专利名称:Windows环境下一种基于PCI卡的硬盘写保护锁的制作方法
技术领域:
本发明涉及计算机取证领域,具体的说是提供了 Windows环境下一种基于 PCI卡的硬盘写保护锁。
背景技术:
随着信息化程度越来越高,计算机犯罪现象越来越普遍。相对于普通犯罪的 取证来说,计算机犯罪取证具有很强的特殊性。计算机的数据一般存储在本地硬 盘上,从计算机硬盘提取有价值的信息是计算机犯罪取证的一个研究热点。直接 运行罪犯硬盘上的Windows操作系统重现罪犯的工作环境,将会使得取证工作变 得迅速和高效;但是,需要使用硬盘写保护锁来防止Windows操作系统修改硬盘 上的数据。目前存在的硬盘写保护锁分为两类。 一类在计算机主板和硬盘之间增加额外 的硬件设备。该类方案由于和硬件结合比较紧密,存在成本高和兼容性的问题。 另外一类需要在硬盘上安装硬盘写保护锁程序,硬盘写保护锁程序在重新启动后 生效。硬盘写保护锁程序在硬盘上划分出一块没有使用的区域,把Windows操 作系统写入硬盘其它地方的数据重定向到该区域中。该类硬盘保护锁的安装过程 和工作过程都修改了硬盘的数据,影响了硬盘数据的司法有效性。发明内容本发明的目的在于提供一种Windows环境下的低成本的基于PCI卡的硬盘写 保护锁。本发明的技术方案是包括一个PCI卡, 一段存放在PCI卡扩展ROM映像中的加载程序, 一段存放在 PCI卡非扩展ROM的硬盘写保护锁程序;加载程序监控Windows操作系统通过 INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操 作系统;硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。加载程序存放在PCI卡扩展ROM的映像中;当计算机BIOS执行的自检操作检测 到PCI卡具有扩展ROM时,将扩展R0M中的映像读入内存C0000H DFFFFH中的某一 个区域,然后作一个远程调用,执行映像中的加载程序;加载程序监控Windows操 作系统通过INT13H中断读写目标硬盘,在内存中修改读取的注册表信息和文件系 统信息,把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入Windows操作系统。硬盘写保护锁程序存放在PCI卡的非扩展ROM中;它是一个工作在Windows操 作系统内核的磁盘过滤驱动程序,监控Windows操作系统通过驱动程序读写目标 硬盘;当Windows操作系统需要把数据写入目标硬盘时,硬盘写保护锁程序把写 操作重定向到PCI卡的非扩展ROM;当Windows操作系统需要读取被重定向到PCI 卡非扩展ROM的数据时,硬盘写保护锁程序把读操作重定向到PCI卡的非扩展ROM。当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的 映像读入内存C0000H DFFFFH中的某一个区域,然后作一个远程调用,执行映像 中的加载程序。加载程序通过修改頂T13H的中断服务程序来监控计算机对目标硬 盘的读写。加载程序完成修改后,把硬盘0扇区的内容读入内存0000: 7C00并执 行,从硬盘上启动Windows操作系统。在随后的启动过程中,硬盘上的Windows 引导程序(Osloader. exe)通过INT13H读取注册表信息和文件系统信息。加载程序 监测到引导程序对注册表的读写,调用原始的IM13H中断服务程序读取硬盘上的 注册表到内存,并在内存中修改读取的内容,让引导程序加载一个硬盘上并不存 在的内核驱动程序。当引导程序通过INT13H来读取该内核驱动程序时,加载程序 把读操作重定向到PCI卡,读取存放在PCI卡非扩展ROM的硬盘写保护锁程序。至 此,引导程序获得了硬盘写保护锁程序的内容,并根据注册表的指示将它装入到 Windows操作系统。引导程序完成系统初始化工作后,Windows操作系统开始启动。 此时刻开始,Windows操作系统将放弃使用INT13H中断改用驱动程序访问硬盘等 存储设备。作为磁盘过滤驱动程序嵌入Windows操作系统的硬盘写保护锁程序接 管对目标硬盘读写操作的监控。本发明的有益效果是1) 设计新颖。不需要在计算机主板和硬盘之间增加额外的硬件设备。2) 使用成本低。仅需要一个PCI卡。3)实用价值高。可以作为各种计算机犯罪取证软件的运行平台。
图l一磁盘存储驱动程序层次示意图。 图2—PCI卡存储空间的使用示意图。 图3—硬盘写保护锁程序的工作示意图 图4—从PCI卡启动的工作流程图。
具体实施方式
下面结合附图和具体实施方式
对本发明作进一步详细描述。本发明不仅限于 以下实施例,凡是利用本发明的设计思路,做一些简单变化的设计都应进入本发 明的保护范围之内。PCI卡作为加载程序和硬盘写保护锁程序的载体。加载程序存放在PCI卡扩展 R0M的映像中,硬盘写保护锁程序存放在PCI卡的非扩展ROM中。除此之外,PCI 卡的部分非扩展ROM用于存储本应写入目标硬盘的数据,即硬盘数据区,如图2。硬盘写保护锁程序(DiskLock. sys)工作在Windows操作系统内核,位于磁 盘驱动程序(Disk, sys)和分区驱动程序(PartMgr. sys)之间,如图l。 Windows 操作系统启动后,计算机对硬盘的读写操作通过输入输出请求包(IRP)来完成。 当Windows操作系统需要访问硬盘时,构造相应的IRP并且层层下传。硬盘写保护 锁程序对分区驱动程序传下来的IRP进行分析如果该IRP为写操作,硬盘写保护 锁程序査找内存中的重定向记录表。如果存在重定向记录,硬盘写保护锁程序根 据重定向记录,把该IRP重定向到USB设备的硬盘数据区完成写操作;如果不存在 重定向记录,硬盘写保护锁程序在重定向记录表里新增加一项重定向记录,且根 据新增加的重定向记录,把该IRP重定向到USB设备的硬盘数据区完成写操作。如 果该IRP为读操作,硬盘写保护锁程序查找内存中的重定向记录表。如果存在重 定向记录,硬盘写保护锁程序根据重定向记录,把该IRP重定向到USB设备的硬盘 数据区完成读操作;如果不存在重定向记录,硬盘写保护锁程序直接将该IRP发 送给磁盘驱动程序。图3为硬盘写保护锁程序工作示意图。Windows操作系统启动时需要很多初始化数据,这些数据保存在注册表中。系统启动时,引导程序读取注册表来完成初始化操作。加载程序监控引导程序读 取注册表的操作,在内存中修改引导程序读取的数据。HKEY—L0CAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E9 67-E325-11CE-BFC1-08002BE10318l中U卯erFilters键指示磁盘存储驱动程序 的层次顺序PartMgr. sys, Diskperf. sys。其中Diskperf. sys为Windows 2000 独有。这里我们需要将内存中的U卯erFilters键值进行修改,层次顺序变为 DiskLock. sys, PartMgr. sys, Diskperf. sys。除此之夕卜,我们还需要在内存中 的HKEY—LOCAL—MACHINE\SYSTEM\CurrentControlSet\Services键下面增加 DiskLock键,且在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service s\DiskLock键下增加Start, Group等键值并且赋予相应的值。其中Start=0表 示DiskLock. sys在计算机启动时装入。对内存中注册表数据的修改生效后,引 导程序需要从文件系统获取DiskLock. sys文件的信息。加载程序截获引导程序 对SYSTEM32\DRIVERS目录信息的访问,在内存中增加DiskLock. sys的信息,如 文件大小、文件位置等等。当引导程序根据这些信息读取DiskLock.sys (DiskLock. sys在硬盘上并不存在)时,加载程序把读操作且重定向到PCI卡, 读取放在PCI卡非扩展ROM的DiskLock.sys。至此,引导程序获得了 DiskLock. sys的内容,并根据注册表的指示将DiskLock. sys装入到Windows操 作系统,如图4所示。
权利要求
1. Windows环境下一种基于PCI卡的硬盘写保护锁,其特征在于包括一个PCI卡,一段存放在PCI卡扩展ROM映像中的加载程序,一段存放在PCI卡非扩展ROM的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统;硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。
2. 如权利要求1所述的Windows环境下一种基于PCI卡的硬盘写保护锁,其特 征在于所述的加载程序存放在PCI卡扩展ROM的映像中;当计算机BIOS 执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的映像读入内 存C0000H DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加 载程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在 内存中修改读取的注册表信息和文件系统信息,把硬盘写保护锁程序作为磁 盘过滤驱动程序嵌入Windows操作系统。
3. 如权利要求l所述的Windows环境下一种基于PCI卡的硬盘写保护锁,其特 征在于所述的硬盘写保护锁程序存放在PCI卡的非扩展ROM中;它是一个 工作在Windows操作系统内核的磁盘过滤驱动程序,监控Windows操作系统 通过驱动程序读写目标硬盘;当Windows操作系统需要把数据写入目标硬盘 时,硬盘写保护锁程序把写操作重定向到PCI卡的非扩展ROM;当Windows 操作系统需要读取被重定向到PCI卡非扩展ROM的数据时,硬盘写保护锁程 序把读操作重定向到PCI卡的非扩展ROM。
全文摘要
本发明涉及计算机取证领域,具体的说是提供了Windows环境下一种硬盘写保护锁。本发明包括一个PCI卡,一段存放在PCI卡扩展ROM映像中的加载程序,一段存放在PCI卡非扩展ROM的硬盘写保护锁程序。加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统。硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。本发明设计新颖,不需要在计算机主板和硬盘之间增加额外的硬件设备;使用成本低,仅需要一个PCI卡;实用价值高,可以作为各种计算机犯罪取证软件的运行平台。
文档编号G06F12/14GK101236533SQ20071011981
公开日2008年8月6日 申请日期2007年7月31日 优先权日2007年7月31日
发明者佐 王, 谭毓安 申请人:北京理工大学