[发明专利]一种控制Windows文件系统访问权限的方法

权利要求书

1.一种控制Windows文件系统访问权限的方法，其特征在于： 

它包括一个对不同I/O请求包对于不同权限返回状态进行划分的步骤、一个权限配置的步骤、一个I/O请求包拦截分析的步骤和一个I/O请求包处理的步骤：

所述的对不同I/O请求包对于不同权限返回状态进行划分的步骤包括以下子步骤：

S101：划分访问权限的种类；

S102：列出Windows系统所有I/O请求包的主函数码种类；

S103：根据步骤S101、S102，制定I/O请求包对应权限返回状态表；

S104：根据不同的主函数码确定其在不同访问权限下的返回状态，或不作任何处理，默认保持I/O请求包的原有状态，继续往驱动栈中的下一级驱动投递该I/O请求包；

所述的权限配置的步骤包括以下子步骤：

S201：设定磁盘文件及文件夹的访问权限白名单，白名单中配置进程信息及其对应的访问权限，白名单中的访问权限类型包括除零权限以外的所有权限；

S202：未加入白名单中的进程的访问权限默认为零权限；

S203：未配置白名单的磁盘不受控，对所有进程均开放其访问权限；

所述的I/O请求包拦截分析的步骤包括以下子步骤：

S301：在内核驱动栈中过滤拦截I/O请求包；

S302：获取当前I/O请求包的目标盘符，判断该目标盘符是否为配置中受控的卷，如果不是受控的卷则保持此次I/O请求包的原有状态，继续投递I/O请求包到驱动栈中的下级驱动，保持此I/O请求包的正常运转；

S303：如果该目标盘符是受控的卷，则获取当前I/O请求包所属的进程信息；

S304：查询权限配置步骤所完成的配置信息，获得当前进程对于目标磁盘的访问权限；

所述的I/O请求包处理的步骤包括以下子步骤：

S401：根据步骤S304获得的访问权限值查询步骤S103制定的I/O请求包对应权限返回状态表，获取当前I/O请求包对应步骤S304获得的访问权限值应该返回的结果，返回结果为成功，则跳转至步骤S402，返回结果为失败，则跳转至步骤S403；

S402：当返回结果为成功时，继续投递I/O请求包到驱动栈中的下一级驱动，保持当前I/O请求包的正常流程，此次访问继续；

S403：当返回结果为失败时，修改当前I/O请求包的状态值为STATUS_ACCESS_DENIED，直接往驱动栈中的上一级驱动返回该I/O请求包，此次访问被终止，状态为拒绝；

S404：根据得到的一系列I/O请求包的成功及失败组合构成宏观上的访问权限。

2.根据权利要求1所述的一种控制Windows文件系统访问权限的方法，其特征在于：所述的Windows系统所有I/O请求包的主函数码种类包括：IRP_MJ_CREATE、IRP_MJ_CREATE_NAME_PIPE、IRP_MJ_CLOSE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_QUERY_INFORMAITON、IRP_MJ_SET_INFORMAITON、IRP_MJ_QUERY_EA、IRP_MJ_SET_EA、IRP_MJ_FLUSH_BUFFERS、IRP_MJ_QUERY_VOLUME_INFORMAITON、IRP_MJ_SET_VOLUME_INFORMAITON、IRP_MJ_DIRECTORY_CONTROL、IRP_MJ_FILE_SYSTEM_CONTROL、IRP_MJ_DEVICE_CONTROL、IRP_MJ_INTERNAL_DEVICE_CONTROL、IRP_MJ_SCSI、IRP_MJ_SHUTDOWN、IRP_MJ_LOCK_CONTROL、IRP_MJ_CLEANUP、IRP_MJ_CREATE_MAILSLOT、IRP_MJ_QUERY_SECURITY、IRP_MJ_SET_SECURITY、IRP_MJ_POWER、IRP_MJ_SYSTEM_CONTROL、IRP_MJ_DEVICE_CHANGE、IRP_MJ_QUERY_QUOTA、IRP_MJ_SET_QUOTA、IRP_MJ_PNP、IRP_MJ_MAXIMUM_FUNCTION。

3.根据权利要求1所述的一种控制Windows文件系统访问权限的方法，其特征在于：所述的访问权限包括但不限于全权限、零权限、只读权限、写入权限、修改权限和执行权限。

4.根据权利要求3所述的一种控制Windows文件系统访问权限的方法，其特征在于：所述的只读权限下，返回状态必须为成功的I/O请求包包括：IRP_MJ_CREATE、IRP_MJ_CLOSE、IRP_MJ_READ、IRP_MJ_QUERY_INFORMAITON、IRP_MJ_QUERY_EA、IRP_MJ_QUERY_VOLUME_INFORMAITON、IRP_MJ_DIRECTORY_CONTROL、IRP_MJ_CLEANUP、和IRP_MJ_QUERY_SECURITY，返回状态必须为失败的I/O请求包包括：IRP_MJ_WRITE、IRP_MJ_SET_INFORMAITON、IRP_MJ_SET_EA、IRP_MJ_FLUSH_BUFFERS、IRP_MJ_SET_VOLUME_INFORMAITON和IRP_MJ_SET_SECURITY，其余I/O请求包默认以其原有状态继续往驱动栈中的下一级驱动投递。