CN101236533A - Windows环境下一种基于PCI卡的硬盘写保护锁 - Google Patents
Windows环境下一种基于PCI卡的硬盘写保护锁 Download PDFInfo
- Publication number
- CN101236533A CN101236533A CNA2007101198132A CN200710119813A CN101236533A CN 101236533 A CN101236533 A CN 101236533A CN A2007101198132 A CNA2007101198132 A CN A2007101198132A CN 200710119813 A CN200710119813 A CN 200710119813A CN 101236533 A CN101236533 A CN 101236533A
- Authority
- CN
- China
- Prior art keywords
- hard disk
- write
- pci card
- operating system
- windows operating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及计算机取证领域,具体的说是提供了Windows环境下一种硬盘写保护锁。本发明包括一个PCI卡,一段存放在PCI卡扩展ROM映像中的加载程序,一段存放在PCI卡非扩展ROM的硬盘写保护锁程序。加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统。硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。本发明设计新颖,不需要在计算机主板和硬盘之间增加额外的硬件设备;使用成本低,仅需要一个PCI卡;实用价值高,可以作为各种计算机犯罪取证软件的运行平台。
Description
技术领域
本发明涉及计算机取证领域,具体的说是提供了Windows环境下一种基于PCI卡的硬盘写保护锁。
背景技术
随着信息化程度越来越高,计算机犯罪现象越来越普遍。相对于普通犯罪的取证来说,计算机犯罪取证具有很强的特殊性。计算机的数据一般存储在本地硬盘上,从计算机硬盘提取有价值的信息是计算机犯罪取证的一个研究热点。直接运行罪犯硬盘上的Windows操作系统重现罪犯的工作环境,将会使得取证工作变得迅速和高效;但是,需要使用硬盘写保护锁来防止Windows操作系统修改硬盘上的数据。
目前存在的硬盘写保护锁分为两类。一类在计算机主板和硬盘之间增加额外的硬件设备。该类方案由于和硬件结合比较紧密,存在成本高和兼容性的问题。另外一类需要在硬盘上安装硬盘写保护锁程序,硬盘写保护锁程序在重新启动后生效。硬盘写保护锁程序在硬盘上划分出一块没有使用的区域,把Windows操作系统写入硬盘其它地方的数据重定向到该区域中。该类硬盘保护锁的安装过程和工作过程都修改了硬盘的数据,影响了硬盘数据的司法有效性。
发明内容
本发明的目的在于提供一种Windows环境下的低成本的基于PCI卡的硬盘写保护锁。
本发明的技术方案是:
包括一个PCI卡,一段存放在PCI卡扩展ROM映像中的加载程序,一段存放在PCI卡非扩展ROM的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统;硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。
加载程序存放在PCI卡扩展ROM的映像中;当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的映像读入内存COOOOH~DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加载程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在内存中修改读取的注册表信息和文件系统信息,把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入Windows操作系统。
硬盘写保护锁程序存放在PCI卡的非扩展ROM中;它是一个工作在Windows操作系统内核的磁盘过滤驱动程序,监控Windows操作系统通过驱动程序读写目标硬盘;当Windows操作系统需要把数据写入目标硬盘时,硬盘写保护锁程序把写操作重定向到PCI卡的非扩展ROM;当Windows操作系统需要读取被重定向到PCI卡非扩展ROM的数据时,硬盘写保护锁程序把读操作重定向到PCI卡的非扩展ROM。
当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的映像读入内存COOOOH~DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加载程序。加载程序通过修改INT13H的中断服务程序来监控计算机对目标硬盘的读写。加载程序完成修改后,把硬盘0扇区的内容读入内存0000:7C00并执行,从硬盘上启动Windows操作系统。在随后的启动过程中,硬盘上的Windows引导程序(Osloader.exe)通过INT13H读取注册表信息和文件系统信息。加载程序监测到引导程序对注册表的读写,调用原始的INT13H中断服务程序读取硬盘上的注册表到内存,并在内存中修改读取的内容,让引导程序加载一个硬盘上并不存在的内核驱动程序。当引导程序通过INT13H来读取该内核驱动程序时,加载程序把读操作重定向到PCI卡,读取存放在PCI卡非扩展ROM的硬盘写保护锁程序。至此,引导程序获得了硬盘写保护锁程序的内容,并根据注册表的指示将它装入到Windows操作系统。引导程序完成系统初始化工作后,Windows操作系统开始启动。此时刻开始,Windows操作系统将放弃使用INT13H中断改用驱动程序访问硬盘等存储设备。作为磁盘过滤驱动程序嵌入Windows操作系统的硬盘写保护锁程序接管对目标硬盘读写操作的监控。
本发明的有益效果是:
1)设计新颖。不需要在计算机主板和硬盘之间增加额外的硬件设备。
2)使用成本低。仅需要一个PCI卡。
3)实用价值高。可以作为各种计算机犯罪取证软件的运行平台。
附图说明
图1-磁盘存储驱动程序层次示意图。
图2-PCI卡存储空间的使用示意图。
图3-硬盘写保护锁程序的工作示意图
图4-从PCI卡启动的工作流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细描述。本发明不仅限于以下实施例,凡是利用本发明的设计思路,做一些简单变化的设计都应进入本发明的保护范围之内。
PCI卡作为加载程序和硬盘写保护锁程序的载体。加载程序存放在PCI卡扩展ROM的映像中,硬盘写保护锁程序存放在PCI卡的非扩展ROM中。除此之外,PCI卡的部分非扩展ROM用于存储本应写入目标硬盘的数据,即硬盘数据区,如图2。
硬盘写保护锁程序(DiskLock.sys)工作在Windows操作系统内核,位于磁盘驱动程序(Disk.sys)和分区驱动程序(PartMgr.sys)之间,如图1。Windows操作系统启动后,计算机对硬盘的读写操作通过输入输出请求包(IRP)来完成。当Windows操作系统需要访问硬盘时,构造相应的IRP并且层层下传。硬盘写保护锁程序对分区驱动程序传下来的IRP进行分析:如果该IRP为写操作,硬盘写保护锁程序查找内存中的重定向记录表。如果存在重定向记录,硬盘写保护锁程序根据重定向记录,把该IRP重定向到USB设备的硬盘数据区完成写操作;如果不存在重定向记录,硬盘写保护锁程序在重定向记录表里新增加一项重定向记录,且根据新增加的重定向记录,把该IRP重定向到USB设备的硬盘数据区完成写操作。如果该IRP为读操作,硬盘写保护锁程序查找内存中的重定向记录表。如果存在重定向记录,硬盘写保护锁程序根据重定向记录,把该IRP重定向到USB设备的硬盘数据区完成读操作;如果不存在重定向记录,硬盘写保护锁程序直接将该IRP发送给磁盘驱动程序。图3为硬盘写保护锁程序工作示意图。
Windows操作系统启动时需要很多初始化数据,这些数据保存在注册表中。系统启动时,引导程序读取注册表来完成初始化操作。加载程序监控引导程序读取注册表的操作,在内存中修改引导程序读取的数据。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}中UpperFilters键指示磁盘存储驱动程序的层次顺序:PartMgr.sys,Diskperf.sys。其中Diskperf.sys为Windows 2000独有。这里我们需要将内存中的UpperFilters键值进行修改,层次顺序变为:DiskLock.sys,PartMgr.sys,Diskperf.sys。除此之外,我们还需要在内存中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services键下面增加DiskLock键,且在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiskLock键下增加Start,Group等键值并且赋予相应的值。其中Start=0表示DiskLock.sys在计算机启动时装入。对内存中注册表数据的修改生效后,引导程序需要从文件系统获取DiskLock.sys文件的信息。加载程序截获引导程序对SYSTEM32\DRIVERS目录信息的访问,在内存中增加DiskLock.sys的信息,如文件大小、文件位置等等。当引导程序根据这些信息读取DiskLock.sys(DiskLock.sys在硬盘上并不存在)时,加载程序把读操作且重定向到PCI卡,读取放在PCI卡非扩展ROM的DiskLock.sys。至此,引导程序获得了DiskLock.sys的内容,并根据注册表的指示将DiskLock.sys装入到Windows操作系统,如图4所示。
Claims (3)
1. Windows环境下一种基于PCI卡的硬盘写保护锁,其特征在于:包括一个PCI卡,一段存放在PCI卡扩展ROM映像中的加载程序,一段存放在PCI卡非扩展ROM的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统;硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。
2. 如权利要求1所述的Windows环境下一种基于PCI卡的硬盘写保护锁,其特征在于:所述的加载程序存放在PCI卡扩展ROM的映像中;当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的映像读入内存C0000H~DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加载程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在内存中修改读取的注册表信息和文件系统信息,把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入Windows操作系统。
3. 如权利要求1所述的Windows环境下一种基于PCI卡的硬盘写保护锁,其特征在于:所述的硬盘写保护锁程序存放在PCI卡的非扩展ROM中;它是一个工作在Windows操作系统内核的磁盘过滤驱动程序,监控Windows操作系统通过驱动程序读写目标硬盘;当Windows操作系统需要把数据写入目标硬盘时,硬盘写保护锁程序把写操作重定向到PCI卡的非扩展ROM;当Windows操作系统需要读取被重定向到PCI卡非扩展ROM的数据时,硬盘写保护锁程序把读操作重定向到PCI卡的非扩展ROM。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101198132A CN101236533B (zh) | 2007-07-31 | 2007-07-31 | Windows环境下一种基于PCI卡实现硬盘写保护锁的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101198132A CN101236533B (zh) | 2007-07-31 | 2007-07-31 | Windows环境下一种基于PCI卡实现硬盘写保护锁的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101236533A true CN101236533A (zh) | 2008-08-06 |
| CN101236533B CN101236533B (zh) | 2010-12-22 |
Family
ID=39920163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101198132A Expired - Fee Related CN101236533B (zh) | 2007-07-31 | 2007-07-31 | Windows环境下一种基于PCI卡实现硬盘写保护锁的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101236533B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102831048A (zh) * | 2012-07-31 | 2012-12-19 | 上海华御信息技术有限公司 | 用户设备的文件监控方法及系统 |
| CN103593146A (zh) * | 2013-10-21 | 2014-02-19 | 福建升腾资讯有限公司 | 基于磁盘过滤的覆盖层空间切换方法及覆盖层的组建方法 |
| CN104991774A (zh) * | 2015-07-03 | 2015-10-21 | 武汉噢易云计算有限公司 | 一种uefi平台下截获系统引导的系统和方法 |
-
2007
- 2007-07-31 CN CN2007101198132A patent/CN101236533B/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102831048A (zh) * | 2012-07-31 | 2012-12-19 | 上海华御信息技术有限公司 | 用户设备的文件监控方法及系统 |
| CN102831048B (zh) * | 2012-07-31 | 2015-10-07 | 上海华御信息技术有限公司 | 用户设备的文件监控方法及系统 |
| CN103593146A (zh) * | 2013-10-21 | 2014-02-19 | 福建升腾资讯有限公司 | 基于磁盘过滤的覆盖层空间切换方法及覆盖层的组建方法 |
| CN103593146B (zh) * | 2013-10-21 | 2016-04-20 | 福建升腾资讯有限公司 | 基于磁盘过滤的覆盖层空间切换方法及覆盖层的组建方法 |
| CN104991774A (zh) * | 2015-07-03 | 2015-10-21 | 武汉噢易云计算有限公司 | 一种uefi平台下截获系统引导的系统和方法 |
| CN104991774B (zh) * | 2015-07-03 | 2018-05-11 | 武汉噢易云计算股份有限公司 | 一种uefi平台下截获系统引导的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101236533B (zh) | 2010-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1029336C (zh) | 保护个人计算机中系统应用程序的装置 | |
| US7366887B2 (en) | System and method for loading programs from HDD independent of operating system | |
| KR101928127B1 (ko) | 애플리케이션용 선택적 파일 액세스 기법 | |
| US8286158B2 (en) | Method and system for installing portable executable applications | |
| US20140351815A1 (en) | Systems and methods to load applications and application data into a virtual machine using hypervisor-attached volumes | |
| CN100573480C (zh) | 一种磁盘数据保护方法和系统 | |
| US20100241815A1 (en) | Hybrid Storage Device | |
| CN1617101A (zh) | 操作系统资源保护 | |
| CN101944043A (zh) | Windows平台下Linux虚拟机磁盘文件访问方法 | |
| CN101373457B (zh) | Windows环境下一种基于USB设备的硬盘写保护锁的方法 | |
| US20080162916A1 (en) | Portable Multi-Platform Booting | |
| CN100507850C (zh) | 一种借助USB设备启动在Windows操作系统中嵌入内核驱动程序的方法 | |
| CN101236533B (zh) | Windows环境下一种基于PCI卡实现硬盘写保护锁的方法 | |
| CN1755628B (zh) | 操作系统启动过程中自动安装软件的方法 | |
| CN101236498B (zh) | 一种借助PCI卡启动在Windows操作系统中嵌入内核驱动程序的方法 | |
| US20060080540A1 (en) | Removable/detachable operating system | |
| CN1317616C (zh) | 多重操作系统的多键引导系统及方法 | |
| US20060080518A1 (en) | Method for securing computers from malicious code attacks | |
| US20040177226A1 (en) | Storage system with snapshot-backup capability and method for the same | |
| CN102222185B (zh) | 一种避免操作系统启动文件被感染的方法 | |
| KR101120956B1 (ko) | 휴대용 멀티-플랫폼 부팅시스템과 아키텍쳐 | |
| CN100424652C (zh) | 一种基于嵌入式操作系统的硬盘自恢复保护方法 | |
| CN100403262C (zh) | 计算机装置开机方法及使用该方法的计算机装置 | |
| CN101236534A (zh) | Windows环境下基于PCI卡的硬盘加密方法 | |
| US20070240153A1 (en) | System and method for installing hypervisor after user operating system has been installed and loaded |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101222 Termination date: 20110731 |