专利名称:Windows环境下一种基于USB设备的硬盘写保护锁的制作方法
技术领域:
本发明涉及计算机取证领域,具体的说是提供了 Windows环境下一种基于 USB设备的硬盘写保护锁
背景技术:
随着信息化程度越来越高,计算机犯罪现象越来越普遍相对于普通犯罪的取 证来说,计算机犯罪取证具有很强的特殊性计算机的数据一般存储在本地硬盘 上,从计算机硬盘提取有价值的信息是计算机犯罪取证的一个研究热点直接运行 罪犯硬盘上的Windows操作系统重现罪犯的工作环境,将会使得取证工作变得迅 速和高效;但是,需要使用硬盘写保护锁来防止Windows操作系统修改硬盘上的 数据
目前存在的硬盘写保护锁分为两类 一类在计算机主板和硬盘之间增加额外 的硬件设备该类方案由于和硬件结合比较紧密,存在成本高和兼容性的问题另 外一类需要在硬盘上安装硬盘写保护锁程序,硬盘写保护锁程序在重新启动后生 效硬盘写保护锁程序在硬盘上划分出一块没有使用的区域,把Windows操作系 统写入硬盘其它地方的数据重定向到该区域中。i^^硬盘保护锁的安装过程和工 作过程都修改了硬盘的数据,影响了硬盘数据的司法有效性
发明内容
本发明的目的在于提供一种Windows环境下的低成本的基于USB设备的硬盘 写保护锁
本发明的技术方案是
包括一个USB设备, 一段存放在USB设备O扇区的加载程序, 一段存放在USB 设备隐藏扇区的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H 中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统 硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作
重定向到USB设备从而保护硬盘数据不被修改
加载程序存放在USB设备的O扇区;当计算机从USB设备启动时,BI0S将加载 程序读入内存执行;加载程序监控Windows操作系统通过INT13H中断读写目标硬 盘,在内存中修改读取的注册表信息和文件系统信息,把硬盘写保护锁程序作为 磁盘过滤驱动程序嵌入到Windows操作系统
硬盘写保护锁程序存放在USB设备的隐藏扇区;它是一个工作在Windows操作 系统内核的磁盘过滤驱动程序,监控Windows操作系统通过驱动程序读写目标硬 盘;当Windows操作系统需要把数据写入目标硬盘时,硬盘写保护锁程序把写操 作重定向到USB设备;当Windows操作系统需要读取被重定向到USB设备的数据时, 硬盘写保护锁程序把读操作重定向到USB设备
当计算机从USB设备启动时,BIOS把存放在USB设备0扇区的加载程序读入内 存并执行加载程序通过修改INT13H的中断服务程序来监控计算机对目标硬盘的 读写力P载程序完成修改后,把硬盘0扇区的内容读入内存0000: 7C00并执行,从 硬盘上启动Windows操作系统在随后的启动过程中,硬盘上的Windows引导程序 (Osloader. exe)通过INT13H读取注册表信息和文件系统信息加载程序监测到引 导程序对注册表的读写,调用原始的INT13H中断服务程序读取硬盘上的注册表到 内存,并在内存中修改读取的内容,让引导程序加载一个硬盘上并不存在的内核 驱动程序当引导程序通过INT13H来读取该内核驱动程序时,加载程序把读操作重 定向到USB设备,读取存放在USB设备隐藏扇区上的硬盘写保护锁程序至此,引导 程序获得了硬盘写保护锁程序的内容,并根据注册表的指示将它装入到Windows 操作系统引导程序完成系统初始化工作后,Windows操作系统开始启动此时刻开 始,Windows操作系统将放弃使用INT13H中断改用驱动程序访问硬盘等存储设备 作为磁盘过滤驱动程序嵌入Windows操作系统的硬盘写保护锁程序接管对目标硬 盘读写操作的监控
本发明的有益效果是
1) 设计新颖不需要在计算机主板和硬盘之间增加额外的硬件设备
2) 使用成本低仅需要一个支持从USB启动的USB设备
3) 实用价值高可以作为各种计算机犯罪取证软件的运行平台
图l一磁盘存储驱动程序层次示意图 图2—USB设备扇区的使用示意图 图3—硬盘写保护锁程序的工作示意图 图4一从USB设备启动的工作流程图
具体实施例方式
下面结合附图和具体实施方式
对本发明作进一步详细描述本发明不仅限于 以下实施例,凡是利用本发明的设计思路,做一些简单变化的设计都应进入本发 明的保护范围之内
USB设备作为加载程序和硬盘写保护锁程序的载体加载程序存放在USB设备 的0扇区,硬盘写保护锁程序存放在USB设备的隐藏扇区USB设备进行普通的数据 拷贝使用正常分区,即图2中USB数据区;USB设备的隐藏分区用于存储本应写入 目标硬盘的数据,即图2中的硬盘数据区
硬盘写保护锁程序(DiskLock.sys)工作在Windows操作系统内核,位于磁 盘驱动程序(Disk, sys)和分区驱动程序(PartMgr. sys)之间,如图lWindows操 作系统启动后,计算机对硬盘的读写操作通过输入输出请求包(IRP)来完成当 Windows操作系统需要访问硬盘时,构造相应的IRP并且层层下传 m写保护锁程 序对分区驱动程序传下来的IRP进行分析如果该IRP为写操作,硬盘写保护锁程 序査找内存中的重定向记录表如果存在重定向记录,硬盘写保护锁程序根据重定 向记录,把该IRP重定向到USB设备的硬盘数据区完成写操作;如果不存在重定向 记录,硬盘写保护锁程序在重定向记录表里新增加一项重定向记录,且根据新增 加的重定向记录,把该IRP重定向到USB设备的硬盘数据区完成写操作如果该IRP 为读操作,硬盘写保护锁程序查找内存中的重定向记录表如果存在重定向记录, 硬盘写保护锁程序根据重定向记录,把该IRP重定向到USB设备的硬盘数据区完成 读操作;如果不存在重定向记录,硬盘写保护锁程序直接将该IRP发送给磁盘驱 动程序图3为硬盘写保护锁程序工作示意图
Windows操作系统启动时需要很多初始化数据,这些数据保存在注册表中系 统启动时,引导程序读取注册表来完成初始化操作力B载程序监控引导程序读取注
册表的操作,在内存中修改引导程序读取的数据
HKEY—L0CAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E9 67-E325-11CE-BFC1-08002BE10318)中UpperFilters键指示磁盘存储驱动程序 的层次顺序PartMgr. sys, Diskperf. sys Diskperf. sys为Windows 2000 独有这里我们需要将内存中的U卯erFilters键值进行修改,层次顺序变为 DiskLock.sys, PartMgr. sys, Diskperf. sys除此之夕卜,我们还需要在内存中的 HKEY—LOCAL—MACHINE\SYSTEM\CurrentControlSet\Services 键下面增加 DiskLock键,且在HKEY—LOCAL—MACHINE\SYSTEM\CurrentControlSet\Service s\DiskLock键下增加Start, Group等键值并且赋予相应的值其中Start=0表示 DiskLock. sys在计算机启动时装入对内存中注册表数据的修改生效后,引导程 序需要从文件系统获取DiskLock. sys文件的信息加载程序截获引导程序对 SYSTEM32\DRIVERS目录信息的访问,在内存中增加DiskLock. sys的信息,如文 件大爪文件位置等筝当引导程序根据这些信息读取DiskLock.sys (DiskLock. sys在硬盘上并不存在)时,加载程序把读操作且重定向到USB设 备,读取放在USB设备隐藏扇区的DiskLock.sys至此,引导程序获得了 DiskLock. sys的内容,并根据注册表的指示将DiskLock. sys装入到Windows操 作系统,如图4所示。
权利要求
1.Windows环境下一种基于USB设备的硬盘写保护锁,其特征在于包括一个USB设备,一段存放在USB设备0扇区的加载程序,一段存放在USB设备隐藏扇区的硬盘写保护锁程序;加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到USB设备从而保护硬盘数据不被修改
2. 如权利要求1所述的Windows环境下一种基于USB设备的硬盘写保护锁, 其特征在于所述的加载程序存放在USB设备的O扇区;当计算机从USB设 备启动时,BIOS将加载程序读入内存执行;加载程序监控Windows操作系统 通过INT13H中断读写目标硬盘,在内存中修改读取的注册表信息和文件系统 信息,把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入到Windows操作系统
3. 如权利要求1所述的Windows环境下一种基于USB设备的硬盘写保护锁, 其特征在于所述的硬盘写保护锁程序存放在USB设备的隐藏扇区;它是一 个工作在Windows操作系统内核的磁盘过滤驱动程序,监控Windows操作系 统通过驱动程序读写目标硬盘;当Windows操作系统需要把数据写入目标硬 盘时,硬盘写保护锁程序把写操作重定向到USB设备;当Windows操作系统 需要读取被重定向到USB设备的数据时,硬盘写保护锁程序把读操作重定向 到USB设备。
全文摘要
本发明涉及计算机取证领域,具体的说是提供了Windows环境下一种硬盘写保护锁。本发明包括一个USB设备,一段存放在USB设备0扇区的加载程序,一段存放在USB设备的隐藏扇区的硬盘写保护锁程序。加载程序监控Windows操作系统通过INT13H中断读写目标硬盘,在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统。硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘,将写操作重定向到USB设备从而保护硬盘数据不被修改。本发明设计新颖,不需要在计算机主板和硬盘之间增加额外的硬件设备;使用成本低仅需要一个支持从USB启动的USB设备;实用价值高,可以作为各种计算机犯罪取证软件的运行平台。
文档编号G06F21/02GK101373457SQ20071011981
公开日2009年2月25日 申请日期2007年7月31日 优先权日2007年7月31日
发明者佐 王, 谭毓安 申请人:北京理工大学