CN101236533B - Windows环境下一种基于PCI卡实现硬盘写保护锁的方法 - Google Patents

Windows环境下一种基于PCI卡实现硬盘写保护锁的方法 Download PDF

Info

Publication number
CN101236533B
CN101236533B CN2007101198132A CN200710119813A CN101236533B CN 101236533 B CN101236533 B CN 101236533B CN 2007101198132 A CN2007101198132 A CN 2007101198132A CN 200710119813 A CN200710119813 A CN 200710119813A CN 101236533 B CN101236533 B CN 101236533B
Authority
CN
China
Prior art keywords
hard disk
pci card
write
operating system
windows operating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2007101198132A
Other languages
English (en)
Other versions
CN101236533A (zh
Inventor
谭毓安
王佐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN2007101198132A priority Critical patent/CN101236533B/zh
Publication of CN101236533A publication Critical patent/CN101236533A/zh
Application granted granted Critical
Publication of CN101236533B publication Critical patent/CN101236533B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明涉及计算机取证领域,具体的说是提供了Windows环境下一种硬盘写保护锁。本发明包括一个PCI卡,一段存放在PCI卡扩展ROM映像中的加载程序,一段存放在PCI卡非扩展ROM的硬盘写保护锁程序。加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统。硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。本发明设计新颖,不需要在计算机主板和硬盘之间增加额外的硬件设备;使用成本低,仅需要一个PCI卡;实用价值高,可以作为各种计算机犯罪取证软件的运行平台。

Description

Windows环境下一种基于PCI卡实现硬盘写保护锁的方法
技术领域
本发明涉及计算机取证领域,具体的说是提供了Windows环境下一种基于PCI卡实现硬盘写保护锁的方法。
背景技术
随着信息化程度越来越高,计算机犯罪现象越来越普遍。相对于普通犯罪的取证来说,计算机犯罪取证具有很强的特殊性。计算机的数据一般存储在本地硬盘上,从计算机硬盘提取有价值的信息是计算机犯罪取证的一个研究热点。直接运行罪犯硬盘上的Windows操作系统重现罪犯的工作环境,将会使得取证工作变得迅速和高效;但是,需要使用硬盘写保护锁来防止Windows操作系统修改硬盘上的数据。
目前存在的硬盘写保护锁分为两类。一类在计算机主板和硬盘之间增加额外的硬件设备。该类方案由于和硬件结合比较紧密,存在成本高和兼容性的问题。另外一类需要在硬盘上安装硬盘写保护锁程序,硬盘写保护锁程序在重新启动后生效。硬盘写保护锁程序在硬盘上划分出一块没有使用的区域,把Windows操作系统写入硬盘其它地方的数据重定向到该区域中。该类硬盘保护锁的安装过程和工作过程都修改了硬盘的数据,影响了硬盘数据的司法有效性。
发明内容
本发明的目的在于提供Windows环境下一种基于PCI卡实现硬盘写保护锁的方法。
本发明的技术方案是:
包括一个PCI卡,一段存放在PCI卡扩展ROM的映像中的加载程序,一段存放在PCI卡非扩展ROM的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统;硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘, 将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。
加载程序存放在PCI卡扩展ROM的映像中;当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的映像读入内存C0000H~DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加载程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在内存中修改读取的注册表信息和文件系统信息,把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入Windows操作系统。
硬盘写保护锁程序存放在PCI卡的非扩展ROM中;它是一个工作在Windows操作系统内核的磁盘过滤驱动程序,监控Windows操作系统通过驱动程序读写目标硬盘;当Windows操作系统需要把数据写入目标硬盘时,硬盘写保护锁程序把写操作重定向到PCI卡的非扩展ROM;当Windows操作系统需要读取被重定向到PCI卡非扩展ROM的数据时,硬盘写保护锁程序把读操作重定向到PCI卡的非扩展ROM。
当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的映像读入内存C0000H~DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加载程序。加载程序通过修改INT13H的中断服务程序来监控计算机对目标硬盘的读写。加载程序完成修改后,把硬盘0扇区的内容读入内存0000:7C00并执行,从硬盘上启动Windows操作系统。在随后的启动过程中,硬盘上的Windows引导程序(Osloader.exe)通过INT13H读取注册表信息和文件系统信息。加载程序监测到引导程序对注册表的读写,调用原始的INT13H中断服务程序读取硬盘上的注册表到内存,并在内存中修改读取的内容,让引导程序加载一个硬盘上并不存在的内核驱动程序。当引导程序通过INT13H来读取该内核驱动程序时,加载程序把读操作重定向到PCI卡,读取存放在PCI卡非扩展ROM的硬盘写保护锁程序。至此,引导程序获得了硬盘写保护锁程序的内容,并根据注册表的指示将它装入到Windows操作系统。引导程序完成系统初始化工作后,Windows操作系统开始启动。此时刻开始,Windows操作系统将放弃使用INT13H中断改用驱动程序访问硬盘等存储设备。作为磁盘过滤驱动程序嵌入Windows操作系统的硬盘写保护锁程序接管对目标硬盘读写操作的监控。
本发明的有益效果是:
1)设计新颖。不需要在计算机主板和硬盘之间增加额外的硬件设备。
2)使用成本低。仅需要一个PCI卡。
3)实用价值高。可以作为各种计算机犯罪取证软件的运行平台。
附图说明
图1-磁盘存储驱动程序层次示意图。
图2-PCI卡存储空间的使用示意图。
图3-硬盘写保护锁程序的工作示意图
图4-从PCI卡启动的工作流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细描述。本发明不仅限于以下实施例,凡是利用本发明的设计思路,做一些简单变化的设计都应进入本发明的保护范围之内。
PCI卡作为加载程序和硬盘写保护锁程序的载体。加载程序存放在PCI卡扩展ROM的映像中,硬盘写保护锁程序存放在PCI卡的非扩展ROM中。除此之外,PCI卡的部分非扩展ROM用于存储本应写入目标硬盘的数据,即硬盘数据区,如图2。
硬盘写保护锁程序(DiskLock.sys)工作在Windows操作系统内核,位于磁盘驱动程序(Disk.sys)和分区驱动程序(PartMgr.sys)之间,如图1。Windows操作系统启动后,计算机对硬盘的读写操作通过输入输出请求包(IRP)来完成。当Windows操作系统需要访问硬盘时,构造相应的IRP并且层层下传。硬盘写保护锁程序对分区驱动程序传下来的IRP进行分析:如果该IRP为写操作,硬盘写保护锁程序查找内存中的重定向记录表。如果存在重定向记录,硬盘写保护锁程序根据重定向记录,把该IRP重定向到PCI卡非扩展ROM的硬盘数据区完成写操作;如果不存在重定向记录,硬盘写保护锁程序在重定向记录表里新增加一项重定向记录,且根据新增加的重定向记录,把该IRP重定向到PCI卡非扩展ROM的硬盘数据区完成写操作。如果该IRP为读操作,硬盘写保护锁程序查找内存中的重定向记录表。如果存在重定向记录,硬盘写保护锁程序根据重定向记录,把该IRP重定向到PCI卡非扩展ROM的硬盘数据区完成读操作;如果不存在重定向记录,硬盘写保护锁程序直接将该IRP发送给磁盘驱动程序。图3为硬盘写保护锁程序工作示意图。
Windows操作系统启动时需要很多初始化数据,这些数据保存在注册表中。系统启动时,引导程序读取注册表来完成初始化操作。加载程序监控引导程序读取注册表的操作,在内存中修改引导程序读取的数据。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}中UpperFilters键指示磁盘存储驱动程序的层次顺序:PartMgr.sys,Diskperf.sys。其中Diskperf.sys为Windows 2000独有。这里我们需要将内存中的UpperFilters键值进行修改,层次顺序变为:DiskLock.sys,PartMgr.sys,Diskperf.sys。除此之外,我们还需要在内存中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services键下面增加DiskLock键,且在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiskLock键下增加Start,Group等键值并且赋予相应的值。其中Start=0表示DiskLock.sys在计算机启动时装入。对内存中注册表数据的修改生效后,引导程序需要从文件系统获取DiskLock.sys文件的信息。加载程序截获引导程序对SYSTEM32\DRIVERS目录信息的访问,在内存中增加DiskLock.sys的信息,如文件大小、文件位置等等。当引导程序根据这些信息读取DiskLock.sys(DiskLock.sys在硬盘上并不存在)时,加载程序把读操作且重定向到PCI卡,读取放在PCI卡非扩展ROM的DiskLock.sys。至此,引导程序获得了DiskLock.sys的内容,并根据注册表的指示将DiskLock.sys装入到Windows操作系统,如图4所示。

Claims (3)

1.Windows环境下一种基于PCI卡实现硬盘写保护锁的方法,其特征在于:包括一个PCI卡,一段存放在PCI卡扩展ROM的映像中的加载程序,一段存放在PCI卡非扩展ROM的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统;硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。
2.如权利要求1所述的Windows环境下一种基于PCI卡实现硬盘写保护锁的方法,其特征在于:所述的加载程序存放在PCI卡扩展ROM的映像中;当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的映像读入内存C0000H~DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加载程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在内存中修改读取的注册表信息和文件系统信息,把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入Windows操作系统。
3.如权利要求1所述的Windows环境下一种基于PCI卡实现硬盘写保护锁的方法,其特征在于:所述的硬盘写保护锁程序存放在PCI卡的非扩展ROM中;它是一个工作在Windows操作系统内核的磁盘过滤驱动程序,监控Windows操作系统通过驱动程序读写目标硬盘;当Windows操作系统需要把数据写入目标硬盘时,硬盘写保护锁程序把写操作重定向到PCI卡的非扩展ROM;当Windows操作系统需要读取被重定向到PCI卡非扩展ROM的数据时,硬盘写保护锁程序把读操作重定向到PCI卡的非扩展ROM。 
CN2007101198132A 2007-07-31 2007-07-31 Windows环境下一种基于PCI卡实现硬盘写保护锁的方法 Expired - Fee Related CN101236533B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2007101198132A CN101236533B (zh) 2007-07-31 2007-07-31 Windows环境下一种基于PCI卡实现硬盘写保护锁的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007101198132A CN101236533B (zh) 2007-07-31 2007-07-31 Windows环境下一种基于PCI卡实现硬盘写保护锁的方法

Publications (2)

Publication Number Publication Date
CN101236533A CN101236533A (zh) 2008-08-06
CN101236533B true CN101236533B (zh) 2010-12-22

Family

ID=39920163

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007101198132A Expired - Fee Related CN101236533B (zh) 2007-07-31 2007-07-31 Windows环境下一种基于PCI卡实现硬盘写保护锁的方法

Country Status (1)

Country Link
CN (1) CN101236533B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102831048B (zh) * 2012-07-31 2015-10-07 上海华御信息技术有限公司 用户设备的文件监控方法及系统
CN103593146B (zh) * 2013-10-21 2016-04-20 福建升腾资讯有限公司 基于磁盘过滤的覆盖层空间切换方法及覆盖层的组建方法
CN104991774B (zh) * 2015-07-03 2018-05-11 武汉噢易云计算股份有限公司 一种uefi平台下截获系统引导的系统和方法

Also Published As

Publication number Publication date
CN101236533A (zh) 2008-08-06

Similar Documents

Publication Publication Date Title
CN1029336C (zh) 保护个人计算机中系统应用程序的装置
KR101928127B1 (ko) 애플리케이션용 선택적 파일 액세스 기법
US7702894B2 (en) System and method for loading programs from HDD independent of operating system
US7519806B2 (en) Virtual partition for recording and restoring computer data files
US20140351815A1 (en) Systems and methods to load applications and application data into a virtual machine using hypervisor-attached volumes
US8286158B2 (en) Method and system for installing portable executable applications
US7395420B2 (en) Using protected/hidden region of a magnetic media under firmware control
US20100241815A1 (en) Hybrid Storage Device
CN100573480C (zh) 一种磁盘数据保护方法和系统
CN1617101A (zh) 操作系统资源保护
CN101944043A (zh) Windows平台下Linux虚拟机磁盘文件访问方法
CN101373457B (zh) Windows环境下一种基于USB设备的硬盘写保护锁的方法
CN100507850C (zh) 一种借助USB设备启动在Windows操作系统中嵌入内核驱动程序的方法
CN104685443A (zh) 锁定引导数据用以更快引导
CN101236533B (zh) Windows环境下一种基于PCI卡实现硬盘写保护锁的方法
CN1755628B (zh) 操作系统启动过程中自动安装软件的方法
CN101236498B (zh) 一种借助PCI卡启动在Windows操作系统中嵌入内核驱动程序的方法
US20060080540A1 (en) Removable/detachable operating system
US20040177226A1 (en) Storage system with snapshot-backup capability and method for the same
CN101236532A (zh) Windows环境下基于USB设备的硬盘加密方法
WO2006119233A2 (en) Method for securing computers from malicious code attacks
CN1818824A (zh) 一种可靠性高的个人计算机及操作系统
CN102222185A (zh) 一种避免操作系统启动文件被感染的方法
CN100424652C (zh) 一种基于嵌入式操作系统的硬盘自恢复保护方法
CN101236534A (zh) Windows环境下基于PCI卡的硬盘加密方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20101222

Termination date: 20110731