JP4228037B2 - Method and apparatus for controlling access and modification of information stored in a storage medium in a computer system - Google Patents

Method and apparatus for controlling access and modification of information stored in a storage medium in a computer system Download PDF

Info

Publication number
JP4228037B2
JP4228037B2 JP23494597A JP23494597A JP4228037B2 JP 4228037 B2 JP4228037 B2 JP 4228037B2 JP 23494597 A JP23494597 A JP 23494597A JP 23494597 A JP23494597 A JP 23494597A JP 4228037 B2 JP4228037 B2 JP 4228037B2
Authority
JP
Japan
Prior art keywords
partition
information
storage medium
wmr
write
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP23494597A
Other languages
Japanese (ja)
Other versions
JPH1173311A (en
Inventor
ジャクソン ホワイト ノーマン
ロッブ デビッド
キリアン リジナルド
Original Assignee
シルコン リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シルコン リミテッド filed Critical シルコン リミテッド
Priority to JP23494597A priority Critical patent/JP4228037B2/en
Publication of JPH1173311A publication Critical patent/JPH1173311A/en
Application granted granted Critical
Publication of JP4228037B2 publication Critical patent/JP4228037B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明が属する技術分野】
本発明は、コンピュータ・システムにおける情報に対するアクセス及びその汚損を制御する方法及び装置に関する。
【0002】
【従来の技術】
本発明者によるPCT/GB91/00261(WO91/13403)(ここではその内容を引用により関連させる。)も特にコンピュータ・システム内の「ウイルス」プログラムのような敵対的なプログラムの検出及び包含に関する方法及び装置を開示している。この文書では、
記憶媒体に記憶された情報をブート・パーティション及び複数の一般パーティションを含む重複しない複数のパーティションに分割すると共に、各パーティションが更に複数のセクタに分割され、前記コンピュータ・システムが使用中の与えられた時点で、前記一般パーティションの指定された任意のサブセットが活性である
コンピュータ・システムの一部を形成する記憶媒体に記憶した情報に対するアクセス及び変更を制御する方法(及び関連する装置)において、
前記コンピュータ・システムの中央処理装置(CPU)から独立し、かつユーザにアクセス不能にされて、前セクタ内に記憶された情報の型式、及び前記セクタが配置されているパーティションの型式及びステータスに特に従って動作を規制又は阻止ができるように、前記記憶媒体上に記憶された情報に基づく読み出し、書き込み及びフォーマット動作の実行を制御する管理手段(スーパバイザ)を備え、
前記管理手段は、禁止された読み出し、書き込み又はフォーマット動作を実行するために試行したのであれば、前記コンピュータ・システムのリセットを要求させ、前記リセットがメモリをクリアさせ、かつオペレーティング・システムをロードさせることにより特徴付けられた
方法(及び関連する装置)が開示されている。
【0003】
PCT/GB91/00261において開示された発明において、ブート・パーティションは、システムがスーパバイズド・モードのときに、「読み出し専用」となる。これは、DOSユティリティ及びプログラムが自己変更するものでない限り、これらの実行を許可している間のウイルスによる攻撃を阻止している。
【0004】
【発明が解決しようとする課題】
PCT/GB91/00261によるウイルス隔離の概念以後、PCオペレーティング・システムに対する変更及び改良がなされた。これらはウイルス隔離発明の範囲に一定の限界が存在する。例えば、
(1)マイクロソフト・ウィンドウズは、厳密には自己変更するものでなくとも、ウィンドウズ・ディレクトリ内に置かれた一定の複数ファイルを書き込めることを必要とする。
(2)システム・アドミニストレータは、それが自己変更であることを認識することなく、ブート・パーティションに実行可能な内容をインストールできる。このように実行可能な内容がブート・パーティションにインストールされると、このプログラムの自己変更は、システムがスーパバイズド・モードのときに試行され、スーパバイザは書き込み試行を阻止し、かつシステムを凍結させる。
(3)マイクロソフト・ウィンドウズの仮想メモリ・マネジャーはウィンドウズのディレクトリ及びブート・パーティションのルート・ディレクトリのうちのいずれか、又は両方に対する書き込みアクセスを必要とすることがある。
(4)ネットワーク・ソフトウェアはブート・パーティションに対するアクセスを必要とすることがある。
(5)一般に、複雑なオペレーティング・システムにより、ブート・パーティションを「読み出し専用」にすることは限定的であり、互換性をなくし、かつ高い管理オーバヘッドの原因となり得る。
【0005】
【課題を解決するための手段】
本発明の目的は、前述の問題を除去又は軽減することである。
【0006】
本発明の第1の特徴によれば、
コンピュータ・システムの一部を形成する記憶媒体に記憶したアクセス及び変更を制御する方法であって、
記憶媒体に記憶された情報をブート・パーティション及び少なくとも一つの一般パーティションを含む重複しない複数のパーティションに分割することを含む方法において、
前記パーティションのうちの一つを多数回復可能書き込み(Write Many Recoverble:WMR)に指定し、もし書き込みコマンドが更新情報により、一つの又は前記WMRパーティションに記憶されている残留情報に重ね書きするように発行されたときは、残りのセッション中の要求に従って前記更新情報をアクセスできるように、前記又は任意の残留情報が記憶され、かつ前記更新情報に対する(仮想)ポインタが設定又は保持されている位置以外の位置に、前記更新情報を書き込むことを特徴とする
コンピュータ・システムの一部分を形成する記憶媒体に記憶したアクセス及び変更を制御する方法が提供される。
【0007】
システム・リセットが前記更新情報をこの情報に対するポインタのリストと共にクリアさせる。これは非スーパバイズド・モードにより構築された際にWMRパーティションをそのオリジナルの状態に戻す。
【0008】
このようにWMRパーティションが最初にウイルス・フリーであるとすれば、WMRパーティションは各新しいセッションの開始でウイルス・フリーとなる。
【0009】
前記記憶媒体上のブート・パーティションは、好ましくは、被保護WMRとなる。一般パーティションは、ユーザがこれを要求するのであれば、被保護WMRともなり得る。
【0010】
これを達成するために本発明の第1の特徴による方法の基本は、WMRパーティションに記憶されたオリジナルの情報を変更することなく、保持する機構を設定することであり、かつ通常これに重ね書きするデータが残りのセッション中に必要に従って、アクセスすることができる前記記憶媒体上のどこかに安全に記憶される。前記機構は、最小の付加的なメモリ空間及びスループット時間における最小の短縮と同時に、最大の安全性を提供する観点から、どのようにしてこれを効率的に行うのかを定義するものである。
【0011】
本発明の第1の特徴による方法によれば、好ましくは、前記コンピュータ・システムの中央処理装置(CPU)から独立し、かつそのユーザにアクセス不能にされたスーパバイザ手段(スーパバイザ)が設けられ、
前記管理手段は、セクタから読み出されるか又はセクタに書き込まれる情報がオペレーティング・システム情報であるか又はユーザ情報であるか、前記セクタが前記ブート・パーティションであるか又は一般パーティションであるか、及び前記パーティションは活性であるか又は不活性であるかに従って、前記記憶媒体上での読み出し/書き込み動作を許可し/規制し/禁止し、
前記管理手段は、活性な一般パーティション上でのみのフォーマット動作を許可し、かつ前記ブート・パーティション上で又は不活性な一般パーティション上でフォーマット動作を禁止し、
かつ、禁止された読み出し、書き込み又はフォーマット動作を実行したときはユーザに警告を発生させる。
【0012】
空間は、好ましくは、専用領域2と呼ばれるスーパバイザによってのみアクセス可能される前記記憶媒体上の確保する。この専用領域は特殊パーティション、WMRパーティション内のある範囲のセクタ、又は休止パーティション内の未割り付けセクタであってもよい。
【0013】
各WMRパーティションは、これに関連したセクタ再割り付けテーブル(SRT)を有し、前記テーブルを前記スーパバイザのランダム・アクセス・メモリ(RAM)に保持し、SRTにおける各エントリは更新されたWMRパーティションにおけるある範囲のセクタのアドレスと、前記更新情報が位置するアドレスと、前記更新情報を位置決めするアドレスとを定義し、その位置が前記専用領域内にある。
【0014】
本発明の第2の特徴によれば、コンピュータ・システムの記憶媒体に記憶された情報に対するアクセス及び変更を制御する装置が設けられ、前記記憶媒体はブート・パーティション及び少なくとも一つの一般パーティションを含む複数の非重複パーティションに分割された装置において、
前記パーティションのうちの少なくとも一つは多数回復可能書き込み(WMR)を備え、使用中に、もし書き込みコマンドが前記WMRパーティションに記憶されている任意の情報に重ね書き(更新)するように発行されたときは、残りのセッション中の要求に従って前記更新情報をアクセスするように、前記更新情報を前記記憶媒体上の他の位置に記憶し、かつ前記更新情報に対するポインタを保持し、システム・リセットは前記更新情報を前記更新情報に対するポインタのリストと共にクリアさせ、従って非スーパバイズド・モードにより構築された際にWMRパーティションをそのオリジナルの状態に戻す装置が提供される。
【0015】
前記装置は、好ましくは、前記コンピュータ・システムの中央処理装置(CPU)から独立し、かつユーザにアクセス不能にされたスーパバイザ手段(スーパバイザ)を備え、
前記管理手段は、セクタから読み出される又はセクタに書き込まれる情報がオペレーティング・システム情報であるか又はユーザ情報であるか、前記セクタが前記ブート・パーティションであるか又は一般パーティションであるか、及びもし前記パーティションが一般パーティションであれば、前記パーティションは活性であるか又は不活性であるかに従って、前記記憶媒体上での読み出し及び書き込み動作を許可し、規制し、又は禁止し、
前記管理手段は、更に、活性となる一般パーティション上のみでのフォーマット動作を許可し、かつ前記ブート・パーティション上又は不活性な一般パーティション上でのフォーマット動作を禁止し、
前記監視手段は、禁止された読み出し、書き込み又はフォーマット動作であって、前記スーパバイザにより阻止されている前記動作を実行するために試行したのであれば、ユーザに警告を発生させる。
【0016】
本発明の第3の特徴によれば、コンピュータ・システムの一部を形成する記憶媒体上に記憶された情報に対するアクセス及び変更を制御する方法であって、
前記記憶媒体上に記憶された情報をブート・パーティション及び少なくとも一つの一般パーティションを含む複数の非重複パーティションに分割する方法において、
前記パーティションのうちの少なくとも一つを多数回復可能書き込み(WMR)に指定し、使用中に、もし書き込みコマンドを実行する前に、前記書き込みコマンドがある又は前記WMRパーティションに記憶されている任意の情報に重ね書きするように発行された場合に、要求されたとき、例えばシステム・リセットのときに、前記情報を前記記憶媒体上の他の位置にコピーすると共に記憶して前記WMRパーティションにコピーして復帰させる方法が提供される。
【0017】
本発明の第3の特徴によれば、セッション中は制限なしに、ブート・パーティションのような前の「読み出し専用」パーティションに書き込みが許可されることは、明らかである。しかし、新しいセッションの開始時に、パーティションに対する全変更を行わず、パーティションはそのオリジナルの状態に復帰させる。従って、このパーティションを多数回復可能書き込み(WMR)パーティションと呼んでもよい。このようにパーティションがウイルス・フリーで開始する限り、新しいそれぞれのセッションの開始でウイルス・フリーとなる。
【0018】
これを達成するために本発明の第3の特徴の方法における基本は、重ね書きされるべきWMRパーティションにおける任意の「クラスタ」のコピーも前記記憶媒体上のどこかに安全に記憶され、かつ必要なときはコピーにより戻すことができる構成が設定される。この構成は、最小の付加的なメモリ空間及びスループット時間における最小の短縮と同時に、最大の安全を提供する観点においてどのようにしてこれを効率的に行うのかを定義する。
【0019】
本発明の第3の特徴の方法によれば、好ましくは、前記コンピュータ・システムの中央処理装置(CPU)から独立して、セクタ内に記憶された情報の型式、及び前記セクタが配置されている前記パーティションの型式及びステータスに従って動作を許可する、規制する又は阻止するように、前記記憶媒体に記憶された情報に基づく読み出し、書き込み及びフォーマット動作の実行を制御する管理手段(スーパバイザ)が提供され、
前記監視手段は、禁止された読み出し、書き込み又はフォーマット動作を実行するために試行したのであれば、前記コンピュータ・システムのリセットを要求させて、前記リセットはメモリをクリアさせ、かつオペレーティング・システムをロードさせる方法が提供される。
【0020】
前記記憶媒体は、特殊パーティション(ウイルス隔離空間)を備え、各WMRパーティションはファイル割り付けテーブル(FAT)が割り付けられ、このテーブルは前記特殊パーティションに保持され、FATにおける各エントリは前記WMRパーティションにおいて変更されたクラスタのアドレス、及び前記クラスタにオリジナルに保持された前記情報のコピーの前記アドレスを定義する。
【0021】
前記クラスタにオリジナル保持された情報は前記特殊パーティションにコピーされてもよい。
【0022】
代わって、前記クラスタにオリジナルに保持された前記情報は不活性パーティションにコピーされてもよい。
【0023】
本発明の第4の特徴によれば、コンピュータ・システムの記憶媒体に記憶された情報に対するアクセス及び変更を制御する装置であって、前記記憶媒体はブート・パーティション及び少なくとも一つの一般パーティションを含む複数の非重複パーティションに分割されている装置において、
前記パーティションのうちの少なくとも一つは多数回復可能書き込み(WMR)パーティションを備え、使用において、もし書き込みコマンドが前記書き込みコマンドを実行する前に、一つの又は前記WMRパーティションに記憶された任意の情報を重ね書きするように発行されたときは、前記情報はコピーされると共に前記記憶媒体のどこかに記憶されて、必要なときに、例えばシステム・リセットにより、前記WMRパーティションにコピーにより戻される装置が提供される。
【0024】
更に、前記装置は、好ましくは、前記コンピュータ・システムの中央処理装置(CPU)から独立し、セクタ内に記憶された情報の型式、前記セクタが配置されている前記パーティションの型式及びステータスに従って動作を許可する、規制する又は阻止するように、前記記憶媒体上に記憶された読み出し、書き込み又はフォーマット動作の実行を制御する監視手段(スーパバイザ)を備え、使用において、前記監視手段は、禁止された読み出し、書き込み又はフォーマット動作を実行するために試行されたならば、前記コンピュータ・システムのリセットを要求させる。
【0025】
本発明の特徴による以上の方法のうちのいずれかにより、読み出し動作が前記ブート・パーティションにおける任意の情報について許可され、前記ブート・パーティションに対する書き込み又はフォーマットの試行がシステム・リセットを発生させることができる。
【0026】
更に、前記記憶媒体の複数のセクタは、前記記憶媒体のオペレーティング・システムにより定義される前記ブート・パーティションの開始セクタの位置に無関係に、前記ブート・パーティションの一部であるとみなしてもよい。
【0027】
また、活性な一般パーティションにおける任意のオペレーティング・システム情報セクタ又はユーザ発生の情報セクタの読み出しが許可され、このようなユーザ発生の情報セクタに対する書き込みが許可され、かつこのようなオペレーティング・システムの情報セクタに対する書き込みが前記パーティションの大きさ及び境界を変更するための試行がシステム・リセットを発生させるように、規制されてもよい。
【0028】
不活性な一般パーティションのオペレーティング・システム・セクタから情報を読み出すことのみが許可され、このようなパーティション上の他の読み出し、書き込み又はフォーマット動作を実行するための試行は、否定できるようにされる、又はシステム・リセットを発生させてもよい。
【0029】
読み出し、書き込み及びフォーマット動作の実行の規制又は阻止は、記憶媒体のセット・アップ又は保守できるように解除され、かつその後に再復帰にさせることができる。
【0030】
前記記憶媒体はハード・ディスク、フロッピー・ディスク、光ディスク又はテープのうちの一つから選択されてもよい。
【0031】
代わって、記憶媒体はファイルサーバであってもよく、前記コンピュータ・システムはローカル・エリア・ネットワークであり、かつユーザ・コンピュータが禁止された動作を実行するための試行が前記ユーザ・コンピュータのリセットを発生させるように、そのユーザ・コンピュータが前記ファイルサーバのどのパーティションを決定できるのかを使用している。
【0032】
本発明の以上の特徴のいずれかにより、前記装置は前記コンピュータ・システムに関連するように適応されたハードウエア手段を備えてもよい。
【0033】
代わって、前記装置は前記コンピュータ・システムに関連するように適応されたハードウエア手段を備えてもよい。
【0034】
代わって、前記装置は前記コンピュータ・システムに関連するように適応されたハードウエア手段とファームウエアとの組み合わせを提供することができる。
【0035】
ユーザ及びどのようなウイルスにもアクセス不能にされ、かつ前記記憶媒体又はその制御のもとに置かれた記憶媒体の副分割の間及び内における全てのデータ転送を監視するプロセッサを提供することもできる。
【0036】
ここで、添付図面を参照して本発明の実施例を単なる例として説明する。
【0037】
【発明の実施の形態】
本発明のセット・アップ及び動作は、含まれている種々の動作段階を説明することにより最も良く理解される。以下説明する本発明の実施例は、便宜的に、PCT/GB/00261において既に開示された型式のスーパバイザを含む。従って、ここでのPCT/GB/00261(WO91/13403)は引用により関連される。
【0038】
まず図1及び図2の第1の実施例を参照する。
【0039】
1.1 初期接続
記憶媒体1(例えばハード・ディスク)は、まずコンピュータ・システム(図示なし)に接続され、記憶媒体1上でユーザにアクセス不能な、即ち専用領域である空間が予約されている。
【0040】
パスワードが入力されて専用領域2にか又はスーパバイザ・フラッシュROM(図4、13)に記憶される。このパスワードは後でコンピュータ・システムをアンスーパバイズド・モードに設定できるようにするために用いられる。
【0041】
1.2 アンスーパバイズド・モード
このモードに入るためには、アンスーパバイズド・モード・パスワードの使用が必要である(参照文献PCT/GB/00261)。コンピュータ・システムがこのモードにあるときは、ユーザによりデフォールト・パーティション機構が再構築し得ても、これが提供される。
【0042】
(a)デフォールト機構は、典型的には、以下のパーティション型式:読み出し専用(RO)、多数回復可能書き込み(WMR)3及び「一般」4からなる。一般パーティションは、単なるRO又はWMRパーティション、及び書き込み得るもの以外のパーティションである。一般パーティションは、要するに、RO若しくはWMRパーティション、及び書き込みできるもの以外のパーティションである。各WMRパーティションはこれに関連され、スーパバイザRAM(図4、14)に保持されるセクタ再配置テーブル(WMR−SRT)を有する。使用において、WMR−SRTにおける各エントリは、WMRパーティション内におけるセクタ範囲のアドレスを定義し、かつ更新されたセクタの前記範囲に対するポインタを含む。各パーティションは一般パーティションに基づいたデフォールト・パーティション型式が割り付けられてもよい。例えば、パーティションC=WMR;パーティションD=RO;その他の全パーティション=一般;これらのパーティション・ラベルにより与えられるパーティション記述子。
【0043】
(b)ユーザはその内容を定義する各パーティションに対する記述ストリングを定義することができる。
【0044】
(c)本発明は、ユーザが(a)及び(b)を改定したい、及びパーティションを付加したい、パーティション境界を変更したい、及び各パーティションに対するパーティション型式を定義したいのであれば、ユーザを許可する。
【0045】
1.3.スーパバイズド・モード
(a)スーパバイズド・モードにおけるセッションの終りでユーザが電源を断にすると、WRM−STRが無視され、更新されたセクタに対する全てのポインタを除去することは重要なことである。空のWRM−STRはWMRパーティションをそのオリジナルの状態に復帰させる。これは、コンピュータ・システムがアンスーパバイズド・モードにあったときに、最後の変更を実行した後のWMRパーティション状態を反映している。
【0046】
(b)WRM−STRは使用のためにレディー(準備完了状態)に初期化される。
【0047】
(c)パーティション境界及びパーティション数は、専用領域2か又はスーパバイザ・フラッシュ読み出し専用メモリ(図4、13)に記憶されているテーブルに対してチェックされる。アンスーパバイズド・モードにおいて、ユーザがこのテーブルを再構築することなくパーティションの構成を変更したときは、これを修正するまで、スーパバイズド・モードを拒絶することができる。代わって、ユーザがスーパバイズド・モードに入る度に、ユーザの介入を必要とすることない機構を用いて、テーブルを発生させることができる。
【0048】
(d)ユーザは一般パーティションのリストから通常の読み出し及び書き込みのためにパーティションを選択するようにプロンプトされる。これはオペレーティング・システム及び記憶媒体1の動作の前に実行される。選択されたパーティションは「活性パーティション」として定義され、かつ残りの一般パーティションは「休止」パーティションと定義される。活性パーティションは、セッションが終了するまで、活性であり続ける。新しいセッションは、ユーザがコンピュータ・システムをリセットし、システムRAMをクリアすることにより、スーパバイズド・モードに再び入れば、再スタート可能にされる。
【0049】
(e)セッションの開始で以上に対する更新として、ユーザはユーザ名、又は専用領域2におけるデータと比較できるパスワードを提供するようにプロンプトされてもよい。その際に、ユーザは活性パーティションを選択できる一般パーティションのサブセットに規制されてもよい。
【0050】
(f)ユーザは全てのWMR及びROパーティション(勿論、選択された活性パーティション)に対して完全なアクセスが与えられている。
【0051】
4.WMRパーティションに対するアクセス
既に述べたように、WRM−STRは、各WMRパーティション3について定義され、かつ専用領域2に記憶されていた。
【0052】
(a)本発明の動作中に、WMRパーティション3におけるセクタの範囲は、更新する必要があるものであってもよい。これが発生すると、スーパバイザ(図示なし)は、更新されるべきセクタの範囲を定義し、かつ前記更新したセクタを書き込む(専用領域における)位置に対するポインタをセットしたWRM−STRにおけるエントリを発生する。変更されていないオリジナルのセクタは、そのオリジナルの位置にある。
【0053】
(b)更新されたセクタは専用領域内の記憶媒体におけるどこかに記憶されてもよい。この専用領域は特殊パーティションであってもよい。代わって、専用領域は休止パーティション内に配置されていてもよい。セッション中はユーザが休止パーティションをアクセスすることはできないので、新しいセッションが開始される前に解除することができる未割り付けセクタを使用するのが安全である。これを図1に示す。
【0054】
(c)スーパバイザは、WMRパーティション3に書き込むために要求を出すときは、図2に示すフローチャートに従う。
【0055】
(d)スーパバイザは、WMRパーティション3から読み出すために要求を出すときは、図2に示すフローチャートに従う。
【0056】
(e)前記パーティションに対する書き込み動作がその書き込み動作を完了させる前に、オリジナルのセクタを安全位置にコピーさせるWMRパーティションを実行する他の機構が可能である。各セッションの開始で、オリジナルのセクタがWMRパーティション内のオリジナルの位置にコピーにより戻され、前記パーティションをそのオリジナルの状態に復帰させる。
【0057】
ここで、図4及び図5の第2の実施例に戻る。
【0058】
2.1.初期接続
記憶媒体101(例えばハード・ディスク)がまずコンピュータ・システム(図示なし)に接続されると、ユーザにアクセス不能となる空間が記憶媒体101上に予約される。この空間は特殊パーティションであり、これをウイルス隔離空間102と呼ぶことができる。
【0059】
パスワードがウイルス隔離空間2に入力されて記憶される。このパスワードは後にコンピュータ・システムをアンスーパバイズド・モードに設定させるために使用される。
【0060】
2.2 アンスーパバイズド・モード
このモードはアンスーパバイズド・モードのパスワードを必要とする(参照文献PCT/GB/00261)。システムがこのモードにあるときは、ユーザはコンピュータ・システム及びウイルス隔離空間102の両方を構築することができる。
【0061】
(a)ユーザは、各パーティションに対して、そのパーティションを読み出し専用(RO)(図示なし)にするのか、多数回復可能書き込み(WMR)103にするのか、又は「通常」104にするのかを定義することができる。一般パーティションは、単純にRO又はWMRパーティション以外のパーティション、及び書き込みができるものである。各WMRパーティションは、これに割り付けられ、ウイルス隔離空間102に保持されるファイル割り付けテーブル(WMR−FAT)を有する。使用において、WMR−FATにおけるエントリはウイルス隔離空間102に保持される。使用において、WMR−FATにおける各エントリはWMRパーティション内で変更されたクラスタのアドレスを定義し、かつ変更されていないオリジナルのクラスタのコピーに対するポインタを含む。
【0062】
(b)ユーザは各パーティション用の記述ストリングを定義して、その内容を定義することができる。
【0063】
(c)パーティションが付加された、又は境界が変更されたときは、ユーザは(a)及び(b)を改定することができる。ユーザがコンピュータ・システムによりこれを実行するように強制されないときは、「一般」ステータス及び「パーティション104’」のようなデフォールトが採用される。
【0064】
一般的な一定のガイドラインが設けられているのであれば、機構はユーザの介入なしに作動するので、必要される正確なハウスキーピングは定義する必要はない。例えば、パーティションC=WMR;他の全てのパーティション=通常;これらのドライブ文字により与えられたパーティション記述子。
【0065】
2.3 スーパバイズド・モード
(a)全てのWMRパーティション103は、ウイルス隔離空間102におけるWMR−FATを参照することにより、それらのオリジナルの状態に復帰される。これは、整合性のために、アンスーパバイズド・モードに入ったときにも発生する。
【0066】
各WMR−FATエントリはWMRパーティション102内の変更クラスタ(即ちそのアドレス)に対するポインタ、及びオリジナルのクラスタのコピーに対するポインタを含む。従って、各セッションの開始において、以下の手順は、全てWMRパーティション102を復帰させるために必要とされるものである。
各WMR−FATエントリに対して:
−オリジナルのクラスタをWMRパーティション102における位置にコピーする(図1に示すように、クラスタ「X」をクラスタ「A」にコピーする)。
−WMR−FATエントリを削除する。
(注:このシーケンス中の電源断又はシステム・クラッシュは、手順を反復させる必要があるかも知れないが、オリジナルのWMRパーティションを復帰させる機能には影響しない。)
【0067】
(b)WMR−FAT(又は複数のWMR−FAT)は初期化されて使用レディーとなる。
【0068】
(c)パーティション境界及びパーティション数はウイルス隔離空間102に記憶されたテーブルに対してチェックさせる。アンスーパバイズド・モードにおいて、ユーザがウイルス隔離空間102を再構成することなく、パーティションの構成を変更したときは、これを修正するまで、スーパバイズド・モードを拒絶することができる。
【0069】
(d)ユーザは一般パーティションのリストから通常の読み出し及び書き込みのためにパーティションを選択するようにプロンプトされる。これはオペレーティング・システム及び記憶媒体101の動作の前に実行される。選択されたパーティションは「活性パーティション」として定義され、かつ残りの通常パーティションは「休止」パーティションと定義される。活性パーティションは、セッションが終了するまで、活性であり続ける。新しいセッションは、ユーザがシステムRAMをクリアし、コンピュータ・システムをリセットすることにより、スーパバイズド・モードに再び入ると、再スタート可能にされる。
【0070】
(e)セッションの開始で以上に対する更新として、ユーザはユーザ名、又は専用領域102におけるデータと比較できるユーザ名又はパスワードを提供するようにプロンプトされてもよい。そのときに、ユーザは活性パーティションを選択し得る通常パーティションのサブセットに規制されてもよい。
【0071】
(f)ユーザは全てのWMR及びROパーティション(勿論、選択された活性パーティション)に対して完全なアクセスが与えられている。
【0072】
4.WMRパーティションに対するアクセス
既に述べたように、WRM−STRは、各WMRパーティション103について定義され、かつ専用領域102に記憶されていた。
【0073】
(a)本発明の動作中に、WMRパーティション103におけるクラスタは、更新が必要されるものでもよい。これが発生すると、スーパバイザ(図示なし)は、更新しようとするクラスタを定義し、かつ前記オリジナルのコピーに対するポインタを有するWRM−STRにおけるエントリを発生する。
【0074】
(b)オリジナルのクラスタのコピーは記憶媒体におけるどこかに記憶されてもよい。例えば、これは特殊パーティション又はウイルス隔離空間102における領域のようにその目的のために予約された専用領域に記憶されてもよい。代わって、オリジナル・クラスタは休止パーティション内の一時的な空間に見い出すことができる。セッション中にユーザ(従ってウイルス)が休止パーティションをアクセスすることはできないので、オリジナル・クラスタが安全であり、かつ新しいセッションが開始される前に解除されてもよい。これを図1に示す。
【0075】
(c)スーパバイザは、WMRパーティション103に書き込み要求が出されると、図2に示すフローチャートに従う。
【0076】
ここで図6を参照すると、本発明の実施例において用いるスーパバイザの第1の実施例を実行するのに適したハードウエア構成のブロック図が示されている。このスーパバイザはパーソナル・コンピュータ(PC)等のマザー・ボードに対する典型的なバス・インターフェイス7と、各セッションの開始時にモード・エントリを制御するように適当なBIOS(基本入出力システム)を含む読み出し専用メモリ(ROM)とを備えている。
【0077】
スーパバイザはPCのディスク・インターフェイスとディスク・ドライブとの間に存在するように設計される。PCはその集積デバイス・エレクトロニックス(IDE)バスからリボン・ケーブル201を介してスーパバイザに接続される。次いで、スーパバイザは、IDEバスとしても機能する第2のリボン・ケーブル202を介してディスク・ドライブと接続される。PCとハード・ディスクとの間の全ての通信は、スーパバイザにより制御される。
【0078】
スーパバイザ・ハードウエアは、マイクロプロセッサ216と、スーパバイザ・オペレーティング・システム及び制御プログラムを保持している読み出し専用メモリ(ROM)213と、パラメータ及びWRM−SRT(又は複数のSRT)を保持するために用いられるスクラッチ・メモリであるランダム・アクセス・メモリ(RAM214)とを備えている。
【0079】
二重ポートRAM210は、PC及びスーパバイザ・プロセッサの両者がアクセスすることができるメモリを備えている。スーパバイザはIDEタスク・レジスタを反映させるためにこのメモリを用いてもよい。
【0080】
トランシーバ206、209及びマルチプレクサ205は、PC又はスーパバイザ・プロセッサにディスク・ドライブをアクセスするのを許可する。スーパバイザは、これらのうちのいずれがアクセスを有するのかを制御する。ラッチ207、208は、8ビット・バスを有するスーパバイザにディスク・ドライブから16ビット値を読み出せるように、かつ書き込めるようにする。
【0081】
ロジック・ブロック212はスーパバイザ・プロセッサにより書き込み可能とされるラッチを含む。このラッチの値はPCインターフェイス・アッパー・アドレス・バスと比較され、またBIOS211はこれらが一致したときにのみ、イネーブルにされる。これはBIOSをスーパバイザを介して構築させ、最低メガバイトのPCアドレス空間における任意の位置に出現させる。
【0082】
ロジック・ブロック215は、ROM213、RAM214及び二重ポートRAM210をスーパバイザ・プロセッサ・アドレス空間にマップさせる。このロジック・ブロック215は、更に、ラッチ207、208及びロジック・ブロック212内に対するアクセスも制御している。
【0083】
ロジック・ブロック204は、PCとディスク・ドライブとの間を通過する制御信号が正しくバッファされ、かつスーパバイザ・プロセッサがディスク・ドライブに接続されているときに、これらの制御信号を禁止するのを保証している。
【0084】
ロジック・ブロック203は、PCとディスク・ドライブとの間の通信がスーパバイザの制御に従うことを保証している。これはディスク・ドライブ上のタスク・ファイル・レジスタに対する読み出しコマンド及び書き込みコマンドを監視すると共に制御する。スーパバイザ・プロセッサは試行している臨界的な動作を認識するようにされて、動作が進行しているか、阻止されているか、又は要求が変化したかを制御している。これは、読み出し制御信号及び書き込み制御信号と共に、PCアドレス・ラインをデコードすることにより実行される。一定の読み出し及び書き込みの試行により、スーパバイザ・プロセッサの割り込みを発生させることになる。そこで、スーパバイザは変化に基づいて作動する。複数のディスク・ドライブ割り込みは、まずスーパバイザ・プロセッサに導かれて、そこで必要によりPCに転送することもできる。
【0085】
スーパバイザ・プロセッサ2
16は内蔵するROM213から実行可能なコードをフェッチすることのみが可能なので、図4を調べることによりウイルスがスーパバイザ・プロセッサ216を妨害することは決してあり得ないことが明確になる。
【0086】
ここでは図6に示すスーパバイザの実施例の更に詳細な説明はしないが、これは当該技術分野に習熟する者が通常に理解する範囲内にあるからである。
【0087】
ここで図7を参照すると、本発明の第2の実施例を実行するために適当なハードウエア構成のブロック図が示されている。このスーパバイザは、パーソナル・コンピュータ(PC)等のマザーボードに対する典型的なハード・ディスク・アダプタ・カード・インターフェイス310と、ハード・ディスクを動作させるために適当なBIOS(基本入出力システム)を含む読み出し専用メモリ(ROM)312と備えている。
【0088】
スーパバイザ・ハードウエアはマイクロプロセッサ314及びトランシーバ316を含み、PCが複数のディスク・ドライブのために直接的な選択、又はアービトレーションを行うこと、又はSCSIインターフェイス318を介してコマンドを発行することができないように、SCSI318に対するPC規制のアクセスを許可する。これらの動作は、ステータス入出力ポート320及び322を用いて、PCと双方向に通信するスーパバイザ・プロセッサ314によってのみ実行することができる。
【0089】
スーパバイザ・プロセッサ314とSCSIインターフェイス318との間の通信は第2のトランシーバ324の双方向ポートを介して行われる。スーパバイザは、更に、スーパバイザ・オペレーティング・システム及び制御プログラムを含む内蔵する読み出し専用メモリ(ROM)326と、パラメータを保持するために用いられるスクラッチ・メモリであるランダム・アクセス・メモリ(RAM)328とを備えている。リセット・ロジック330が更に設けられており、もしスーパバイザにより禁止されている動作を実行しようとしたときは、PCメモリをクリアするために用いられる。
【0090】
図8を参照すると、図7のものと同一番号による整数により、スーパバイザの実施例の概要ブロック図が示されている。
【0091】
更に、図8の実施例は、次の構成要素:ゲート・アレー・ロジック(GAL)デバイスG1〜G5;バッファB1、B2;及びフリップ・フロップ74、1(1)、74、1(2)及び74、2(2)を備えている。
【0092】
この構成要素の機能は次のようである。G1は、ROM BIOSをIBMメモリ・マップにマップさせ、更に、IBMデータ・バスに対するフリップ・フロップ74、2(2)の出力のトライステート接続を行う。
【0093】
G2は、IBMによるSCSIコントローラの内部レジスタのサブセットに対するアクセスを、これらをIBM I/O空間にマッピングすることにより行う。G2は、更に、SCSIコントローラへ又はからのデータ転送をするための疑似DMAデコーディング・ロジックとなり、かつフラグ即ちフリップ・フロップ74、2(2)及びP1をIBM I/O空間にマップさせる。
【0094】
G3は、スーパバイザ・バスとIBMアドレス・バスとの間をSCSIコントローラ・アドレス・バスへ多重化させる。
【0095】
G4は、スーパバイザ・バスとIBM制御ラインとの間をSCSIコントローラへ多重化させる。G4は、更に、トランシーバT1又はT2(両者ということは絶対ない)をイネーブルすると共に、IBMとSCSIコントローラとの間でのデータ転送中に可能ウエイト・ステート用のロジックを備えている。
【0096】
G5は、スーパバイザ入出力空間における全てのポート、即ちラッチP1、P2、SCSIリセット・ライン及びフリップ・フロップ74、1(2)及び74、2(2)をマップさせる。G5は、更に、ROMをスーパバイザ・メモリ・マップにマップさせ、フリップ・フロップ74、2(2)の出力をスーパバイザ・データ・バスへトライステート接続させる。
【0097】
バッファB1、B2は、IBMバックプレーンからの電流をアドレスIOR及びIOWラインのそれぞれのために流し込む唯一のゲートとなり得ることを保証している。
【0098】
フリップ・フロップ74、1(1)はクロック周波数を1/2に分周すると共にパルスを矩形波にする。SCSIコントローラに対してIBMが(規制された)アクセスを有するか、又はスーパバイザがアクセスを有するかは、フリップ・フロップ74、1(2)の出力による。
【0099】
フリップ・フロップ74、2(1)はSCSIデータ転送中のウエイト・ステート発生に関するタイミング形成の一部をなし、一方フリップ・フロップ74、2(2)は、データ・バイトがIBMから送出されたことを表すスーパバイザのアテンション用のフラグである。
【0100】
図4の実施例の構成要素は次のようである。GALのG1〜G5はSCSトムソンGAL16V8〜15ns型のものであり、フリップ・フロップ74、1(1)、74、1(2)、74、2(1)及び74、2(2)は74ALS74型のものであり、バッファB1、B2は74ALS244であり、ラッチP1、P2は74ALS73であり、トランシーバT1、T2は74F245であり、プロセッサ14はザイローグZ84C50(10MHz)であり、読み出し専用メモリ12は2764(8K×8)であり、SCSIコントローラ18はNCR5380である。
【0101】
スーパバイザ・マイクロプロセッサ314は内蔵するROM326から実行可能なコードをフェッチすることのみが可能なので、図8を調べることによりウイルスがスーパバイザ・プロセッサ314を妨害することは決してあり得ないことが明確となる。
【0102】
ここでは図8に示すスーパバイザの実施例の更に詳細に説明はしないが、これは当該技術分野に習熟する者が通常に理解する範囲内にあるからである。
【0103】
以上、本発明の実施例は単なる例として挙げたものであって、いずれにしろ本発明の範囲を限定することを意図するものではない。
【0104】
本発明は、記憶及びパフォーマンス・オーバーヘッドにほとんど影響することなく、これまで従来技術において顕著であった問題を除去しようとしていることを理解すべきである。本発明は「スーパバイズド」ユーザにブート・パーティションに対する完全な読み出し及び書き込みアクセスを可能にすると共に、コンピュータ・システム上で各セッション開始におけるブート・パーティションがクリーンなウイルス・フリーであり、かつ改変されていないことを保証している。これは、以上で概説した問題に対処すると共に、PCT/GB91/00261に開示された完全なウイルス防止の維持を可能にさせる。
【0105】
ユーザはセッション間での変化を維持したいとみなすことができる。その場合に、ユーザは、シャットダウンを行う前に、活性パーティションにおける変更ファイルを記憶するバッチ・ファイルを作成することができる。新しいセッションの開始において、これらのファイルはWMRパーティションにおけるオリジナルのものと置換することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施例において用いる記憶媒体の分割を示す概略図。
【図2】コンピュータ・システムが図1の実施例に用いた多数回復可能書き込み(WMR)パーティションに書き込みをしようとするときの事象のシーケンスを示すフローチャート。
【図3】コンピュータ・システムが多数回復可能書き込み(WMR)パーティションから読み出しをしようとするときの事象のシーケンスを示すフローチャート。
【図4】本発明において用いる記憶媒体の分割を示す概略図。
【図5】コンピュータ・システムが図4の実施例において用いた多数回復可能書き込み(WMR)に書き込みをしようとするときの事象のシーケンスを示すフローチャート。
【図6】本発明において用いるスーパバイザの第1の実施例のハードウエア構成の概要ブロック図。
【図7】本発明において用いるスーパバイザの第2の実施例のハードウエア構成の概要ブロック図。
【図8】図7のスーパバイザの実際の実施例の概要回路図。
【符号の説明】
101 記憶媒体
102 ウイルス隔離空間
103 WMRパーティション
213 読み出し専用メモリ(ROM)
214 ランダム・アクセス・メモリ(RAM)
216、314 マイクロプロセッサ
318 SCSIインターフェイス
330 リセット・ロジック[0001]
[Technical field to which the invention belongs]
The present invention relates to a method and apparatus for controlling access to and corruption of information in a computer system.
[0002]
[Prior art]
PCT / GB91 / 00261 (WO 91/13403) by the inventor (the contents of which are hereby incorporated by reference) is also a method specifically related to the detection and inclusion of hostile programs such as “virus” programs in computer systems. And an apparatus are disclosed. In this document,
The information stored in the storage medium is divided into a plurality of non-overlapping partitions including a boot partition and a plurality of general partitions, and each partition is further divided into a plurality of sectors, and the computer system is in use At any given time, any specified subset of the general partition is active
In a method (and associated apparatus) for controlling access and modification to information stored on a storage medium that forms part of a computer system,
It is independent of the central processing unit (CPU) of the computer system and has been made inaccessible to the user and is specific to the type of information stored in the previous sector and the type and status of the partition in which the sector is located. Management means (supervisor) for controlling execution of read, write and format operations based on information stored on the storage medium so that the operation can be regulated or prevented according to
If the management means attempts to perform a prohibited read, write or format operation, it requests a reset of the computer system, which causes the memory to clear and load the operating system Was characterized by
A method (and associated apparatus) is disclosed.
[0003]
In the invention disclosed in PCT / GB91 / 00261, the boot partition becomes “read only” when the system is in the supervised mode. This prevents viruses from attacking while allowing their execution, unless DOS utilities and programs are self-modifying.
[0004]
[Problems to be solved by the invention]
Changes and improvements have been made to the PC operating system since the concept of virus quarantine with PCT / GB91 / 00261. These have certain limitations in the scope of the virus isolation invention. For example,
(1) Microsoft Windows needs to be able to write a certain number of files placed in the Windows directory, even if not strictly self-modifying.
(2) The system administrator can install executable content on the boot partition without recognizing that it is self-modifying. When such executable content is installed on the boot partition, self-modification of this program is attempted when the system is in the supervisor mode, and the supervisor prevents write attempts and freezes the system.
(3) Microsoft Windows Virtual Memory Manager may require write access to either or both of the Windows directory and the boot partition root directory.
(4) Network software may require access to the boot partition.
(5) In general, making a boot partition “read only” with a complex operating system is limited, can be incompatible, and can cause high administrative overhead.
[0005]
[Means for Solving the Problems]
The object of the present invention is to eliminate or reduce the aforementioned problems.
[0006]
According to a first aspect of the invention,
A method for controlling access and modification stored in a storage medium forming part of a computer system comprising:
Dividing the information stored on the storage medium into a plurality of non-overlapping partitions including a boot partition and at least one general partition;
One of the partitions is designated as a multiple-recoverable write (WMR) so that the write command overwrites the remaining information stored in one or the WMR partition with the update information. When issued, other than the location where the or any residual information is stored and the (virtual) pointer to the update information is set or held so that the update information can be accessed according to requests in the remaining sessions The update information is written at the position of
A method is provided for controlling access and modification stored in a storage medium that forms part of a computer system.
[0007]
A system reset causes the update information to be cleared along with a list of pointers to this information. This restores the WMR partition to its original state when built in non-supervised mode.
[0008]
Thus, if the WMR partition is initially virus free, the WMR partition becomes virus free at the start of each new session.
[0009]
The boot partition on the storage medium is preferably a protected WMR. A general partition can also be a protected WMR if the user requests it.
[0010]
In order to achieve this, the basis of the method according to the first aspect of the invention is to set up a mechanism that retains the original information stored in the WMR partition without changing it, and usually overwrites it. The data to be stored is securely stored somewhere on the storage medium that can be accessed as needed during the rest of the session. The mechanism defines how to do this efficiently in terms of providing maximum security while simultaneously minimizing additional memory space and throughput.
[0011]
According to the method according to the first aspect of the invention, there is preferably provided supervisory means (supervisor) independent of the central processing unit (CPU) of the computer system and made inaccessible to the user,
The management means is information that is read from or written to a sector is operating system information or user information, whether the sector is the boot partition or a general partition, and Allow / restrict / inhibit read / write operations on the storage medium according to whether the partition is active or inactive;
The management means permits a formatting operation only on an active general partition and prohibits a formatting operation on the boot partition or on an inactive general partition,
A warning is issued to the user when a prohibited read, write or format operation is performed.
[0012]
Space is preferably reserved on the storage medium that is accessible only by the supervisor, called the dedicated area 2. This dedicated area may be a special partition, a range of sectors in the WMR partition, or an unallocated sector in the dormant partition.
[0013]
Each WMR partition has a sector reallocation table (SRT) associated with it, holding the table in the supervisor's random access memory (RAM), and each entry in the SRT is in an updated WMR partition An address of a sector in the range, an address where the update information is located, and an address where the update information is positioned are defined, and the position is in the dedicated area.
[0014]
According to a second aspect of the present invention, there is provided an apparatus for controlling access to and modification of information stored in a storage medium of a computer system, wherein the storage medium includes a boot partition and at least one general partition. In a device divided into non-overlapping partitions,
At least one of the partitions has a number of recoverable writes (WMR) and, in use, a write command is issued to overwrite (update) any information stored in the WMR partition. When the update information is stored in another location on the storage medium and a pointer to the update information is stored so that the update information is accessed according to requests in the remaining sessions, An apparatus is provided for clearing update information along with a list of pointers to the update information and thus returning the WMR partition to its original state when built in non-supervised mode.
[0015]
The apparatus preferably comprises supervisory means (supervisor) independent of the central processing unit (CPU) of the computer system and made inaccessible to the user,
The management means is information read from or written to the sector is operating system information or user information, whether the sector is the boot partition or a general partition, and If the partition is a general partition, the read and write operations on the storage medium are permitted, restricted, or prohibited according to whether the partition is active or inactive;
The management means further permits the formatting operation only on the active general partition and prohibits the formatting operation on the boot partition or the inactive general partition,
The monitoring means alerts the user if it is a prohibited read, write or format operation and attempts to perform the operation that is blocked by the supervisor.
[0016]
According to a third aspect of the invention, there is a method for controlling access and modification to information stored on a storage medium forming part of a computer system comprising:
In the method of dividing the information stored on the storage medium into a plurality of non-overlapping partitions including a boot partition and at least one general partition,
Designate at least one of the partitions as many recoverable writes (WMR), and in use, any information that the write command is or is stored in the WMR partition before executing the write command When it is issued to be overwritten, when requested, for example at system reset, the information is copied and stored elsewhere on the storage medium and copied to the WMR partition. A method of returning is provided.
[0017]
It is clear that according to the third aspect of the invention, writing is allowed to a previous “read-only” partition, such as the boot partition, without restriction during the session. However, at the start of a new session, it does not make any changes to the partition and the partition is restored to its original state. Thus, this partition may be referred to as a many recoverable write (WMR) partition. Thus, as long as the partition starts virus-free, it becomes virus-free at the start of each new session.
[0018]
In order to achieve this, the basis of the method of the third aspect of the invention is that a copy of any “cluster” in the WMR partition to be overwritten is securely stored somewhere on the storage medium and needed In such a case, a configuration that can be restored by copying is set. This configuration defines how to do this efficiently in terms of providing maximum safety while at the same time minimizing additional memory space and throughput.
[0019]
According to the method of the third aspect of the present invention, the type of information stored in the sector and the sector are preferably arranged independently of the central processing unit (CPU) of the computer system. Management means (supervisor) is provided for controlling execution of read, write and format operations based on information stored in the storage medium so as to allow, regulate or prevent operations according to the partition type and status,
If the monitoring means has attempted to perform a prohibited read, write or format operation, it will request a reset of the computer system, which will clear the memory and load the operating system. A method is provided.
[0020]
The storage medium has a special partition (virus isolation space), and each WMR partition is assigned a file allocation table (FAT), which is held in the special partition, and each entry in the FAT is changed in the WMR partition. And the address of the copy of the information originally stored in the cluster.
[0021]
Information originally stored in the cluster may be copied to the special partition.
[0022]
Alternatively, the information originally held in the cluster may be copied to an inactive partition.
[0023]
According to a fourth aspect of the present invention, there is provided an apparatus for controlling access and change to information stored in a storage medium of a computer system, wherein the storage medium includes a boot partition and at least one general partition. In a device that is divided into non-overlapping partitions
At least one of the partitions comprises a number of recoverable write (WMR) partitions, and in use, if a write command executes the write command, any information stored in one or the WMR partition is stored. When issued for overwriting, the information is copied and stored somewhere on the storage medium, and a device that is copied back to the WMR partition when necessary, for example, by a system reset. Provided.
[0024]
Furthermore, the device is preferably independent of the central processing unit (CPU) of the computer system and operates according to the type of information stored in the sector, the type and status of the partition in which the sector is located. Comprising a monitoring means (supervisor) for controlling the execution of read, write or format operations stored on the storage medium so as to allow, regulate or prevent, in use, the monitoring means is prohibited reading If an attempt is made to perform a write or format operation, a reset of the computer system is requested.
[0025]
Any of the above methods according to the features of the present invention allows a read operation to be allowed for any information in the boot partition and a write or format attempt to the boot partition can cause a system reset. .
[0026]
Further, the plurality of sectors of the storage medium may be considered to be part of the boot partition regardless of the position of the start sector of the boot partition defined by the operating system of the storage medium.
[0027]
Also, reading of any operating system information sector or user-generated information sector in the active general partition is permitted, writing to such user-generated information sector is permitted, and such operating system information sector May be regulated such that attempts to change the size and boundary of the partition cause a system reset.
[0028]
Only information is allowed to be read from the operating system sector of the inactive general partition, and attempts to perform other read, write or format operations on such partitions will be denied. Alternatively, a system reset may be generated.
[0029]
The restriction or prevention of the execution of read, write and format operations can be lifted so that the storage medium can be set up or maintained, and then reinstated.
[0030]
The storage medium may be selected from one of a hard disk, a floppy disk, an optical disk, or a tape.
[0031]
Alternatively, the storage medium may be a file server, the computer system is a local area network, and an attempt by the user computer to perform a prohibited operation will cause the user computer to reset. It uses which partition of the file server the user computer can determine to generate.
[0032]
According to any of the above features of the invention, the apparatus may comprise hardware means adapted to be associated with the computer system.
[0033]
Alternatively, the apparatus may comprise hardware means adapted to be associated with the computer system.
[0034]
Alternatively, the apparatus can provide a combination of hardware means and firmware adapted to be associated with the computer system.
[0035]
Providing a processor that is inaccessible to users and any viruses and that monitors all data transfers during and within the subdivision of the storage medium or the storage medium placed under its control it can.
[0036]
Embodiments of the present invention will now be described by way of example only with reference to the accompanying drawings.
[0037]
DETAILED DESCRIPTION OF THE INVENTION
The setup and operation of the present invention is best understood by describing the various stages of operation involved. The embodiment of the invention described below includes, for convenience, a supervisor of the type already disclosed in PCT / GB / 00261. PCT / GB / 00261 (WO 91/13403) here is therefore related by reference.
[0038]
Reference is first made to the first embodiment of FIGS.
[0039]
1.1 Initial connection
The storage medium 1 (for example, hard disk) is first connected to a computer system (not shown), and a space on the storage medium 1 that is inaccessible to the user, that is, a dedicated area is reserved.
[0040]
The password is input and stored in the dedicated area 2 or in the supervisor flash ROM (FIGS. 4 and 13). This password is used later to allow the computer system to be set to unsupervised mode.
[0041]
1.2 Unsupervised mode
To enter this mode, it is necessary to use an unsupervised mode password (reference document PCT / GB / 00261). When the computer system is in this mode, it is provided even if the default partition mechanism can be rebuilt by the user.
[0042]
(A) The default mechanism typically consists of the following partition types: read only (RO), majority recoverable write (WMR) 3 and “general” 4. A general partition is simply a RO or WMR partition and a partition other than those that can be written to. In general, the general partition is a partition other than the RO or WMR partition and the writable partition. Each WMR partition has a sector relocation table (WMR-SRT) associated with it and held in the supervisor RAM (FIGS. 4 and 14). In use, each entry in the WMR-SRT defines the address of a sector range within the WMR partition and includes a pointer to the updated sector range. Each partition may be assigned a default partition type based on a general partition. For example, partition C = WMR; partition D = RO; all other partitions = general; partition descriptors given by these partition labels.
[0043]
(B) The user can define a descriptive string for each partition that defines its contents.
[0044]
(C) The present invention allows users if they want to revise (a) and (b), add partitions, change partition boundaries, and define partition types for each partition.
[0045]
1.3. Supervised mode
(A) If the user turns off the power at the end of the session in the supervised mode, WRM-STR is ignored and it is important to remove all pointers to the updated sector. An empty WRM-STR restores the WMR partition to its original state. This reflects the WMR partition state after performing the last change when the computer system was in unsupervised mode.
[0046]
(B) WRM-STR is initialized to ready (ready) for use.
[0047]
(C) The partition boundary and the number of partitions are checked against a table stored in the dedicated area 2 or the supervisor flash read-only memory (FIGS. 4 and 13). In the unsupervised mode, if the user changes the partition configuration without rebuilding this table, the supervised mode can be rejected until it is corrected. Alternatively, every time a user enters the supervised mode, the table can be generated using a mechanism that does not require user intervention.
[0048]
(D) The user is prompted to select a partition for normal reading and writing from the list of general partitions. This is performed before the operation of the operating system and the storage medium 1. The selected partition is defined as the “active partition” and the remaining general partitions are defined as “sleep” partitions. The active partition remains active until the session ends. A new session can be restarted if the user reenters the supervised mode by resetting the computer system and clearing the system RAM.
[0049]
(E) As an update to the above at the start of the session, the user may be prompted to provide a user name or a password that can be compared with the data in the dedicated area 2. At that time, the user may be restricted to a subset of the general partitions from which the active partition can be selected.
[0050]
(F) The user is given full access to all WMR and RO partitions (of course, the selected active partition).
[0051]
4). Access to WMR partition
As already mentioned, the WRM-STR was defined for each WMR partition 3 and stored in the dedicated area 2.
[0052]
(A) During operation of the present invention, the sector range in WMR partition 3 may need to be updated. When this occurs, a supervisor (not shown) generates an entry in the WRM-STR that defines the range of sectors to be updated and sets a pointer to the location (in the dedicated area) to write the updated sector. The original sector that has not been modified is in its original position.
[0053]
(B) The updated sector may be stored somewhere in the storage medium in the dedicated area. This dedicated area may be a special partition. Alternatively, the dedicated area may be located in the dormant partition. Since the user cannot access the dormant partition during a session, it is safe to use unallocated sectors that can be released before a new session is started. This is shown in FIG.
[0054]
(C) When the supervisor issues a request to write to the WMR partition 3, it follows the flowchart shown in FIG.
[0055]
(D) When the supervisor issues a request for reading from the WMR partition 3, the supervisor follows the flowchart shown in FIG.
[0056]
(E) Other mechanisms are possible that implement a WMR partition that causes the original sector to be copied to a safe location before the write operation to the partition completes the write operation. At the start of each session, the original sector is copied back to the original location in the WMR partition, returning the partition to its original state.
[0057]
Returning to the second embodiment of FIGS.
[0058]
2.1. Initial connection
When the storage medium 101 (for example, a hard disk) is first connected to a computer system (not shown), a space that cannot be accessed by the user is reserved on the storage medium 101. This space is a special partition and can be called the virus isolation space 102.
[0059]
The password is input and stored in the virus quarantine space 2. This password is later used to set the computer system to unsupervised mode.
[0060]
2.2 Unsupervised mode
This mode requires an unsupervised mode password (reference document PCT / GB / 00261). When the system is in this mode, the user can build both the computer system and the virus quarantine space 102.
[0061]
(A) For each partition, the user defines whether the partition is read only (RO) (not shown), majority recoverable write (WMR) 103, or “normal” 104 can do. The general partition is simply a partition other than the RO or WMR partition and can be written to. Each WMR partition has a file allocation table (WMR-FAT) allocated to it and held in the virus quarantine space 102. In use, entries in WMR-FAT are kept in virus quarantine space 102. In use, each entry in WMR-FAT defines the address of the cluster that has changed in the WMR partition and includes a pointer to a copy of the original cluster that has not changed.
[0062]
(B) The user can define a description string for each partition and define its contents.
[0063]
(C) When a partition is added or the boundary is changed, the user can revise (a) and (b). When the user is not forced to do this by the computer system, defaults such as "General" status and "Partition 104 '" are employed.
[0064]
If general guidelines are in place, the mechanism will work without user intervention, so the exact housekeeping required need not be defined. For example, partition C = WMR; all other partitions = normal; partition descriptors given by these drive letters.
[0065]
2.3 Supervised mode
(A) All WMR partitions 103 are restored to their original state by referring to the WMR-FAT in the virus isolation space 102. This also occurs when entering the unsupervised mode for consistency.
[0066]
Each WMR-FAT entry includes a pointer to the modified cluster (ie its address) in the WMR partition 102 and a pointer to a copy of the original cluster. Thus, at the start of each session, the following procedures are all required to restore the WMR partition 102.
For each WMR-FAT entry:
Copy the original cluster to a location in the WMR partition 102 (copy cluster “X” to cluster “A” as shown in FIG. 1).
-Delete the WMR-FAT entry.
(Note: A power loss or system crash during this sequence may require the procedure to be repeated, but does not affect the ability to restore the original WMR partition.)
[0067]
(B) The WMR-FAT (or a plurality of WMR-FATs) is initialized and becomes ready for use.
[0068]
(C) The partition boundary and the number of partitions are checked against a table stored in the virus isolation space 102. In the unsupervised mode, if the user changes the configuration of the partition without reconfiguring the virus quarantine space 102, the supervised mode can be rejected until it is corrected.
[0069]
(D) The user is prompted to select a partition for normal reading and writing from the list of general partitions. This is performed prior to operation of the operating system and storage medium 101. The selected partition is defined as the “active partition” and the remaining regular partitions are defined as “sleep” partitions. The active partition remains active until the session ends. A new session can be restarted when the user reenters the supervised mode by clearing the system RAM and resetting the computer system.
[0070]
(E) As an update to the above at the beginning of the session, the user may be prompted to provide a username or a username or password that can be compared with data in the dedicated area 102. At that time, the user may be restricted to a subset of normal partitions from which the active partition can be selected.
[0071]
(F) The user is given full access to all WMR and RO partitions (of course, the selected active partition).
[0072]
4). Access to WMR partition
As already described, the WRM-STR was defined for each WMR partition 103 and stored in the dedicated area 102.
[0073]
(A) During operation of the present invention, the clusters in the WMR partition 103 may need to be updated. When this occurs, a supervisor (not shown) generates an entry in the WRM-STR that defines the cluster to be updated and has a pointer to the original copy.
[0074]
(B) A copy of the original cluster may be stored somewhere in the storage medium. For example, this may be stored in a special partition or a dedicated area reserved for that purpose, such as an area in the virus isolation space 102. Instead, the original cluster can be found in temporary space within the dormant partition. Since the user (and thus the virus) cannot access the dormant partition during the session, the original cluster is safe and may be released before a new session is started. This is shown in FIG.
[0075]
(C) When a supervisor issues a write request to the WMR partition 103, the supervisor follows the flowchart shown in FIG.
[0076]
Referring now to FIG. 6, a block diagram of a hardware configuration suitable for implementing the first embodiment of the supervisor used in the embodiment of the present invention is shown. This supervisor is a read-only interface that includes a typical bus interface 7 to a motherboard such as a personal computer (PC) and a suitable BIOS (basic input / output system) to control the mode entry at the start of each session. And a memory (ROM).
[0077]
The supervisor is designed to exist between the disk interface of the PC and the disk drive. The PC is connected to the supervisor via ribbon cable 201 from its integrated device electronics (IDE) bus. The supervisor is then connected to the disk drive via a second ribbon cable 202 that also functions as an IDE bus. All communication between the PC and the hard disk is controlled by the supervisor.
[0078]
Supervisor hardware is used to hold the microprocessor 216, read-only memory (ROM) 213 holding the supervisor operating system and control program, and parameters and WRM-SRT (or multiple SRTs). And a random access memory (RAM 214) which is a scratch memory to be used.
[0079]
The dual port RAM 210 includes memory that can be accessed by both the PC and the supervisor processor. The supervisor may use this memory to reflect the IDE task register.
[0080]
Transceivers 206, 209 and multiplexer 205 allow the PC or supervisor processor to access the disk drive. The supervisor controls which of these has access. Latches 207, 208 allow a supervisor with an 8-bit bus to read and write 16-bit values from the disk drive.
[0081]
Logic block 212 includes a latch that is writable by the supervisor processor. The value of this latch is compared with the PC interface upper address bus and the BIOS 211 is only enabled when they match. This causes the BIOS to be built through the supervisor and appear anywhere in the lowest megabyte PC address space.
[0082]
Logic block 215 maps ROM 213, RAM 214 and dual port RAM 210 to the supervisor processor address space. This logic block 215 also controls access to the latches 207, 208 and logic block 212.
[0083]
Logic block 204 ensures that control signals passing between the PC and the disk drive are correctly buffered and inhibits these control signals when the supervisor processor is connected to the disk drive. is doing.
[0084]
Logic block 203 ensures that communication between the PC and the disk drive is subject to supervisor control. This monitors and controls read and write commands to the task file register on the disk drive. The supervisor processor is made aware of the critical operation being attempted and controls whether the operation is in progress, blocked, or the request has changed. This is done by decoding the PC address line along with the read and write control signals. Certain read and write attempts will cause supervisor processor interrupts. The supervisor then operates based on the change. Multiple disk drive interrupts can be routed first to the supervisor processor where they can be forwarded to the PC if necessary.
[0085]
Supervisor processor 2
Since 16 can only fetch executable code from the built-in ROM 213, examining FIG. 4 makes it clear that a virus can never interfere with the supervisor processor 216.
[0086]
A more detailed description of the embodiment of the supervisor shown in FIG. 6 is not provided here because it is within the normal understanding of a person skilled in the art.
[0087]
Referring now to FIG. 7, there is shown a block diagram of a suitable hardware configuration for implementing the second embodiment of the present invention. This supervisor is a read-only including a typical hard disk adapter card interface 310 to a motherboard such as a personal computer (PC) and a suitable BIOS (basic input / output system) to operate the hard disk. A memory (ROM) 312 is provided.
[0088]
The supervisor hardware includes a microprocessor 314 and a transceiver 316 so that the PC cannot directly select or arbitrate for multiple disk drives or issue commands through the SCSI interface 318. In addition, access of the PC regulation to the SCSI 318 is permitted. These operations can only be performed by the supervisor processor 314, which communicates bidirectionally with the PC using the status input / output ports 320 and 322.
[0089]
Communication between the supervisor processor 314 and the SCSI interface 318 occurs through the bidirectional port of the second transceiver 324. The supervisor further includes a built-in read only memory (ROM) 326 that contains a supervisor operating system and control program, and a random access memory (RAM) 328 that is a scratch memory used to hold parameters. I have. A reset logic 330 is further provided and used to clear the PC memory if an attempt is made to perform an operation prohibited by the supervisor.
[0090]
Referring to FIG. 8, a schematic block diagram of an embodiment of the supervisor is shown by integers with the same numbers as in FIG.
[0091]
In addition, the embodiment of FIG. 8 includes the following components: gate array logic (GAL) devices G1-G5; buffers B1, B2; and flip-flops 74, 1 (1), 74, 1 (2) and 74 and 2 (2).
[0092]
The function of this component is as follows. G1 maps the ROM BIOS to the IBM memory map, and also makes a tristate connection of the output of flip-flops 74, 2 (2) to the IBM data bus.
[0093]
G2 performs access to a subset of the SCSI controller's internal registers by the IBM by mapping them to the IBM I / O space. G2 further provides pseudo DMA decoding logic for transferring data to and from the SCSI controller and maps flags or flip-flops 74, 2 (2) and P1 to the IBM I / O space.
[0094]
G3 multiplexes between the supervisor bus and the IBM address bus to the SCSI controller address bus.
[0095]
G4 multiplexes between the supervisor bus and the IBM control line to the SCSI controller. G4 further enables transceiver T1 or T2 (never both) and includes logic for possible wait states during data transfer between the IBM and the SCSI controller.
[0096]
G5 maps all ports in the supervisor I / O space: latches P1, P2, SCSI reset line and flip-flops 74, 1 (2) and 74, 2 (2). G5 also maps the ROM to the supervisor memory map and tristates the outputs of flip-flops 74, 2 (2) to the supervisor data bus.
[0097]
Buffers B1, B2 ensure that current from the IBM backplane can be the only gate that flows into each of the address IOR and IOW lines.
[0098]
The flip-flops 74 and 1 (1) divide the clock frequency by ½ and make the pulse a rectangular wave. Whether the IBM has (restricted) access to the SCSI controller or the supervisor has access depends on the output of flip-flops 74, 1 (2).
[0099]
Flip-flops 74, 2 (1) form part of the timing formation for wait state generation during SCSI data transfer, while flip-flops 74, 2 (2) have data bytes sent from IBM Is a supervisor attention flag that represents.
[0100]
The components of the embodiment of FIG. 4 are as follows. GAL G1 to G5 are of SCS Thomson GAL16V8-15ns type, flip-flop 74, 1 (1), 74, 1 (2), 74, 2 (1) and 74, 2 (2) are 74ALS74 type Buffers B1 and B2 are 74ALS244, latches P1 and P2 are 74ALS73, transceivers T1 and T2 are 74F245, processor 14 is Zylog Z84C50 (10 MHz), and read-only memory 12 is 2764 ( 8K × 8), and the SCSI controller 18 is an NCR5380.
[0101]
Since the supervisor microprocessor 314 can only fetch executable code from the built-in ROM 326, examining FIG. 8 makes it clear that a virus can never interfere with the supervisor processor 314.
[0102]
The supervisor embodiment shown in FIG. 8 will not be described in further detail here because it is within the normal understanding of a person skilled in the art.
[0103]
The embodiments of the present invention have been described as examples only, and are not intended to limit the scope of the present invention in any way.
[0104]
It should be understood that the present invention seeks to eliminate problems that were previously notable in the prior art with little impact on storage and performance overhead. The present invention allows "supervised" users full read and write access to the boot partition, and the boot partition at the start of each session on the computer system is clean and virus free and unmodified I guarantee that. This addresses the problems outlined above and allows maintenance of complete virus protection disclosed in PCT / GB91 / 00261.
[0105]
The user can assume that he wants to maintain changes between sessions. In that case, the user can create a batch file that stores the modified files in the active partition before shutting down. At the start of a new session, these files can be replaced with the original ones in the WMR partition.
[Brief description of the drawings]
FIG. 1 is a schematic diagram showing division of a storage medium used in a first embodiment of the present invention.
FIG. 2 is a flow chart showing a sequence of events when a computer system attempts to write to a multiple recoverable write (WMR) partition used in the embodiment of FIG.
FIG. 3 is a flowchart illustrating a sequence of events when a computer system attempts to read from a many recoverable write (WMR) partition.
FIG. 4 is a schematic diagram showing division of a storage medium used in the present invention.
FIG. 5 is a flow chart showing a sequence of events when a computer system attempts to write to a multi-recoverable write (WMR) used in the embodiment of FIG.
FIG. 6 is a schematic block diagram of a hardware configuration of a first embodiment of a supervisor used in the present invention.
FIG. 7 is a schematic block diagram of a hardware configuration of a second embodiment of the supervisor used in the present invention.
FIG. 8 is a schematic circuit diagram of an actual embodiment of the supervisor of FIG. 7;
[Explanation of symbols]
101 storage medium
102 Virus isolation space
103 WMR partition
213 Read-only memory (ROM)
214 Random Access Memory (RAM)
216, 314 Microprocessor
318 SCSI interface
330 Reset logic

Claims (31)

コンピュータ・システムの一部を形成する不揮発性の記憶媒体上に記憶した情報のアクセス及び変更を制御する方法であって、
前記記憶媒体のうちの少なくとも一部を多数回復可能書き込み(WMR)部分に指定し、更新情報により一つの又は複数の前記WMR部分に記憶されている残留情報に重ね書きするように発行される書き込みコマンドに応答して、残りのセッション中の要求に従って前記更新情報をアクセスできるように、任意の残留情報が記憶され前記更新情報に対するポインタが設定又は保持されている位置以外の前記記憶媒体上の位置に前記更新情報を書き込み、
次の読み込みコマンドに応答して、前記ポインタが前記残留情報に重ね書きするように前記残留情報の場所についての前記更新情報へアクセスするために使用される、
ことを特徴とするコンピュータ・システムの一部を形成する記憶媒体に記憶したアクセス及び変更を制御する前記方法。A method for controlling access and modification of information stored on a non-volatile storage medium forming part of a computer system comprising:
At least a portion specified number Recoverable write (WMR) portion, Ru issued to overwrite the residual information stored in one or more of the WMR portion by updated information writing of said storage medium in response to the command, to allow access to the update information according to the requirements in the remainder of the session, any residual information is stored, on the storage medium other than the position pointer to the updated information is set or maintained It writes the updated information on the position,
In response to a next read command, used to access the update information about the location of the residual information so that the pointer overwrites the residual information;
The method of controlling access and changes stored in the storage medium forming part of a computer system, characterized in that. 将来の読み出しコマンドが元からあった情報にアクセスできるように、システム・リセットが前記更新情報をこの情報に対するポインタのリストと共にクリアする、請求項1記載の方法。The method of claim 1, wherein a system reset clears the update information along with a list of pointers to this information so that future read commands can access the original information . 前記記憶媒体上に記憶された情報は、ブート・パーティションと少なくとも一つの一般パーティションを含む複数の非重複パーティションへ分割され、前記パーティションの少なくとも一つはWMR部分を指定している、請求項1または2に記載の方法。The information stored on the storage medium is divided into a plurality of non-overlapping partitions including a boot partition and at least one general partition, wherein at least one of the partitions designates a WMR portion. 2. The method according to 2. 前記記憶媒体上の前記ブート・パーティションはWMR部分を指定している請求項3に記載の方法。The method of claim 3, wherein the boot partition on the storage medium specifies a WMR portion . 一般パーティションがWMR部分を指定している請求項3または4に記載の方法。The method according to claim 3 or 4, wherein the general partition specifies the WMR part . 前記コンピュータ・システムの中央処理装置(CPU)から独立し、かつそのユーザにアクセス不能にされた管理手段が設けられ、
前記管理手段は、セクタから読み出されるか又はセクタに書き込まれる情報がオペレーティング・システム情報であるか又はユーザ情報であるか、前記セクタが前記ブート・パーティションにあるか又は一般パーティションにあるか、及び前記パーティションは活性であるか又は不活性であるかに従って、前記記憶媒体上での読み出し/書き込み動作を許可し、規制し、又は禁止し、
前記管理手段は、活性な一般パーティション上でのフォーマット動作を許可し、かつ前記ブート・パーティション上で又は不活性な一般パーティション上でフォーマット動作を禁止し、
かつ、禁止された読み出し、書き込み又はフォーマット動作を実行したときはユーザに警告を発生する
請求項3、4または5に記載の方法。 Management means independent of the central processing unit (CPU) of the computer system and made inaccessible to its users;
The management means is information that is read from or written to a sector is operating system information or user information, whether the sector is in the boot partition or a general partition, and Allows, regulates, or prohibits read / write operations on the storage medium according to whether the partition is active or inactive;
It said management means permits only format operation on active general partition, and prohibits the format operation on the boot partition or on a inert general partition,
And a warning to the user when a prohibited read, write or format operation is performed ,
6. A method according to claim 3, 4 or 5 . 管理手段であって専用領域と呼ばれる前記管理手段によってのみアクセスされる前記記憶媒体上で空間を確保する請求項6に記載の方法。 The method according to claim 6, wherein a space is secured on the storage medium that is a management means and is accessed only by the management means called a dedicated area. 各WMR部分は、これに関連したセクタ再割り付けテーブル(SRT)を有し、前記テーブルを前記管理手段のランダム・アクセス・メモリ(RAM)に保持し、SRTにおける各エントリは更新されたWMR部分におけるある範囲のセクタのアドレスと、前記更新情報が位置するアドレスと、前記更新情報を位置決めするアドレスとを定義し、前記更新情報が位置するアドレスの位置が前記専用領域内にある請求項1から7のいずれかに記載の方法。Each WMR part has a sector reallocation table (SRT) associated with it, holding the table in the random access memory (RAM) of the management means , and each entry in the SRT is in an updated WMR part . the address of a range of sectors, and addresses the update information is located, to define an address for positioning the update information, claims 1, the address position where the update information is located is in the exclusive area 7 The method in any one of . コンピュータ・システムの不揮発性の記憶媒体に記憶された情報に対するアクセス及び変更を制御する装置であって、前記記憶媒体少なくとも一つの部分を多数回復可能書き込み(WMR)として指定可能な前記装置において、前記装置は、
前記更新情報により、前記WMR部分に記憶されている任意の残留情報に重ね書きするように発行された書き込みコマンドに応答可能な手段であって、前記記憶媒体上の任意の 残留情報が記憶されていない位置に前記更新情報を書き込み、前記更新情報に対するポインタであって、前記重ね書きされたデータのために発行された書き込みコマンドに応答して前記更新情報にアクセス可能とするために保持される前記ポインタを保持する前記手段を備える、
ことを特徴とする前記装置。 An apparatus for controlling access and modifications to information stored in a nonvolatile storage medium of the computer system, in the device can be specified as a number Recoverable write (WMR) at least one portion of said storage medium, The device is
A means capable of responding to a write command issued to overwrite any remaining information stored in the WMR portion by the update information, wherein any remaining information on the storage medium is stored. The update information is written to a non-location, and is a pointer to the update information, retained to make the update information accessible in response to a write command issued for the overwritten data Comprising said means for holding a pointer ;
Said device. システム・リセットは、前記更新情報を前記更新情報に対するポインタのリストと共にクリアする請求項9記載の装置。The apparatus of claim 9, wherein a system reset clears the update information along with a list of pointers to the update information. 前記記憶媒体上に記憶される情報は、一つのブート・パーティションと少なくとも一つの一般パーティションを含む複数の非重複パーティションに分割され、前記パーティションの少なくとも一つはWMR部分を指定している請求項9または10記載の装置。The information stored on the storage medium is divided into a plurality of non-overlapping partitions including one boot partition and at least one general partition, and at least one of the partitions specifies a WMR portion. Or the apparatus of 10. 前記装置は、前記コンピュータ・システムの中央処理装置(CPU)から独立し、かつユーザにアクセス不能にされた管理手段を備え、
前記管理手段は、使用中に、セクタから読み出される又はセクタに書き込まれる情報がオペレーティング・システム情報であるか又はユーザ情報であるか、前記セクタが前記ブート・パーティションであるか又は一般パーティションであるか、及びもし前記パーティションが一般パーティションであれば、前記パーティションは活性であるか又は不活性であるかに従って、前記記憶媒体上での読み出し及び書き込み動作を許可し、規制し、又は禁止し、
前記管理手段は、更に、活性となる一般パーティション上のみでのフォーマット動作を許可し、かつ前記ブート・パーティション上又は不活性な一般パーティション上でのフォーマット動作を禁止し、
前記監視手段は、禁止された読み出し、書き込み又はフォーマット動作であって、前記管理手段により阻止されている前記動作を実行するための試行をしたのであれば、ユーザに警告を発生させる
請求項11記載の装置。The apparatus comprises management means independent of a central processing unit (CPU) of the computer system and made inaccessible to a user,
The management means, during use, whether the information read from or written to the sector is operating system information or user information, whether the sector is the boot partition or a general partition And, if the partition is a general partition, allows, regulates, or prohibits read and write operations on the storage medium according to whether the partition is active or inactive,
The management means further permits the formatting operation only on the active general partition and prohibits the formatting operation on the boot partition or the inactive general partition,
If the monitoring means is a prohibited read, write or format operation and has attempted to perform the operation that is blocked by the management means , it issues a warning to the user ;
The apparatus of claim 11. コンピュータ・システムの一部を形成する不揮発性の記憶媒体上に記憶された情報に対するアクセス及び変更を制御する方法であって、
前記記憶媒体のうちの少なくとも一部を多数回復可能書き込み(WMR)部分として指定し、
更新情報によって一つの又は複数の前記WMR部分に記憶された任意の残留情報を重ね書きするよう発行されている書き込みコマンドに応答して、前記書き込みコマンドを実行する前に、前記残留情報はコピーされて前記記憶媒体上の他の位置に記憶され、
システム・リセットは、前記コピーされた情報を前記WMR部分にコピーにより戻して、前記WMR部分を元の状態に戻す、
ことを特徴とする前記方法。A method for controlling access and modification of information stored on a non-volatile storage medium that forms part of a computer system comprising:
Designating at least a portion of the storage medium as a multiple recoverable write (WMR) portion ;
In response to a write command issued to overwrite any residual information stored in one or more of the WMR portions with update information, the residual information is copied before executing the write command. Stored in another location on the storage medium,
A system reset copies the copied information back to the WMR portion and returns the WMR portion to its original state.
Said method. 前記コンピュータ・システムの中央処理装置(CPU)から独立して、セクタ内に記憶された情報の型式、及び前記セクタが配置されている前記記憶媒体の前記部分の型式及びステータスに従って動作を許可する、規制する又は阻止するように、前記記憶媒体に記憶された情報に基づく読み出し、書き込み及びフォーマット動作の実行を制御する管理手段を備え、
前記管理手段は、禁止された読み出し、書き込み又はフォーマット動作を実行するために試行したのであれば、前記コンピュータ・システムのリセットを要求させて、前記リセットはメモリをクリアさせ、かつオペレーティング・システムをロードさせる
請求項13記載の方法。Independent of the central processing unit (CPU) of the computer system, the operation is permitted according to the type of information stored in the sector and the type and status of the portion of the storage medium in which the sector is located; Management means for controlling execution of read, write and format operations based on information stored in the storage medium so as to regulate or prevent,
If the management means attempts to perform a prohibited read, write or format operation, the management means will request a reset of the computer system, the reset will clear the memory and load the operating system. make,
The method of claim 13 . 前記記憶媒体は、特殊パーティションを備え、前記各WMR部分はファイル割り付けテーブル(FAT)が割り付けられ、このテーブルは前記特殊パーティションに保持され、FATにおける各エントリは前記WMRパーティションにおいて変更されたクラスタのアドレス、及び前記クラスタにオリジナルに保持された前記情報のコピーの前記アドレスを定義する請求項11又は請求項14記載の方法。The storage medium comprises a special partition, each WMR portion allocated file allocation table (FAT) is, this table is held in the special partition, each entry in the FAT address of a cluster that has been modified in the WMR partition 15. The method of claim 11 or claim 14 , wherein the address of a copy of the information originally held in the cluster is defined. 前記クラスタにオリジナル保持された情報は前記特殊パーティションにコピーされる請求項15記載の方法。The method of claim 15 , wherein the information originally stored in the cluster is copied to the special partition. 前記クラスタにオリジナルに保持された前記情報は不活性パーティションにコピーされている請求項15記載の方法。The method of claim 15 , wherein the information originally held in the cluster is copied to an inactive partition. コンピュータ・システムの不揮発性の記憶媒体に記憶された情報に対するアクセス及び変更を制御する装置であって、
前記記憶媒体の少なくとも一つの部分が、多数回復可能書き込み(WMR)として指定されるように動作可能であり、
更新情報によって前記WMR部分に記憶された任意の残留情報を重ね書きするよう発行されている書き込みコマンドに応答する手段であって、前記書き込みコマンドを実行する前に、前記残留情報をコピーし、前記記憶媒体上の他の位置に前記残留情報を記憶するための前記手段と、
前記WMR部分を元の状態に戻すために、前記コピーされた情報を前記WMR部分にコピーにより戻すためのシステム・リセットに応答する手段と、
を備えることを特徴とする前記装置。An apparatus for controlling access and modification of information stored in a non-volatile storage medium of a computer system, comprising:
At least one portion of the storage medium is operable to be designated as multiple recoverable writes (WMR);
Means for responding to a write command issued to overwrite any residual information stored in the WMR portion with update information, before executing the write command, copying the residual information, Said means for storing said residual information at another location on a storage medium;
Means for responding to a system reset to copy the copied information back to the WMR portion to return the WMR portion to its original state;
The apparatus comprising: 前記コンピュータ・システムの中央処理装置(CPU)から独立し、セクタ内に記憶された情報の型式と、前記セクタが配置されている前記パーティションの型式及びステータスに従って動作を許可する、規制する又は阻止するように、前記記憶媒体上に記憶された読み出し、書き込み又はフォーマット動作の実行を制御する管理手段更に備え、使用において、前記監視手段は、禁止された読み出し、書き込み又はフォーマット動作を実行するために試行されたならば、前記コンピュータ・システムのリセットを要求させる請求項18記載の装置。Independent of the central processing unit (CPU) of the computer system, allows, regulates or blocks operations according to the type of information stored in a sector and the type and status of the partition in which the sector is located as the read stored on the storage medium, further comprising a management unit for controlling the execution of the write or format operation, in use, the monitoring means reads banned, in order to perform a write or format operation 19. The apparatus of claim 18, causing a reset of the computer system if requested. 前記記憶媒体上に記憶された情報は、ブート・パーティションと少なくとも一つの一般パーティションを含む複数の非重複パーティションへ分割され、前記少なくとも一つのパーティションはWMR部分に指定し、読み出し動作が前記ブート・パーティションにおける任意の情報について許可され、前記ブート・パーティションに対する書き込み又はフォーマットの試行がシステム・リセットを発生させる請求項1又は13記載の方法。 Information stored on the storage medium is divided into a plurality of non-overlapping partitions including a boot partition and at least one general partition, the at least one partition is designated as a WMR portion, and a read operation is performed on the boot partition. 14. A method as claimed in claim 1 or claim 13 , wherein an attempt is made to write any information to the boot partition, or an attempt to write or format the boot partition causes a system reset. 前記記憶媒体の複数のブート・セクタは前記ブート・パーティションの一部であるとみなされ、前記記憶媒体オペレーティング・システムにより定義される前記ブート・パーティションの開始セクタの位置とは無関係である請求項20記載の方法。Multiple boot sector of the storage medium is considered to be part of the boot partition, it claims 20 and the position of the starting sector of the boot partition as defined by the storage medium operating system is irrelevant The method described. 活性な一般パーティションにおける任意のオペレーティング・システム情報セクタ又はユーザ発生の情報セクタの読み出しが許可され、このようなユーザ発生の情報セクタに対する書き込みが許可され、かつこのようなオペレーティング・システムの情報セクタに対する書き込みが規制されて、該オペレーティング・システムの情報セクタに対する書き込みが前記パーティションの大きさ及び境界を変更するための試行がシステム・リセットを発生させる請求項20又は21記載の方法。Reading of any operating system information sector or user-generated information sector in the active general partition is allowed, writing to such user-generated information sector is allowed, and writing to such operating system information sector 22. The method of claim 20 or 21 , wherein writing to the operating system information sector causes an attempt to change the size and boundary of the partition to cause a system reset. 不活性な一般パーティションのオペレーティング・システム・セクタから情報を読み出すことのみが許可され、このようなパーティション上の他の読み出し、書き込み又はフォーマット動作を実行するための試行は、否定できるようにされる、又はシステム・リセットを発生させる請求項20又は21記載の方法。Only information is allowed to be read from the operating system sector of the inactive general partition, and attempts to perform other read, write or format operations on such partitions will be denied. The method according to claim 20 or 21 , wherein a system reset is generated. 読み出し、書き込み及びフォーマット動作の実行の規制又は阻止が解除され、前記記憶媒体のセット・アップ又は保守が可能となり、前記記憶媒体のその後再復帰可能となる請求項23記載の方法。Reading, regulating or blocking the execution of the write and format operations is released, the set of storage medium up or perform maintenance and will, subsequent process of claim 23, wherein the re-restoration is possible of the storage medium. 前記記憶媒体はハード・ディスク、フロッピー・ディスク、光ディスク又はテープのうちの一つである請求項1又は13記載の方法。The storage medium is a hard disk, floppy disk, according to claim 1 or 13 method wherein one of the optical disks or tape. 前記記憶媒体は、ローカル・エリア・ネットワークを含むコンピュータ・システム内のファイルサーバであり、かつユーザ・コンピュータにより禁止された動作を実行するための試行の際に、ユーザ・コンピュータが前記ファイルサーバのどのパーティションを使用しているかが決定され、そのユーザ・コンピュータのリセットが要求される請求項1又は13記載の方法。The storage medium is a file server in a computer system including a local area network , and when attempting to perform an operation prohibited by the user computer , the user computer 14. A method according to claim 1 or 13 , wherein it is determined whether the partition is being used and a reset of the user computer is required . 前記コンピュータ・システムに関連するように適応されたハードウエア手段を備えている請求項又は18記載の装置。19. Apparatus according to claim 9 or 18, comprising hardware means adapted to be associated with the computer system. 前記装置は前記コンピュータ・システムに関連するように適応されたハードウエア手段を備えている請求項9又は18記載の装置。19. Apparatus according to claim 9 or 18, wherein said apparatus comprises hardware means adapted to be associated with said computer system. 前記装置はハードウエア手段とファームウエアとの組み合わせを備え、両者は前記コンピュータ・システムに関連するように適応されている請求項9又は18記載の装置。19. Apparatus according to claim 9 or 18, wherein said apparatus comprises a combination of hardware means and firmware, both adapted to be associated with said computer system. ユーザに対して及びどのようなウイルスに対してもアクセス不能にされ、かつ前記記憶媒体又はその制御のもとに置かれた記憶媒体の複数の更に分割された部分の間における及び前記複数の更に分割された部分内における全てのデータ転送を管理するプロセッサを備え請求項9、10、18又は19記載の装置。Also inaccessible respect against and how viruses user, and the storage medium or even in and of the plurality between a plurality further divided portions of the original to put the storage medium of the control all the claims 9, 10 Ru comprising a processor for managing data transfer, 18 or 19 apparatus according the divided portion. 前記ユーザ、シャットダウン前に、活性パーティションにおける変更ファイルを記憶するバッチ・ファイル(又は複数のバッチ・ファイル)を作成できるように、前記バッチ・ファイル(又は前記複数のバッチ・ファイル)を使用する新しいセッションの開始でWMR部分に記憶された情報を置き換えることを含む、請求項1から8のいずれか、又は請求項13から17のいずれかに記載方法。The user, prior to shutdown, to allow creation of batch files for storing the modified file in the active partition (or more batch files), the batch file (or the plurality of batch file) to use the new It includes replacing the information stored in the WMR portion at the start of the session, the method according to any one of claims 1 to 8, or claim 13 17.
JP23494597A 1997-08-29 1997-08-29 Method and apparatus for controlling access and modification of information stored in a storage medium in a computer system Expired - Fee Related JP4228037B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP23494597A JP4228037B2 (en) 1997-08-29 1997-08-29 Method and apparatus for controlling access and modification of information stored in a storage medium in a computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP23494597A JP4228037B2 (en) 1997-08-29 1997-08-29 Method and apparatus for controlling access and modification of information stored in a storage medium in a computer system

Publications (2)

Publication Number Publication Date
JPH1173311A JPH1173311A (en) 1999-03-16
JP4228037B2 true JP4228037B2 (en) 2009-02-25

Family

ID=16978733

Family Applications (1)

Application Number Title Priority Date Filing Date
JP23494597A Expired - Fee Related JP4228037B2 (en) 1997-08-29 1997-08-29 Method and apparatus for controlling access and modification of information stored in a storage medium in a computer system

Country Status (1)

Country Link
JP (1) JP4228037B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7539828B2 (en) 2000-08-08 2009-05-26 Faronics Corporation Method and system for automatically preserving persistent storage

Also Published As

Publication number Publication date
JPH1173311A (en) 1999-03-16

Similar Documents

Publication Publication Date Title
US6526488B1 (en) Computer systems
US5657473A (en) Method and apparatus for controlling access to and corruption of information in computer systems
US6993649B2 (en) Method of altering a computer operating system to boot and run from protected media
US9785370B2 (en) Method and system for automatically preserving persistent storage
US6915420B2 (en) Method for creating and protecting a back-up operating system within existing storage that is not hidden during operation
US7360030B1 (en) Methods and apparatus facilitating volume management
US8732121B1 (en) Method and system for backup to a hidden backup storage
US20070074290A1 (en) Operation management system for a diskless computer
US7222135B2 (en) Method, system, and program for managing data migration
US6961833B2 (en) Method and apparatus for protecting data in computer system in the event of unauthorized data modification
JP5184041B2 (en) File system management apparatus and file system management program
US7370165B2 (en) Apparatus and method for protecting data recording on a storage medium
JP2005276158A (en) Storage system, computer system and method of establishing attribute of storage area
AU2005248713A1 (en) Isolated multiplexed multi-dimensional processing in a virtual processing space having virus, spyware, and hacker protection features
JP4228037B2 (en) Method and apparatus for controlling access and modification of information stored in a storage medium in a computer system
JP2004118413A (en) Storage system, storage device, host computer, and snapshot creation method
JP2005276233A (en) Computer system
JP3967073B2 (en) RAID controller
CA2454107C (en) Apparatus and method for protecting data recorded on a storage medium
JP2009211245A (en) Flash memory control system and control method
EP1410139B1 (en) Method for protecting data recorded on a storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071120

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080220

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080225

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080421

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080520

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080819

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20080918

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080918

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121212

Year of fee payment: 4

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121212

Year of fee payment: 4

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121212

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131212

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131212

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees