬磁盤的存儲路徑,將GHOST文件的內(nèi)容寫入所述虛擬磁盤�。優(yōu)選地,通過以下步驟將GHOST文件的內(nèi)容寫入所述虛擬磁盤:在所述Ghost文件查看器的文件系統(tǒng)加載線程中插入用于模擬手工操作的指令;利用所述用于模擬手工操作的指令��,控制所述Ghost文件查看器復(fù)制所述GOHST文件的內(nèi)容��,并將所復(fù)制的GOHST文件的內(nèi)容粘貼至所述虛擬磁盤����。優(yōu)選地,所述的對已寫入所述虛擬磁盤的所述GHOST文件的內(nèi)容進行保密檢查包括:采用并行方式�,對寫入各個虛擬磁盤的GHOST文件的內(nèi)容進行保密檢查。根據(jù)本發(fā)明實施例提供的一種GOHST文件保密檢查裝置�����,包括:設(shè)置模塊����,用于對計算機中的GOHST文件進行保密檢查期間,在所述計算機的內(nèi)存中設(shè)置虛擬磁盤����;提取模塊,用于通過打開所述GOHST文件����,讀取所述GHOST文件的內(nèi)容���,并將所述GHOST文件的內(nèi)容寫入所述虛擬磁盤;檢查模塊�����,用于對已寫入所述虛擬磁盤的GHOST文件的內(nèi)容進行保密檢查�����;卸載模塊���,用于在完成保密檢查后��,卸載所述虛擬磁盤����。本發(fā)明實施例提供的技術(shù)方案具有如下有益效果:本發(fā)明實施例通過將GHOST文件的內(nèi)容寫入內(nèi)存中設(shè)置的虛擬磁盤��,實現(xiàn)對GHOST文件的無痕檢查��。附圖說明圖1是本發(fā)明實施例提供的GHOST文件保密檢查方法框圖�����;圖2是本發(fā)明實施例提供的GOHST文件保密檢查裝置框圖��;圖3是本發(fā)明實施例提供的GOHST保密檢查流程圖��;圖4是本發(fā)明實施例提供的GHOST保密檢查函數(shù)調(diào)用流程圖�;圖5是本發(fā)明實施例提供的提取GHOST文件的內(nèi)容的流程圖;圖6是本發(fā)明實施例提供的執(zhí)行VHD掛載的示意圖��。具體實施方式以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進行詳細說明��,應(yīng)當理解�����,以下所說明的優(yōu)選實施例僅用于說明和解釋本發(fā)明�,并不用于限定本發(fā)明。圖1是本發(fā)明實施例提供的GHOST文件保密檢查方法框圖����,如圖1所示,步驟包括:步驟S101:對計算機中的GHOST文件進行保密檢查期間��,在所述計算機的內(nèi)存中設(shè)置虛擬磁盤����。步驟S102:通過打開所述GHOST文件��,讀取所述GHOST文件的內(nèi)容��,并將所述GHOST文件的內(nèi)容寫入所述虛擬磁盤�����。步驟S103:對已寫入所述虛擬磁盤的所述GHOST文件的內(nèi)容進行保密檢查����,并在完成保密檢查后����,卸載所述虛擬磁盤。本實施例中���,通過調(diào)用Ghost文件查看器����,例如GhostExp�,打開所述GHOST文件。在調(diào)用Ghost文件查看器期間���,屏蔽所述Ghost文件查看器的窗口��。本實施例中�����,在內(nèi)存劃分部分空間�,用來建立用于臨時保存GHOST文件的內(nèi)容的虛擬磁盤�,該GHOST文件的內(nèi)容是利用Symantec公司的現(xiàn)有工具解析GHOST文件而得到的。在對該GHOST文件檢查之后��,可以卸載所設(shè)置的虛擬磁盤�����。本實施例中����,在內(nèi)存中設(shè)置的虛擬磁盤的數(shù)量可以根據(jù)需要進行保密檢查的GHOST文件的數(shù)量和內(nèi)存容量確定,每個虛擬磁盤的容量可以根據(jù)所述GHOST文件的大小確定���。如果內(nèi)存足夠大�,可以為每個GHOST文件建立一個相應(yīng)容量的獨立的虛擬磁盤�,此時虛擬磁盤的數(shù)量可以大于或等于所述GHOST文件的數(shù)量。在進行保密檢查期間�����,首先利用現(xiàn)有工具對每個GHOST文件進行打開操作,得到所述GHOST文件的內(nèi)容���;其次對所述GHOST文件的內(nèi)容進行全選和復(fù)制操作����,將復(fù)制的所述GHOST文件的內(nèi)容粘貼至相應(yīng)的虛擬磁盤�����;然后同時對各個虛擬磁盤中保存的GHOST文件的內(nèi)容進行保密檢查�����,即采用并行方式�,對各個虛擬磁盤的GHOST文件的內(nèi)容進行保密檢查,提高保密檢查效率�����。如果內(nèi)存空間不足以為每個GHOST文件建立一個獨立的虛擬磁盤��,則根據(jù)可供建立虛擬磁盤的內(nèi)存空間的大小,合理結(jié)合GHOST文件數(shù)量和大小等信息���,確定虛擬磁盤的數(shù)量和容量�,此時虛擬磁盤的數(shù)量小于GHOST文件的數(shù)量���。在進行保密檢查期間�����,首先按照所述虛擬磁盤的數(shù)量,對所有GHOST文件進行分組���;其次利用現(xiàn)有工具對當前分組的每個GHOST文件進行打開操作���,得到所述GHOST文件的內(nèi)容;然后對所述GHOST文件的內(nèi)容進行全選和復(fù)制操作���,將復(fù)制的所述GHOST文件的內(nèi)容粘貼至相應(yīng)的虛擬磁盤�����;最后同時對各個虛擬磁盤中保存的GHOST文件的內(nèi)容進行保密檢查�。當所述當前分組的GHOST文件保密檢查完成后,刪除每個虛擬磁盤的GHOST文件的內(nèi)容���,并將下一分組的GHOST文件的內(nèi)容依次提取至不同的虛擬磁盤��。例如����,GHOST文件12個���,根據(jù)內(nèi)存可用的空間建立3個虛擬磁盤��,此時可以將GHOST文件分為4組��,按組進行保密檢查��。例如�����,依次將第1組的3個GHOST文件的內(nèi)容分別讀取并寫入所建立的3個虛擬磁盤�,然后進行并行保密檢查�����,檢查結(jié)束后,刪除3個虛擬磁盤中的已檢查的GHOST文件的內(nèi)容����,并重復(fù)上述步驟,直至對第4組完成并行保密檢查處理��。本實施例中�,將每個GHOST文件寫入相應(yīng)虛擬磁盤之前,需要建立虛擬磁盤的存儲路徑�,從而按照所建立的虛擬磁盤的存儲路徑,將GHOST文件的內(nèi)容寫入該虛擬磁盤���。本實施例可以在所述Ghost文件查看器的文件系統(tǒng)加載線程中插入用于模擬手工操作的指令���,從而利用所述用于模擬手工操作的指令����,控制所述Ghost文件查看器復(fù)制所述GOHST文件的內(nèi)容,并將所復(fù)制的GOHST文件的內(nèi)容粘貼至所述虛擬磁盤��。圖2是本發(fā)明實施例提供的GOHST文件保密檢查裝置框圖�,如圖2所示,包括:設(shè)置模塊�����,用于對計算機中的GOHST文件進行保密檢查期間,在所述計算機的內(nèi)存中設(shè)置虛擬磁盤�����,虛擬磁盤的數(shù)量及每個虛擬磁盤的容量可以根據(jù)需要進行保密檢查的GOHST文件的數(shù)量和大小���、可供創(chuàng)建虛擬磁盤的內(nèi)存容量確定��。提取模塊����,用于通過打開所述GOHST文件�����,讀取所述GHOST文件的內(nèi)容����,并將所述GHOST文件的內(nèi)容寫入所述虛擬磁盤。具體地說�,提取模塊利用Symantec公司的Ghost文件查看器打開所述GOHST文件,得到所述GHOST文件的內(nèi)容��,然后通過模擬手工操作對所述GHOST文件的內(nèi)容依次進行“全選”、“復(fù)制”和“粘貼”操作��,并按照虛擬磁盤的存儲路徑���,將所述GHOST文件的內(nèi)容寫入虛擬磁盤���。檢查模塊,用于對已寫入所述虛擬磁盤的GHOST文件的內(nèi)容進行保密檢查����,可以預(yù)先設(shè)置敏感信息,并通過保密檢查��,確定GHOST文件中是否存在敏感信息��。需要進一步說明的是����,當對多個虛擬磁盤的GHOST文件的內(nèi)容進行保密檢查時��,采用并行方式檢查���,以提供保密檢查效率�。卸載模塊,用于在完成保密檢查后�����,關(guān)閉所述虛擬磁盤����,然后卸載所述虛擬磁盤。本發(fā)明實施例可以應(yīng)用于GHOST文件的查看與文件分析等保密檢查����。以下實施例以檢查GHOST文件為例進行進一步說明。虛擬磁盤就是在內(nèi)存中虛擬出一個或者多個磁盤的技術(shù)���,和虛擬內(nèi)存一樣�����,內(nèi)存的速度要比硬盤快的多��,本發(fā)明實施例利用這一點����,在內(nèi)存中虛擬出一個或者多個磁盤��,從而加快磁盤的數(shù)據(jù)交換速度。當程序運行結(jié)束后���,釋放內(nèi)存��,保證系統(tǒng)安全����。本實施例通過虛擬磁盤實現(xiàn)GHOST提取���,以方便GHOST文件的保密檢查�。圖3是本發(fā)明實施例提供的GOHST保密檢查流程圖��,如圖3所示���,在調(diào)用GHOST文件保密檢查裝置后�����,首先獲取本機中所有GHOST文件�����,并形成列表輸出到界面�����,以供用戶選擇待檢查的GHOST文件��。用戶選定待檢查的GHOST文件后�����,GHOST文件保密檢查裝置將用戶選定的GHOST文件的所有內(nèi)容提取到虛擬磁盤中���,然后進行保密檢查。圖4是本發(fā)明實施例提供的GHOST保密檢查函數(shù)調(diào)用流程圖����,如圖4所示,啟動GHOST文件保密檢查裝置后���,調(diào)用ListLocalhostGhost()函數(shù)�,找到并在界面列出本機所有的GHOST文件�;待用戶選擇待檢查的GHOST文件后,調(diào)用VixDiskLib_Init()函數(shù)進行初始化VHD設(shè)置�,并依次調(diào)用VixDiskLib_Create()函數(shù)和VixDiskLib_Open()函數(shù)創(chuàng)建并打開VHD,利用現(xiàn)有工具中的Ghost_Extract()函數(shù)將GHOST文件打開����,復(fù)制GHOST文件的內(nèi)容�,然后利用VixDiskLib_Write()函數(shù)將復(fù)制的GHOST文件的內(nèi)容寫入到VHD����。待寫入完畢后,可利用VixDiskLib_Read()函數(shù)對VHD中的數(shù)據(jù)進行讀取�,并調(diào)用Secret_Ayalyze()函數(shù)對所讀取的GHOST文件的內(nèi)容進行保密檢查分析。分析完整個VHD后�����,調(diào)用VixDiskLib_Close()函數(shù)關(guān)閉VHD���,然后調(diào)用VixDiskLib_FreeInfo()函數(shù)釋放空間��,最后調(diào)用VixDiskLib_Exit()函數(shù)退出����。在保密檢查���、核查取證等領(lǐng)域���,針對GHOST文件進行分析檢查時�,本發(fā)明實施例��,通過VHDGHOST提取技術(shù)��,能夠解決GHOST文件的內(nèi)容寫入到本地磁盤時磁盤交換速率低和磁盤留痕的問題��,為GHOST文件分析提供了極大的便利�����。本發(fā)明實施例在保密檢查��、核查取證等領(lǐng)域�,可以利用GHOST文件查看器GhostExp進行內(nèi)部文件的提取����,由于GhostExp是一個有用戶交互界面的GHOST文件查看器,因此需要將GhostExp的界面與本發(fā)明實施例產(chǎn)品的界面融合�����。本發(fā)明實施例通過手工修改GhostExp二進制文件����,引入動態(tài)庫GWDLL.DLL��,屏蔽GhostExp的界面模式���,進而可以被其它進程調(diào)用。本發(fā)明實施例的GHOST文件保密檢查裝置調(diào)用GWDLL.DLL中的特定函數(shù)模擬手工操作���,實現(xiàn)全選GHOST文件內(nèi)容��、復(fù)制�、粘貼到VHD操作�����。下表1是GWDLL.DLL中包含的主要函數(shù)�。表1GWDLL.DLL中包含主要函數(shù)函數(shù)函數(shù)作用Connect()傳遞CFrameWnd指針,獲得GhostExp主窗口標識符����。MainWindowProc()子類化主窗口,方便截獲GhostExp操作結(jié)束信號���。Hook()改變Ghost執(zhí)行流程�����,調(diào)用模擬手工操作函數(shù)�����。MainThread()模擬手工操作����,進行全選復(fù)制粘貼動作�����。WaitCompletion()捕獲操作結(jié)束信號�。圖5是本發(fā)明實施例提供的提取GHOST文件的內(nèi)容的流程圖,如圖5所示����,包括GhostExp和GWDLL.DLL兩部分。GhostExp被調(diào)用后����,對GhostExp主窗口進行屏蔽,避免顯示該GhostExp主窗口���,通過修改代碼將GhostExp主窗口標識符傳送給Connect()函數(shù)��,Connect()函數(shù)收到主窗口標識符后���,調(diào)用子類化主窗口函數(shù)MainWindowProc()�����,以便捕獲GhostExp操作結(jié)束信號�。在調(diào)用子類化主窗口函數(shù)結(jié)束之后����,調(diào)用GhostExp的文件系統(tǒng)加載線程,從而利用GhostExp工具加載出所選GHOST文件里面的文件內(nèi)容����。在文件系統(tǒng)加載線程的尾部插入用于調(diào)用Hook()函數(shù)的代碼,在Hook()函數(shù)中啟動MainThread線程�����,以模擬手工操作�,進行全選、復(fù)制����、粘貼到VHD操作����,同時對GhostExp子窗口進行屏蔽���,避免顯示該GhostExp子窗口�����。然后WaitCompletion()捕獲MainThread退出信號,當收到線程退出信號后�,退出執(zhí)行流程?��?梢?�,本發(fā)明實施例能夠屏蔽GhostExp界面��,并利用GhostExp本身的功能進行GHOST文件的解析�,引入GWDLL.DLL�����,模擬手工全選復(fù)制粘貼到VHD的操作,從而在VHD上對GHOST文件的內(nèi)容進行保密檢查操作��。1.本發(fā)明實施例利用GhostExp工具提取GHOST文件的內(nèi)容�,能夠大大縮減開發(fā)時間;2.本發(fā)明實施例通過修改GhostExp的二進制文件���,屏蔽GhostExp交互界面��,并改變GhostExp執(zhí)行流程�,模擬手工操作�����;3本發(fā)明實施例利用VHD技術(shù)�,大大提高了數(shù)據(jù)存取的速度,并且真正做到無痕檢查��。在實際應(yīng)用過程中�,由于GHOST文件一般比較大,如果計算機上存在較多的虛擬磁盤��,一個個順序檢測耗時較長��,因此本發(fā)明實施例采用并發(fā)執(zhí)行方式�,例如三個并發(fā)執(zhí)行�����。圖6是本發(fā)明實施例提供的執(zhí)行VHD掛載的示意圖��,如圖6所示����,在進行虛擬磁盤掛載時���,利用函數(shù)VixDiskLib_CreateChild()創(chuàng)建虛擬磁盤���。假設(shè)主機上有三個GHOST文件,本發(fā)明實施例的程序可以在主機上首先以現(xiàn)有實際硬盤(PhysicalDisk)為父節(jié)點���,創(chuàng)建虛擬磁盤Child1,以Child1為父節(jié)點����,創(chuàng)建虛擬磁盤Child2,依次類推�����;其次將提取的GHOST文件的內(nèi)容從Child3節(jié)點寫入,依次寫入Child2���、Child1��。然后并行對Child3���、Child2、Child1中的數(shù)據(jù)進行保密檢查分析����,分析結(jié)束后,依次關(guān)閉并卸載各個VHD��。本發(fā)明提供的實施例可以應(yīng)用于單機��,即單機用戶可以根據(jù)需要進行保密檢查�����,保密檢查結(jié)束后將檢查結(jié)果顯示在用戶計算機上���。本發(fā)明提供的實施例也可以應(yīng)用于網(wǎng)絡(luò)��,對網(wǎng)絡(luò)中的每臺計算機進行保密檢查��,具體地說����,后臺網(wǎng)管可以向網(wǎng)絡(luò)中的每臺計算機發(fā)送保密檢查指令,每臺計算機收到該指令后�����,按照本發(fā)明實施例提供的技術(shù)方案進行保密檢查����,并將檢查結(jié)果反饋給所述后臺網(wǎng)管。綜上所述��,本發(fā)明的實施例具有以下技術(shù)效果:1��、本發(fā)明實施例利用VHD技術(shù)����,進行GHOST文件解析和提取�,實現(xiàn)無痕檢查;2��、本發(fā)明實施例將GHOST文件提取至內(nèi)存中建立的VHD�,大大提高了數(shù)據(jù)存取的速度��,解決現(xiàn)有技術(shù)對硬盤進行讀寫時讀寫速度慢的問題��;3�����、本發(fā)明實施例通過采用并行處理方式����,對多個VHD中的GHOST數(shù)據(jù)同時進行保密檢查��,提高了保密檢查效率�����;4���、本發(fā)明實施例通過修改GhostExp文件����,調(diào)用GWDLL.DLL�����,屏蔽交互界面,提取GHOST文件的內(nèi)容�����,也就是說���,在使用GhostExp文件期間�����,通過調(diào)用GWDLL.DLL����,提取GHOST文件的內(nèi)容��。盡管上文對本發(fā)明進行了詳細說明�����,但是本發(fā)明不限于此�����,本
技術(shù)領(lǐng)域:
技術(shù)人員可以根據(jù)本發(fā)明的原理進行各種修改����。因此,凡按照本發(fā)明原理所作的修改��,都應(yīng)當理解為落入本發(fā)明的保護范圍���。當前第1頁1 2 3