【终端防泄漏】DLP数据防泄漏实现逻辑

2线-周庆喜发表于:2020年09月02日 10:53:18更新于:2020年09月11日 10:31:54

整体逻辑图

image.png


360EntClient从控制台后去策略通过RPC通知到DlpCenter,DlpCenter负责策略的解析和分发。

DlpCenter将策略通过FileMapping共享给钩子模块,通过RPC将策略通知给DriverControler.exe。

DriverControler负责和文件驱动qminspec,网络驱动qmnetmon\qmnetmonw,加密驱动qmwlfs、钩子驱动ghcore的初始化以及相关数据的处理。

 

文件驱动qminspec,负责文件系统的数据拦截,qminspec将数据转发给DriverControler并异步等待DriverControler的通知来决定数据放行还是拦截。qminspec目前对非系统磁盘写入数据以及写入共享目录访问做数据拦截。

 

网络驱动qmnetmon负责在xp上负责对网络的数据包的拦截以及蓝牙数据报的拦截。在windows vista 以及win7及以上负责蓝牙数据的拦截。

网络驱动qmnetmonw负责在windows vista 以及win7及以上负责对网络的数据包的拦截。

 

qmwpdmtp.dll 负责多媒体便携设备的控制,主要是针对手机文件拷贝的处理。该模块通过rpc发送数据给dlpcenter。

 

dlpcenter负责应用层的功能处理和wpd设备的数据处理。应用层的数据包括剪切板、打印、拖拽、IM、应用程序访问控制。

 

dlpmain负责显示用户确认、审批、离线申请等界面操作,同时也负责监控outlook以及在32位上监控QQ和微信的消息。同时在32位上负责消息钩子的启动。