基于磁盘过滤驱动的硬盘保护技术.docVIP

基于磁盘过滤驱动的硬盘保护技术 　　摘要:针对传统利用中断方式的磁盘保护有不少安全隐患,分析了一种基于磁盘过滤驱动的硬盘保护工作机制。该机制的核心思想是在对上层操作系统透明的情况下,重定向对磁盘操作的I/O请求包,在重启系统后自动清除缓存数据。由于工作在操作系统内核层增强了保护功能的安全性。 　　关键词:中断;过滤驱动;硬盘保护;I/ O 请求包 　　中图分类号:TP334文献标识码:A文章编号:1009-3044(2009)35-10106-02 　　The Technology of Hard-disk Protection Method Based on Disk Filter Driver 　　WEI Xi-san1,2, DONG Wei2 　　(1.Computer School of Wuhan University, Wuhan 430072, China; 2.Computer Teaching Center, Xiangfan University, Xiangfan 441053, China ) 　　Abstract: The traditional method of disk protection using interrupted many security risks, analysis of a filter driver for hard disk-based protection mechanism. The core idea of the mechanism is operating in the upper transparent circumstances, the redirection operation of the disk I/O request packet, in the reboot the system automatically clear the cache data. As a result of the operating system kernel layer of enhanced security protection. 　　Key words: INT; filter driver; hard-disk protection; IRP 　　传统的硬盘保护软/硬件,主要是拦截和接管INT13H中断,比如现有常见的还原卡就是在引导系统前就预先修改中断表,用自己的处理函数替换了正常的INT13H,在上层系统对磁盘进行存取时,进行相应的偏移,这种保护技术几乎兼容所有的操作系统,并且对硬盘上的数据能起到完整的保护作用,但它消耗大量的存储空间(和被保护空间为1:1),不兼容特殊工作的硬盘(如SCSI硬盘),保护空间大小有限制(如DOS兼容模式的2.1G,LBA28位寻址的137G限制),并且容易被破解(找到原始的IHT13H的地址,修改即可)。 　　本文介绍了一种基于磁盘过滤驱动的硬盘保护(还原)技术,利用微软本身的系统架构,对系统中读写磁盘的操作进行检测和过滤,以达到对磁盘数据的保护。 　　1 磁盘过滤驱动的原理 　　微软的Windows在内核里对设备对象的管理是分层的,同时,用户对任何设备的访问都最终会以IRP(I/O请求包)的形式发送到目标设备对象驱动中。 　　用户按一定的规范编写并安全驱动,由系统在特定时候加载,使用户层在对某些设备进行的操作请求按一定的次序,一层又一层地经过这些驱动,每一层的驱动可以选择对这些请求进行修改、下传或者是抛弃。 　　通常使用一个磁盘过滤驱动,建立一个磁盘过滤设备,Attach到磁盘卷设备,即Device\HarddiskVolumeX(X为数字)上,这样可以监控系统对磁盘数据的读写、重定向等。 　　这种硬盘保护技术的优点在于:因为过滤驱动介于磁盘驱动和用户层之间,所以它是设备无关的,不用考虑当前机器上安装的是多大的磁盘,也不用考虑磁盘是IDE的还是SCSI的,因为这些工作都由更底层的磁盘驱动来完成了。系统会把用户级对文件的读写操作转化成IRP,交由内核的磁盘对象,内核再根据设备栈上挂着的驱动顺序,一个个地把IRP发给它们。因为由驱动完成,可以在驱动中做稍微复杂的计算,实现以下功能:使用比被保护区要小的存储区,存储区可以不连续,还可以指定存储区的有效期等功能。 　　2 具体实现 　　微软自带的系统还原系统主要是基于文件系统的过滤功能,通过安装的文件系统过滤驱动sr.sys,配合Srrstr.dll、Srsvc.dll、Srclient.dll,监听系统以及某些应用程序文件的改变,并使用写时拷贝(copy on write)技术,自动创建易于识别的还原点。这种系统还原只要跳过文件系统的读写操作