1.基于雙驅(qū)動聯(lián)動的文件安全主動防護方法，其特征在于：

具體步驟如下：

a)????利用INF文件安裝驅(qū)動至目標(biāo)操作系統(tǒng)，驅(qū)動以服務(wù)存在，并設(shè)置成隨操作系統(tǒng)啟動；

b)????通過操作系統(tǒng)的服務(wù)管理項加載該驅(qū)動；

c)????將預(yù)置的文件安全防護規(guī)則讀取至規(guī)則鏈；

d)????將IRP處理例程函數(shù)入口賦給DriverObject即“驅(qū)動程序?qū)ο蟆钡膶?yīng)派遣例程數(shù)組；

e)????填充Fast?I/O處理例程，F(xiàn)ast?I/O是緩存管理器調(diào)用所引發(fā)的一種沒有IRP的請求；文件過濾驅(qū)動除了正常派遣例程之外，還為DriverObject即驅(qū)動程序?qū)ο笞珜懥硪唤MFast?I/O?函數(shù)，對緩存進行監(jiān)控；

f)?????創(chuàng)建系統(tǒng)線程，獲取TCP/IP設(shè)備對象后，啟動網(wǎng)絡(luò)驅(qū)動，包括TDI層和NDIS層兩層的網(wǎng)絡(luò)驅(qū)動，對通過網(wǎng)絡(luò)進程操作文件的行為進行監(jiān)控；

g)????TDI即“Transport?Driver?Interface傳輸驅(qū)動程序接口”層網(wǎng)絡(luò)驅(qū)動能夠做到對系統(tǒng)中的網(wǎng)絡(luò)進程的自發(fā)現(xiàn)，對聯(lián)網(wǎng)狀態(tài)的動態(tài)監(jiān)控，以及對病毒木馬破壞和竊取受保護文件的行為進行主動分析和捕獲；

h)????NDIS即“Network?Driver?Interface?Specification網(wǎng)絡(luò)驅(qū)動程序接口說明”層網(wǎng)絡(luò)驅(qū)動采用內(nèi)核級內(nèi)聯(lián)Hook技術(shù)對NDIS.SYS關(guān)鍵導(dǎo)出API進行掛接，內(nèi)聯(lián)Hook掛接過程為：找到系統(tǒng)原導(dǎo)出函數(shù)首地址，修改其前五個字節(jié)為JMP指令，用于跳轉(zhuǎn)到自己的掛鉤函數(shù)，當(dāng)執(zhí)行完自己的掛鉤函數(shù)后跳轉(zhuǎn)回系統(tǒng)原導(dǎo)出函數(shù)正常執(zhí)行；對發(fā)送的NDIS數(shù)據(jù)包進行協(xié)議解析，防止用戶通過局域網(wǎng)文件共享方式對受保護文件進行破壞和竊取，具體的流程為：首先驅(qū)動程序調(diào)用XF_SendPacket函數(shù)發(fā)送數(shù)據(jù)包，然后調(diào)用CheckPacket函數(shù)對NDIS_PACKET封包進行解析，若是共享數(shù)據(jù)，則交由安全共享處理模塊進行處理，否則以默認方式進行處理；

i)?????文件過濾驅(qū)動根據(jù)規(guī)則鏈，對接收到的IRP流進行過濾，對用戶操作受保護文件的行為進行IRP級的監(jiān)控，依據(jù)被操作文件的安全屬性，對IRP包序列進行行為特征分析，全壽命防護；

步驟g、h和i是實時動態(tài)的，并無時間和邏輯上的先后順序；

步驟g和h中TDI層和NDIS層兩層的網(wǎng)絡(luò)驅(qū)動組織結(jié)構(gòu)為：網(wǎng)絡(luò)行為首先由TDI層和NDIS層驅(qū)進行處理，然后再交由網(wǎng)絡(luò)文件行為實時捕獲模塊處理；

步驟g、h和i中首先需要提取被操作文件的安全屬性，依據(jù)文件安全屬性對文件的操作進行主動安全防御，防止用戶對被保護文件的惡意破壞和竊取。

2.根據(jù)權(quán)利要求1所述的基于雙驅(qū)動聯(lián)動的文件安全主動防護方法，其特征在于：所述的步驟e中Fast?I/O函數(shù)完成以下兩件事情之一：第一，當(dāng)操作完成時設(shè)置IoStatus的返回值并給I/O管理器返回TRUE，這時I/O管理器會完成對應(yīng)的I/O操作；第二，直接返回FALSE給I/O管理器，使其構(gòu)造一個IRP從而調(diào)用標(biāo)準(zhǔn)的分派例程。

3.根據(jù)權(quán)利要求1或2所述的基于雙驅(qū)動聯(lián)動的文件安全主動防護方法，其特征在于：所述的步驟c中的安全防護規(guī)則是指由管理員提前配置好的受保護文件的安全策略；為保證文件安全防護的友好性，以及整個系統(tǒng)的安全性，允許管理員同時定制多套控制策略來打造自己的安全平臺。

4.根據(jù)權(quán)利要求3所述的基于雙驅(qū)動聯(lián)動的文件安全主動防護方法，其特征在于：所述的步驟h中上層網(wǎng)絡(luò)數(shù)據(jù)從協(xié)議棧中發(fā)下來到NDIS網(wǎng)絡(luò)驅(qū)動層，在NDIS層對發(fā)送的數(shù)據(jù)封包進行判斷，本步驟只判斷數(shù)據(jù)封包是否為文件共享數(shù)據(jù)包。

5.根據(jù)權(quán)利要求4所述的基于雙驅(qū)動聯(lián)動的文件安全主動防護方法，其特征在于：將文件的安全屬性同文件數(shù)據(jù)本身分開，單獨存儲，在內(nèi)核態(tài)創(chuàng)建一個數(shù)據(jù)庫，即為一個內(nèi)核文件，文件中的每條記錄代表一個受保護文件的安全屬性；在內(nèi)核層對這個內(nèi)核數(shù)據(jù)庫文件進行操作，編程實現(xiàn)對內(nèi)核態(tài)數(shù)據(jù)庫文件的操作函數(shù)；為方便在文件過濾驅(qū)動中對數(shù)據(jù)庫的操作，在內(nèi)核態(tài)建立了一個靜態(tài)鏈接庫；文件系統(tǒng)驅(qū)動是針對每個卷來生成一個設(shè)備對象，而不是針對每個文件的，對文件讀寫的IRP，都發(fā)往卷設(shè)備對象上；在每個卷上維護一個內(nèi)核數(shù)據(jù)庫文件，用來處理這個卷設(shè)備中的受保護文件的安全屬性；此外，對受保護文件安全屬性拒絕一切對內(nèi)核態(tài)的數(shù)據(jù)庫文件的操作。

6.根據(jù)權(quán)利要求5所述的基于雙驅(qū)動聯(lián)動的文件安全主動防護方法，其特征在于：所述的步驟a中，隨操作系統(tǒng)啟動是指定StartType值設(shè)為0；驅(qū)動的安裝過程為：首先將驅(qū)動文件復(fù)制到Winnt/system32/drivers目錄下，然后添加注冊表項，配置驅(qū)動程序，最后重啟操作系統(tǒng)。