一種GHOST文件保密檢查方法及裝置與流程

2023-10-21 03:14:37 4

本發明涉及計算機及信息安全領域，特別涉及一種GHOST文件保密檢查方法及裝置。
背景技術：
：GHOST文件由Symantec公司出產，由於可以出色的實現FAT16、FAT32、NTFS、OS2、EXT2、EXT3等多種硬碟分區格式的分區及硬碟的備份還原，被廣泛使用在各個政府機關、學校企業、醫院銀行中。一般的電腦系統上也廣泛存在這類文件，故針對主機的信息保密檢查系統，需要對GHOST文件內容進行分析提取，以方便查看GHOST文件中是否存在敏感信息。GHOST文件無法直接打開查看，保密檢查的目的是為了查找GHOST文件中是否含有涉密信息，因此保密檢查的第一步是打開GHOST文件，然後將GHOST文件裡的內容存放到安全的地方再進行安全檢查。由於Symantec公司拒絕公開任何GHOST格式的信息，所以直接解析GHOST文件格式，工作量巨大。一般公司直接調用Symantec公司的GhostExp、GhostLook等工具解析GHOST文件，並將GHOST文件的內容提取到本地硬碟，檢查結束後，再進行刪除。上述檢查方式會在硬碟上留有GHOST文件的痕跡，也就是說，將GHOST文件的內容提取到硬碟中存儲，即便刪除硬碟上的數據，也可以通過恢復工具和手段進行數據還原，造成數據不安全，這與保密檢查的宗旨不符。技術實現要素：根據本發明實施例提供一種GHOST文件保密檢查方法及裝置，實現無痕檢查GHOST文件。根據本發明實施例提供的一種GHOST文件保密檢查方法，包括：對計算機中的GHOST文件進行保密檢查期間，在所述計算機的內存中設置虛擬磁碟；通過打開所述GHOST文件，讀取所述GHOST文件的內容，並將所述GHOST文件的內容寫入所述虛擬磁碟；對已寫入所述虛擬磁碟的所述GHOST文件的內容進行保密檢查，並在完成保密檢查後，卸載所述虛擬磁碟。優選地，所述的在計算機的內存中設置虛擬磁碟包括：根據所述計算機的內存容量和所述GOHST文件的數量，確定需要設置的虛擬磁碟的數量，以便在所述內存中創建相應數量的虛擬磁碟。優選地，通過以下步驟打開所述GHOST文件：通過調用Ghost文件查看器，打開所述GHOST文件。優選地，還包括：在調用所述Ghost文件查看器期間，屏蔽所述Ghost文件查看器的窗口。優選地，所述的將所述GHOST文件的內容寫入所述虛擬磁碟包括：當所述虛擬磁碟的數量大於或等於所述GOHST文件的數量時，將所有GOHST文件的內容依次寫入不同的虛擬磁碟。優選地，所述的將所述GHOST文件的內容寫入所述虛擬磁碟包括：當所述虛擬磁碟的數量小於所述GOHST文件的數量時，按照所述虛擬磁碟的數量，對所有GOHST文件進行分組；對當前分組的各GOHST文件的內容依次寫入不同的虛擬磁碟；當所述當前分組的各GOHST文件保密檢查完成後，刪除每個虛擬磁碟的GOHST文件的內容，並將下一分組的GOHST文件的內容依次寫入不同的虛擬磁碟。優選地，在將GHOST文件的內容寫入虛擬磁碟期間，建立虛擬磁碟的存儲路徑，以便按照所述虛擬磁碟的存儲路徑，將GHOST文件的內容寫入所述虛擬磁碟。優選地，通過以下步驟將GHOST文件的內容寫入所述虛擬磁碟：在所述Ghost文件查看器的文件系統加載線程中插入用於模擬手工操作的指令；利用所述用於模擬手工操作的指令，控制所述Ghost文件查看器複製所述GOHST文件的內容，並將所複製的GOHST文件的內容粘貼至所述虛擬磁碟。優選地，所述的對已寫入所述虛擬磁碟的所述GHOST文件的內容進行保密檢查包括：採用並行方式，對寫入各個虛擬磁碟的GHOST文件的內容進行保密檢查。根據本發明實施例提供的一種GOHST文件保密檢查裝置，包括：設置模塊，用於對計算機中的GOHST文件進行保密檢查期間，在所述計算機的內存中設置虛擬磁碟；提取模塊，用於通過打開所述GOHST文件，讀取所述GHOST文件的內容，並將所述GHOST文件的內容寫入所述虛擬磁碟；檢查模塊，用於對已寫入所述虛擬磁碟的GHOST文件的內容進行保密檢查；卸載模塊，用於在完成保密檢查後，卸載所述虛擬磁碟。本發明實施例提供的技術方案具有如下有益效果：本發明實施例通過將GHOST文件的內容寫入內存中設置的虛擬磁碟，實現對GHOST文件的無痕檢查。附圖說明圖1是本發明實施例提供的GHOST文件保密檢查方法框圖；圖2是本發明實施例提供的GOHST文件保密檢查裝置框圖；圖3是本發明實施例提供的GOHST保密檢查流程圖；圖4是本發明實施例提供的GHOST保密檢查函數調用流程圖；圖5是本發明實施例提供的提取GHOST文件的內容的流程圖；圖6是本發明實施例提供的執行VHD掛載的示意圖。具體實施方式以下結合附圖對本發明的優選實施例進行詳細說明，應當理解，以下所說明的優選實施例僅用於說明和解釋本發明，並不用於限定本發明。圖1是本發明實施例提供的GHOST文件保密檢查方法框圖，如圖1所示，步驟包括：步驟S101：對計算機中的GHOST文件進行保密檢查期間，在所述計算機的內存中設置虛擬磁碟。步驟S102：通過打開所述GHOST文件，讀取所述GHOST文件的內容，並將所述GHOST文件的內容寫入所述虛擬磁碟。步驟S103：對已寫入所述虛擬磁碟的所述GHOST文件的內容進行保密檢查，並在完成保密檢查後，卸載所述虛擬磁碟。本實施例中，通過調用Ghost文件查看器，例如GhostExp，打開所述GHOST文件。在調用Ghost文件查看器期間，屏蔽所述Ghost文件查看器的窗口。本實施例中，在內存劃分部分空間，用來建立用於臨時保存GHOST文件的內容的虛擬磁碟，該GHOST文件的內容是利用Symantec公司的現有工具解析GHOST文件而得到的。在對該GHOST文件檢查之後，可以卸載所設置的虛擬磁碟。本實施例中，在內存中設置的虛擬磁碟的數量可以根據需要進行保密檢查的GHOST文件的數量和內存容量確定，每個虛擬磁碟的容量可以根據所述GHOST文件的大小確定。如果內存足夠大，可以為每個GHOST文件建立一個相應容量的獨立的虛擬磁碟，此時虛擬磁碟的數量可以大於或等於所述GHOST文件的數量。在進行保密檢查期間，首先利用現有工具對每個GHOST文件進行打開操作，得到所述GHOST文件的內容；其次對所述GHOST文件的內容進行全選和複製操作，將複製的所述GHOST文件的內容粘貼至相應的虛擬磁碟；然後同時對各個虛擬磁碟中保存的GHOST文件的內容進行保密檢查，即採用並行方式，對各個虛擬磁碟的GHOST文件的內容進行保密檢查，提高保密檢查效率。如果內存空間不足以為每個GHOST文件建立一個獨立的虛擬磁碟，則根據可供建立虛擬磁碟的內存空間的大小，合理結合GHOST文件數量和大小等信息，確定虛擬磁碟的數量和容量，此時虛擬磁碟的數量小於GHOST文件的數量。在進行保密檢查期間，首先按照所述虛擬磁碟的數量，對所有GHOST文件進行分組；其次利用現有工具對當前分組的每個GHOST文件進行打開操作，得到所述GHOST文件的內容；然後對所述GHOST文件的內容進行全選和複製操作，將複製的所述GHOST文件的內容粘貼至相應的虛擬磁碟；最後同時對各個虛擬磁碟中保存的GHOST文件的內容進行保密檢查。當所述當前分組的GHOST文件保密檢查完成後，刪除每個虛擬磁碟的GHOST文件的內容，並將下一分組的GHOST文件的內容依次提取至不同的虛擬磁碟。例如，GHOST文件12個，根據內存可用的空間建立3個虛擬磁碟，此時可以將GHOST文件分為4組，按組進行保密檢查。例如，依次將第1組的3個GHOST文件的內容分別讀取並寫入所建立的3個虛擬磁碟，然後進行並行保密檢查，檢查結束後，刪除3個虛擬磁碟中的已檢查的GHOST文件的內容，並重複上述步驟，直至對第4組完成並行保密檢查處理。本實施例中，將每個GHOST文件寫入相應虛擬磁碟之前，需要建立虛擬磁碟的存儲路徑，從而按照所建立的虛擬磁碟的存儲路徑，將GHOST文件的內容寫入該虛擬磁碟。本實施例可以在所述Ghost文件查看器的文件系統加載線程中插入用於模擬手工操作的指令，從而利用所述用於模擬手工操作的指令，控制所述Ghost文件查看器複製所述GOHST文件的內容，並將所複製的GOHST文件的內容粘貼至所述虛擬磁碟。圖2是本發明實施例提供的GOHST文件保密檢查裝置框圖，如圖2所示，包括：設置模塊，用於對計算機中的GOHST文件進行保密檢查期間，在所述計算機的內存中設置虛擬磁碟，虛擬磁碟的數量及每個虛擬磁碟的容量可以根據需要進行保密檢查的GOHST文件的數量和大小、可供創建虛擬磁碟的內存容量確定。提取模塊，用於通過打開所述GOHST文件，讀取所述GHOST文件的內容，並將所述GHOST文件的內容寫入所述虛擬磁碟。具體地說，提取模塊利用Symantec公司的Ghost文件查看器打開所述GOHST文件，得到所述GHOST文件的內容，然後通過模擬手工操作對所述GHOST文件的內容依次進行「全選」、「複製」和「粘貼」操作，並按照虛擬磁碟的存儲路徑，將所述GHOST文件的內容寫入虛擬磁碟。檢查模塊，用於對已寫入所述虛擬磁碟的GHOST文件的內容進行保密檢查，可以預先設置敏感信息，並通過保密檢查，確定GHOST文件中是否存在敏感信息。需要進一步說明的是，當對多個虛擬磁碟的GHOST文件的內容進行保密檢查時，採用並行方式檢查，以提供保密檢查效率。卸載模塊，用於在完成保密檢查後，關閉所述虛擬磁碟，然後卸載所述虛擬磁碟。本發明實施例可以應用於GHOST文件的查看與文件分析等保密檢查。以下實施例以檢查GHOST文件為例進行進一步說明。虛擬磁碟就是在內存中虛擬出一個或者多個磁碟的技術，和虛擬內存一樣，內存的速度要比硬碟快的多，本發明實施例利用這一點，在內存中虛擬出一個或者多個磁碟，從而加快磁碟的數據交換速度。當程序運行結束後，釋放內存，保證系統安全。本實施例通過虛擬磁碟實現GHOST提取，以方便GHOST文件的保密檢查。圖3是本發明實施例提供的GOHST保密檢查流程圖，如圖3所示，在調用GHOST文件保密檢查裝置後，首先獲取本機中所有GHOST文件，並形成列表輸出到界面，以供用戶選擇待檢查的GHOST文件。用戶選定待檢查的GHOST文件後，GHOST文件保密檢查裝置將用戶選定的GHOST文件的所有內容提取到虛擬磁碟中，然後進行保密檢查。圖4是本發明實施例提供的GHOST保密檢查函數調用流程圖，如圖4所示，啟動GHOST文件保密檢查裝置後，調用ListLocalhostGhost函數，找到並在界面列出本機所有的GHOST文件；待用戶選擇待檢查的GHOST文件後，調用VixDiskLib_Init函數進行初始化VHD設置，並依次調用VixDiskLib_Create函數和VixDiskLib_Open函數創建並打開VHD，利用現有工具中的Ghost_Extract函數將GHOST文件打開，複製GHOST文件的內容，然後利用VixDiskLib_Write函數將複製的GHOST文件的內容寫入到VHD。待寫入完畢後，可利用VixDiskLib_Read函數對VHD中的數據進行讀取，並調用Secret_Ayalyze函數對所讀取的GHOST文件的內容進行保密檢查分析。分析完整個VHD後，調用VixDiskLib_Close函數關閉VHD，然後調用VixDiskLib_FreeInfo函數釋放空間，最後調用VixDiskLib_Exit函數退出。在保密檢查、核查取證等領域，針對GHOST文件進行分析檢查時，本發明實施例，通過VHDGHOST提取技術，能夠解決GHOST文件的內容寫入到本地磁碟時磁碟交換速率低和磁碟留痕的問題，為GHOST文件分析提供了極大的便利。本發明實施例在保密檢查、核查取證等領域，可以利用GHOST文件查看器GhostExp進行內部文件的提取，由於GhostExp是一個有用戶交互界面的GHOST文件查看器，因此需要將GhostExp的界面與本發明實施例產品的界面融合。本發明實施例通過手工修改GhostExp二進位文件，引入動態庫GWDLL.DLL，屏蔽GhostExp的界面模式，進而可以被其它進程調用。本發明實施例的GHOST文件保密檢查裝置調用GWDLL.DLL中的特定函數模擬手工操作，實現全選GHOST文件內容、複製、粘貼到VHD操作。下表1是GWDLL.DLL中包含的主要函數。表1GWDLL.DLL中包含主要函數函數函數作用Connect傳遞CFrameWnd指針，獲得GhostExp主窗口標識符。MainWindowProc子類化主窗口，方便截獲GhostExp操作結束信號。Hook改變Ghost執行流程，調用模擬手工操作函數。MainThread模擬手工操作，進行全選複製粘貼動作。WaitCompletion捕獲操作結束信號。圖5是本發明實施例提供的提取GHOST文件的內容的流程圖，如圖5所示，包括GhostExp和GWDLL.DLL兩部分。GhostExp被調用後，對GhostExp主窗口進行屏蔽，避免顯示該GhostExp主窗口，通過修改代碼將GhostExp主窗口標識符傳送給Connect函數，Connect函數收到主窗口標識符後，調用子類化主窗口函數MainWindowProc，以便捕獲GhostExp操作結束信號。在調用子類化主窗口函數結束之後，調用GhostExp的文件系統加載線程，從而利用GhostExp工具加載出所選GHOST文件裡面的文件內容。在文件系統加載線程的尾部插入用於調用Hook函數的代碼，在Hook函數中啟動MainThread線程，以模擬手工操作，進行全選、複製、粘貼到VHD操作，同時對GhostExp子窗口進行屏蔽，避免顯示該GhostExp子窗口。然後WaitCompletion捕獲MainThread退出信號，當收到線程退出信號後，退出執行流程。可見，本發明實施例能夠屏蔽GhostExp界面，並利用GhostExp本身的功能進行GHOST文件的解析，引入GWDLL.DLL，模擬手工全選複製粘貼到VHD的操作，從而在VHD上對GHOST文件的內容進行保密檢查操作。1.本發明實施例利用GhostExp工具提取GHOST文件的內容，能夠大大縮減開發時間；2.本發明實施例通過修改GhostExp的二進位文件，屏蔽GhostExp交互界面，並改變GhostExp執行流程，模擬手工操作；3本發明實施例利用VHD技術，大大提高了數據存取的速度，並且真正做到無痕檢查。在實際應用過程中，由於GHOST文件一般比較大，如果計算機上存在較多的虛擬磁碟，一個個順序檢測耗時較長，因此本發明實施例採用並發執行方式，例如三個並發執行。圖6是本發明實施例提供的執行VHD掛載的示意圖，如圖6所示，在進行虛擬磁碟掛載時，利用函數VixDiskLib_CreateChild創建虛擬磁碟。假設主機上有三個GHOST文件，本發明實施例的程序可以在主機上首先以現有實際硬碟(PhysicalDisk)為父節點，創建虛擬磁碟Child1，以Child1為父節點，創建虛擬磁碟Child2，依次類推；其次將提取的GHOST文件的內容從Child3節點寫入，依次寫入Child2、Child1。然後並行對Child3、Child2、Child1中的數據進行保密檢查分析，分析結束後，依次關閉並卸載各個VHD。本發明提供的實施例可以應用於單機，即單機用戶可以根據需要進行保密檢查，保密檢查結束後將檢查結果顯示在用戶計算機上。本發明提供的實施例也可以應用於網絡，對網絡中的每臺計算機進行保密檢查，具體地說，後臺網管可以向網絡中的每臺計算機發送保密檢查指令，每臺計算機收到該指令後，按照本發明實施例提供的技術方案進行保密檢查，並將檢查結果反饋給所述後臺網管。綜上所述，本發明的實施例具有以下技術效果：1、本發明實施例利用VHD技術，進行GHOST文件解析和提取，實現無痕檢查；2、本發明實施例將GHOST文件提取至內存中建立的VHD，大大提高了數據存取的速度，解決現有技術對硬碟進行讀寫時讀寫速度慢的問題；3、本發明實施例通過採用並行處理方式，對多個VHD中的GHOST數據同時進行保密檢查，提高了保密檢查效率；4、本發明實施例通過修改GhostExp文件，調用GWDLL.DLL，屏蔽交互界面，提取GHOST文件的內容，也就是說，在使用GhostExp文件期間，通過調用GWDLL.DLL，提取GHOST文件的內容。儘管上文對本發明進行了詳細說明，但是本發明不限於此，本
技術領域：
技術人員可以根據本發明的原理進行各種修改。因此，凡按照本發明原理所作的修改，都應當理解為落入本發明的保護範圍。當前第1頁1&nbsp2&nbsp3&nbsp