CN101373457A - Windows环境下一种基于USB设备的硬盘写保护锁 - Google Patents
Windows环境下一种基于USB设备的硬盘写保护锁 Download PDFInfo
- Publication number
- CN101373457A CN101373457A CNA2007101198147A CN200710119814A CN101373457A CN 101373457 A CN101373457 A CN 101373457A CN A2007101198147 A CNA2007101198147 A CN A2007101198147A CN 200710119814 A CN200710119814 A CN 200710119814A CN 101373457 A CN101373457 A CN 101373457A
- Authority
- CN
- China
- Prior art keywords
- hard disk
- write
- usb device
- operating system
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及计算机取证领域,具体的说是提供了Windows环境下一种硬盘写保护锁。本发明包括一个USB设备,一段存放在USB设备0扇区的加载程序,一段存放在USB设备的隐藏扇区的硬盘写保护锁程序。加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统。硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到USB设备从而保护硬盘数据不被修改。本发明设计新颖,不需要在计算机主板和硬盘之间增加额外的硬件设备;使用成本低仅需要一个支持从USB启动的USB设备;实用价值高,可以作为各种计算机犯罪取证软件的运行平台。
Description
技术领域
本发明涉及计算机取证领域,具体的说是提供了Windows环境下一种基于USB设备的硬盘写保护锁
背景技术
随着信息化程度越来越高,计算机犯罪现象越来越普遍相对于普通犯罪的取证来说,计算机犯罪取证具有很强的特殊性。计算机的数据一般存储在本地硬盘上,从计算机硬盘提取有价值的信息是计算机犯罪取证的一个研究热点直接运行罪犯硬盘上的Windows操作系统重现罪犯的工作环境,将会使得取证工作变得迅速和高效;但是,需要使用硬盘写保护锁来防止Windows操作系统修改硬盘上的数据
目前存在的硬盘写保护锁分为两类一类在计算机主板和硬盘之间增加额外的硬件设备该类方案由于和硬件结合比较紧密,存在成本高和兼容性的问题另外一类需要在硬盘上安装硬盘写保护锁程序,硬盘写保护锁程序在重新启动后生效硬盘写保护锁程序在硬盘上划分出一块没有使用的区域,把Windows操作系统写入硬盘其它地方的数据重定向到该区域中。该类硬盘保护锁的安装过程和工作过程都修改了硬盘的数据,影响了硬盘数据的司法有效性
发明内容
本发明的目的在于提供一种Windows环境下的低成本的基于USB设备的硬盘写保护锁
本发明的技术方案是:
包括一个USB设备,一段存放在USB设备0扇区的加载程序,一段存放在USB设备隐藏扇区的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到USB设备从而保护硬盘数据不被修改
加载程序存放在USB设备的0扇区;当计算机从USB设备启动时,BIOS将加载程序读入内存执行;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在内存中修改读取的注册表信息和文件系统信息,把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入到Windows操作系统
硬盘写保护锁程序存放在USB设备的隐藏扇区;它是一个工作在Windows操作系统内核的磁盘过滤驱动程序,监控Windows操作系统通过驱动程序读写目标硬盘;当Windows操作系统需要把数据写入目标硬盘时,硬盘写保护锁程序把写操作重定向到USB设备;当Windows操作系统需要读取被重定向到USB设备的数据时,硬盘写保护锁程序把读操作重定向到USB设备
当计算机从USB设备启动时,BIOS把存放在USB设备0扇区的加载程序读入内存并执行加载程序通过修改INT13H的中断服务程序来监控计算机对目标硬盘的读写。加载程序完成修改后,把硬盘0扇区的内容读入内存0000:7C00并执行,从硬盘上启动Windows操作系统在随后的启动过程中,硬盘上的Windows引导程序(Osloader.exe)通过INT13H读取注册表信息和文件系统信息加载程序监测到引导程序对注册表的读写,调用原始的INT13H中断服务程序读取硬盘上的注册表到内存,并在内存中修改读取的内容,让引导程序加载一个硬盘上并不存在的内核驱动程序。当引导程序通过INT13H来读取该内核驱动程序时,加载程序把读操作重定向到USB设备,读取存放在USB设备隐藏扇区上的硬盘写保护锁程序。至此,引导程序获得了硬盘写保护锁程序的内容,并根据注册表的指示将它装入到Windows操作系统引导程序完成系统初始化工作后,Windows操作系统开始启动此时刻开始,Windows操作系统将放弃使用INT13H中断改用驱动程序访问硬盘等存储设备。作为磁盘过滤驱动程序嵌入Windows操作系统的硬盘写保护锁程序接管对目标硬盘读写操作的监控
本发明的有益效果是:
1)设计新颖不需要在计算机主板和硬盘之间增加额外的硬件设备
2)使用成本低仅需要一个支持从USB启动的USB设备
3)实用价值高可以作为各种计算机犯罪取证软件的运行平台。
附图说明
图1—磁盘存储驱动程序层次示意图
图2—USB设备扇区的使用示意图
图3—硬盘写保护锁程序的工作示意图
图4—从USB设备启动的工作流程图
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细描述。本发明不仅限于以下实施例,凡是利用本发明的设计思路,做一些简单变化的设计都应进入本发明的保护范围之内
USB设备作为加载程序和硬盘写保护锁程序的载体加载程序存放在USB设备的0扇区,硬盘写保护锁程序存放在USB设备的隐藏扇区。USB设备进行普通的数据拷贝使用正常分区,即图2中USB数据区;USB设备的隐藏分区用于存储本应写入目标硬盘的数据,即图2中的硬盘数据区
硬盘写保护锁程序(DiskLock.sys)工作在Windows操作系统内核,位于磁盘驱动程序(Disk.sys)和分区驱动程序(PartMgr.sys)之间,如图1。Windows操作系统启动后,计算机对硬盘的读写操作通过输入输出请求包(IRP)来完成当Windows操作系统需要访问硬盘时,构造相应的IRP并且层层下传硬盘写保护锁程序对分区驱动程序传下来的IRP进行分析:如果该IRP为写操作,硬盘写保护锁程序查找内存中的重定向记录表如果存在重定向记录,硬盘写保护锁程序根据重定向记录,把该IRP重定向到USB设备的硬盘数据区完成写操作;如果不存在重定向记录,硬盘写保护锁程序在重定向记录表里新增加一项重定向记录,且根据新增加的重定向记录,把该IRP重定向到USB设备的硬盘数据区完成写操作如果该IRP为读操作,硬盘写保护锁程序查找内存中的重定向记录表如果存在重定向记录,硬盘写保护锁程序根据重定向记录,把该IRP重定向到USB设备的硬盘数据区完成读操作;如果不存在重定向记录,硬盘写保护锁程序直接将该IRP发送给磁盘驱动程序。图3为硬盘写保护锁程序工作示意图
Windows操作系统启动时需要很多初始化数据,这些数据保存在注册表中。系统启动时,引导程序读取注册表来完成初始化操作。加载程序监控引导程序读取注册表的操作,在内存中修改引导程序读取的数据
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}中UpperFilters键指示磁盘存储驱动程序的层次顺序:PartMgr.sys,Diskperf.sys。其中Diskperf.sys为Windows 2000独有这里我们需要将内存中的UpperFilters键值进行修改,层次顺序变为:DiskLock.sys,PartMgr.sys,Diskperf.sys。除此之外,我们还需要在内存中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services键下面增加DiskLock键,且在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiskLock键下增加Start,Group等键值并且赋予相应的值其中Start=0表示DiskLock.sys在计算机启动时装入。对内存中注册表数据的修改生效后,引导程序需要从文件系统获取DiskLock.sys文件的信息加载程序截获引导程序对SYSTEM32\DRIVERS目录信息的访问,在内存中增加DiskLock.sys的信息,如文件大小、文件位置等等。当引导程序根据这些信息读取DiskLock.sys(DiskLock.sys在硬盘上并不存在)时,加载程序把读操作且重定向到USB设备,读取放在USB设备隐藏扇区的DiskLock.sys。至此,引导程序获得了DiskLock.sys的内容,并根据注册表的指示将DiskLock.sys装入到Windows操作系统,如图4所示。
Claims (3)
1.Windows环境下一种基于USB设备的硬盘写保护锁,其特征在于:包括一个USB设备,一段存放在USB设备0扇区的加载程序,一段存放在USB设备隐藏扇区的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到USB设备从而保护硬盘数据不被修改
2.如权利要求1所述的Windows环境下一种基于USB设备的硬盘写保护锁,其特征在于:所述的加载程序存放在USB设备的0扇区;当计算机从USB设备启动时,BIOS将加载程序读入内存执行;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在内存中修改读取的注册表信息和文件系统信息,把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入到Windows操作系统
3.如权利要求1所述的Windows环境下一种基于USB设备的硬盘写保护锁,其特征在于:所述的硬盘写保护锁程序存放在USB设备的隐藏扇区;它是一个工作在Windows操作系统内核的磁盘过滤驱动程序,监控Windows操作系统通过驱动程序读写目标硬盘;当Windows操作系统需要把数据写入目标硬盘时,硬盘写保护锁程序把写操作重定向到USB设备;当Windows操作系统需要读取被重定向到USB设备的数据时,硬盘写保护锁程序把读操作重定向到USB设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101198147A CN101373457B (zh) | 2007-07-31 | 2007-07-31 | Windows环境下一种基于USB设备的硬盘写保护锁的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101198147A CN101373457B (zh) | 2007-07-31 | 2007-07-31 | Windows环境下一种基于USB设备的硬盘写保护锁的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101373457A true CN101373457A (zh) | 2009-02-25 |
| CN101373457B CN101373457B (zh) | 2010-04-14 |
Family
ID=40447628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101198147A Expired - Fee Related CN101373457B (zh) | 2007-07-31 | 2007-07-31 | Windows环境下一种基于USB设备的硬盘写保护锁的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101373457B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101976180A (zh) * | 2010-09-03 | 2011-02-16 | 北京思创银联科技有限公司 | 本地磁盘屏蔽方法 |
| CN102033822A (zh) * | 2010-12-01 | 2011-04-27 | 北京同有飞骥科技股份有限公司 | 一种存储操作系统与硬件系统的绑定方法 |
| CN103136487A (zh) * | 2013-03-26 | 2013-06-05 | 厦门市美亚柏科信息股份有限公司 | 一种管理硬盘隐藏区中数据的方法、装置及系统 |
| CN110851880A (zh) * | 2019-10-16 | 2020-02-28 | 昆明灵智科技有限公司 | 一种电脑数据安全控制系统 |
| CN110990832A (zh) * | 2018-10-02 | 2020-04-10 | 智微科技股份有限公司 | 数据保护方法以及相关储存装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100389409C (zh) * | 2004-10-14 | 2008-05-21 | 苏州超锐微电子有限公司 | 一种利用加密主分区表实现硬盘保护的方法 |
| CN100378689C (zh) * | 2005-06-06 | 2008-04-02 | 付爱香 | 一种计算机数据的加密保护及读写控制方法 |
| WO2007014496A1 (fr) * | 2005-08-04 | 2007-02-08 | Jianyong Guo | Disque dur portable dédié au stockage et au cryptage de données audio et vidéo et procédé de cryptage afférent |
-
2007
- 2007-07-31 CN CN2007101198147A patent/CN101373457B/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101976180A (zh) * | 2010-09-03 | 2011-02-16 | 北京思创银联科技有限公司 | 本地磁盘屏蔽方法 |
| CN102033822A (zh) * | 2010-12-01 | 2011-04-27 | 北京同有飞骥科技股份有限公司 | 一种存储操作系统与硬件系统的绑定方法 |
| CN102033822B (zh) * | 2010-12-01 | 2012-07-25 | 北京同有飞骥科技股份有限公司 | 一种存储操作系统与硬件系统的绑定方法 |
| CN103136487A (zh) * | 2013-03-26 | 2013-06-05 | 厦门市美亚柏科信息股份有限公司 | 一种管理硬盘隐藏区中数据的方法、装置及系统 |
| CN103136487B (zh) * | 2013-03-26 | 2016-05-25 | 厦门市美亚柏科信息股份有限公司 | 一种管理硬盘隐藏区中数据的方法、装置及系统 |
| CN110990832A (zh) * | 2018-10-02 | 2020-04-10 | 智微科技股份有限公司 | 数据保护方法以及相关储存装置 |
| CN110851880A (zh) * | 2019-10-16 | 2020-02-28 | 昆明灵智科技有限公司 | 一种电脑数据安全控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101373457B (zh) | 2010-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7032107B2 (en) | Virtual partition for recording and restoring computer data files | |
| US20140351815A1 (en) | Systems and methods to load applications and application data into a virtual machine using hypervisor-attached volumes | |
| US7366887B2 (en) | System and method for loading programs from HDD independent of operating system | |
| US6915420B2 (en) | Method for creating and protecting a back-up operating system within existing storage that is not hidden during operation | |
| US8286158B2 (en) | Method and system for installing portable executable applications | |
| EP2705422B1 (en) | Dynamically redirecting boot to another operating system | |
| CN100573480C (zh) | 一种磁盘数据保护方法和系统 | |
| US20100241815A1 (en) | Hybrid Storage Device | |
| CN101373457B (zh) | Windows环境下一种基于USB设备的硬盘写保护锁的方法 | |
| CN100507850C (zh) | 一种借助USB设备启动在Windows操作系统中嵌入内核驱动程序的方法 | |
| US20080162916A1 (en) | Portable Multi-Platform Booting | |
| CN1755628B (zh) | 操作系统启动过程中自动安装软件的方法 | |
| CN101236498B (zh) | 一种借助PCI卡启动在Windows操作系统中嵌入内核驱动程序的方法 | |
| CN100514305C (zh) | 实现操作系统安全控制的系统及方法 | |
| CN101236533B (zh) | Windows环境下一种基于PCI卡实现硬盘写保护锁的方法 | |
| US20060080540A1 (en) | Removable/detachable operating system | |
| CN101788913B (zh) | 具有内建双可被隐藏操作装置的计算机系统 | |
| US20060080518A1 (en) | Method for securing computers from malicious code attacks | |
| CN1818824A (zh) | 一种可靠性高的个人计算机及操作系统 | |
| CN102222185B (zh) | 一种避免操作系统启动文件被感染的方法 | |
| KR101120956B1 (ko) | 휴대용 멀티-플랫폼 부팅시스템과 아키텍쳐 | |
| CN100424652C (zh) | 一种基于嵌入式操作系统的硬盘自恢复保护方法 | |
| CN100392593C (zh) | 一种保护硬盘末尾分区的方法 | |
| US20070240153A1 (en) | System and method for installing hypervisor after user operating system has been installed and loaded | |
| CN101236500B (zh) | 一种借助光盘启动在Windows操作系统中嵌入内核驱动程序的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100414 Termination date: 20100731 |