对保护卡问题思考.docVIP

对保护卡问题思考 　　[摘要]目前保护卡已经成为各高校对计算机进行软件维护的主要工具，讨论保护卡的原理及近几年出现的关于保护卡的问题。 　　[关键词]保护卡 中断 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597(2008)0820020－01 　　 　　硬盘还原卡也叫硬盘保护卡或简称保护卡，它的作用是在硬盘非物理损坏的情况下，恢复到系统刚被装好的状态。不管是病毒、误改、误删、故意破坏硬盘的内容等，都可以轻易地还原。由于它具有这样的优势，因此被应用在学校机房，网吧等计算机数量较大，数据不能随意修改，且机器需要统一维护的场合。它确实有效的减少了计算机维护的工作量，但是它能不能做到“一卡无忧”是我们值得思考的问题 　　 　　一、保护卡的原理及种类 　　 　　（一）保护卡的原理 　　保护卡的原理简单地说就是在操作系统启动之前获得机器的控制权。用户对硬盘的操作，实际上不是对原来数据的修改，而是对还原卡虚拟的空间进行操作，从而达到对系统数据保护的功能。 　　为了达到对硬盘读写的控制它必须接管接管BIOS的INT 13中断，然后将FAT，引导区，CMOS信息，中断向量表等信息都保存到卡内的临时储存单元中。另外，再将FAT信息备份到另外的临时储存单元中，用来应付我们对硬盘内数据的修改。然后是在硬盘中找到一部分空的磁盘空间，用来保存用户修改的数据。 　　上述工作完成后，每当我们向硬盘写入数据时，其实还是写入到硬盘中，可是没有真正修改硬盘中的FAT。由于保护卡接管INT 13，当发现写操作时，便将原先数据目的地址重新指向先前的空磁盘空间，并将先前备份的第二份FAT中的被修改的相关数据指向这片空间。当我们读取数据时，和写操作相反，当某程序访问某文件时，保护卡先在第二份备份的FAT中查找相关文件，如果是启动后修改过的，便在重新定向的空间中读取，否则在第一份的FAT中查找并读取相关文件。删除和写入数据相同，就是将文件的FAT记录从第二份备份的FAT中删除掉。 　　（二）保护卡的分类 　　1．软保护卡 　　软保护卡就是用软件来实现保护卡的功能，其典型代表就是“还原精灵”。软保护卡的优点是，价格低廉、功能强大，无论是误删除、格式化都能安全恢复。但是占用的磁盘空间较大。 　　2．硬保护卡 　　硬件保护卡的主体是一种硬件芯片，插在主板上与硬盘的MBR（主引导扇区）协同工作。单纯功能的硬盘还原卡已经被淘汰，现在的硬件保护卡的芯片都插在网卡上，将网络和还原技术结合，又叫网络还原卡，可实现远程的开机关机、重起、还原、对拷、监视、控制等功能。其对拷功能支持一台和数百台机器的数据对拷，每秒可以达到数MB，比传统的维护方法省时省力，可以为大规模机群的管理提供支持。 　　 　　二、保护卡的安全性 　　 　　通过对保护卡原理的分析，我们可以看到保护卡的威胁主要来自两方面：一是保护卡管理员的密码；二是INT 13的控制权问题。 　　（一）利用保护卡的管理员密码破坏 　　1．利用默认密码的破坏。一般的保护卡都有一个默认密码，这些默认密码都很简单。所以针对这种破坏的防范就是一定要修改默认的管理员密码。 　　2．利用保护卡的万能密码的破坏。一般保护卡都有自己的万能密码，根据保护卡的型号、批次、类型的不同而不同，厂商也许考虑到管理者遇到密码遗失问题而设了这个后门。但在网上的确可以找到这种万能密码。所以这种破解也是很危险的。遇到这种问题我们只有寄希望于保护卡厂家的版本升级了。 　　（二）针对INT13的控制权的破坏 　　由于大部分还原卡的原理都是修改中断向量表来接管INT 13中断，利用DEBUG工具很容易通过找到INT 13 的原始BIOS中断向量值，填入中断向量表的方法，恢复INT 13的BIOS中断向量，来达到屏蔽掉保护卡的效果。 　　 　　三、保护卡的局限性 　　 　　（一）保护卡与杀毒软件 　　在使用还原卡的计算机上安装的杀毒软件，不论杀毒软件是否升级，当计算机开机或重启后，杀毒软件就退回到原先的版本，实际上并没有真正升级。而传统的杀毒软件技术滞后于病毒的重大技术缺陷在还原卡环境下表露无遗，因为受还原卡功能的制约而无法升级病毒的特征码。这样使得在安装杀毒软件后新出现的病毒不能被及时查杀。 　　由于教学的需要，学校的机房一般只是C盘进行保护，而其他的分区要留给学生存储数据，不能设为保护状态。如果仅是C盘感染病毒一般通过重启的方式可以把C盘的数据还原。还原之后，C盘是没病毒了，但只要打开其它有病毒的盘之后，还是会感染C盘，电脑还是不能用。诸如“Autorun”、“ARP”、“机器狗”等病毒的出现再次向人们证实了保护卡在病毒面前的无奈，而且机器狗病毒的攻击对象就是保护卡。 　　综上所述，杀毒软件