[发明专利]一种基于Mac OS文件的透明加密和解密方法和系统

权利要求书

1.一种基于Mac OS文件的透明加密方法，其特征在于，包括以下步骤：

(1)获取文件打开函数VNOP_OPEN的调用地址；

(2)使用Hook技术对步骤(1)获取的文件打开函数VNOP_OPEN的调用地址进行处理，得到新的文件打开函数Hook_VNOP_OPEN；

(3)使用与步骤(1)相同的方式获取文件读取函数VNOP_READ、文件写入函数VNOP_WRITE、以及文件关闭函数VNOP_CLOSE的调用地址，并使用Hook技术分别对获取的文件读取函数VNOP_READ、文件写入函数VNOP_WRITE、以及文件关闭函数VNOP_CLOSE的调用地址进行处理，以分别得到新的文件读取函数Hook_VNOP_READ、新的文件写入函数Hook_VNOP_WRITE、以及新的文件关闭函数Hook_VNOP_CLOSE；

(4)获取Mac OS系统中创建的文件，并使用步骤(2)得到的新的文件打开函数Hook_VNOP_OPEN、以及步骤(3)得到的新的文件读取函数Hook_VNOP_READ、新的文件写入函数Hook_VNOP_WRITE、以及新的文件关闭函数Hook_VNOP_CLOSE对该文件执行加密，以得到加密后的文件；步骤(4)具体包括以下子步骤：

(4-1)获取Mac OS系统中创建的文件，使用新的文件打开函数Hook_VNOP_OPEN处理该文件，以获取该文件的后缀和第一唯一标识符UID，调用系统函数_NSGetExecutablePath获取文件的进程名称，并判断是否有文件的后缀与第一预设值匹配，且文件的进程名称与第二预设值匹配，若是则进入步骤(4-2)，否则过程结束；

(4-2)将步骤(4-1)获取的文件的进程名称、后缀以及第一唯一标识符记录到预设的数组Encrypt_Array中；

(4-3)使用新的文件写入函数Hook_VNOP_WRITE对步骤(4-1)获取的文件进行处理，以得到文件的数据流和第二唯一标识符，判断数组Encrypt_Array中是否存在该第二唯一标识符，如果存在，则进入步骤(4-4)，否则过程结束；

(4-4)使用对称加密算法对步骤(4-3)获取的数据流进行加密处理，以得到加密后的数据流；

(4-5)调用文件写入函数VNOP_WRITE将步骤(4-4)得到的加密后的数据流以文件的形式写入电脑磁盘；

(4-6)使用新的文件关闭函数Hook_VNOP_CLOSE对步骤(4-1)获取的文件进行处理，以得到文件的第三唯一标识符，并判断数组Encrypt_Array中是否存在该第三唯一标识符，如果存在，则从数组Encrypt_Array中删除该文件的进程名称、后缀以及第一唯一标识符，然后过程结束，否则过程结束。

2.根据权利要求1所述的基于Mac OS文件的透明加密方法，其特征在于，步骤(1)中获取文件打开函数VNOP_OPEN的调用地址是通过以下步骤实现的：

(a)用反汇编器打开Mac OS的内核文件，以获取对应的内核基址，即内核文件被加载到客户端内存中的地址；

(b)从步骤(a)建立的内核基址处开始顺序读取客户端内存中的数据，并判断该数据是否是文件打开函数VNOP_OPEN的调用地址，如果是则进入步骤(2)，否则读取客户端内存中的下一组数据，并重复本步骤，直到查找到文件打开函数VNOP_OPEN的调用地址为止。

3.根据权利要求2所述的基于Mac OS文件的透明加密方法，其特征在于，步骤(a)中使用的反汇编器是交互式反汇编程序IDA。

4.根据权利要求1所述的基于Mac OS文件的透明加密方法，其特征在于，第一预设值是指定的文件后缀，第二预设值是指定的文件类型。