还原卡关键数据安全性研究.docVIP

还原卡关键数据安全性研究 　　【摘要】针对还原卡的安全性问题，在分析还原卡的技术原理及穿透技术原理的基础上，提出了从更底层着手改进还原卡技术的思想。 　　【关键词】 还原卡 穿透技术 主引导记录 安全 　　【Abstract】Aimed at the problem of security of recovery card，on the 　　 basis of the technical principle and the principle of penetration tech- 　　nique of recovery card，thoughts was put forward tried to improve tech- 　　nology of recovery card more bottom . 　　【Keywords】 recovery card；penetration technique；master boot record；security 　　 　　1引言 　　目前，计算机机房是各高校计算机教学和实验的重要场所，它除了承担着全校各院系学生的上机任务外，还承担了各种计算机培训、考试和科研等任务。为了减轻机房维护人员繁琐的工作，计算机机房都使用了还原卡。还原卡可以使电脑在遭到破坏时,将系统还原到初始的状态。这种破坏包括有意无意的删除、破坏系统文件，以及各种病毒和木马的攻击。只要重新启动计算机，系统就会恢复到系统原来的状态，对计算机机房的计算机起到了很好的保护作用，给我们机房维护人员带来了极大的方便。但是，还原卡也存在着缺陷，它不能阻挡所有的攻击，所以我们有必要对它的关键数据的安全性做一研究。 　　2还原卡的技术原理 　　1)还原卡介绍 　　硬盘还原卡又叫硬盘保护卡，它是一种PCI扩展卡，主要功能就是当硬盘数据遭到破坏时对其进行还原，也就是保护硬盘数据。原卡其实就是一硬件芯片，它与硬盘的主引导扇区MBR协同工作，它加载驱动的方式有点像dos下的引导型病毒，各厂家还原卡的原理基本上都基本相同,那就是接管BIOS（基本输入输出系统）的INT13中断，备份FAT（文件分区表）、引导区、CMOS信息以及中断向量表等信息，保存在在硬盘的保留扇区中。用自带的中断向量表替换原始的中断向量表，用备份的FAT信息来应付我们对硬盘内数据的修改。 　　2）硬盘结构介绍 　　硬盘只有建立起完整的数据结构体系，才能正常使用。该数据结构体包括：主引导纪录、主分区表和分区链表、分区引导纪录、文件分配表、文件目录表以及数据区。主引导扇区是硬盘的第一个扇区（0柱面0磁头1扇区），由主引导记录MBR（Main Boot Record)）、主分区表即磁盘分区表（DPT）和引导扇区标记三部分组成，是完成系统BIOS向操作系统交接的重要入口。主引导记录MBR是物理第一硬盘的第0磁头0磁道1扇区，占用主引导扇区的前446个字节，存放系统主引导程序，负责从活动分区中装载并运行系统引导程序。MBR不随操作系统的不同而不同，即不同的操作系统可能会存在相同的MBR。MBR不夹带操作系统的性质，具有公共引导的特性。计算机必须从第一硬盘的第0磁头0磁道1扇区启动，所以第0磁头0磁道1扇区被称为主引导记录。MBR后面的2-63扇区是保留扇区，它们与主引导扇区一样独立于硬盘的任何分区。目前的操作系统和一些软件都不对它进行写操作，是公认的安全区，还原卡的一些静态的设置信息和关键数据就存放在其中。是还原卡的静态工作区。保留扇区还包括硬盘上扩展分区中的每一个逻辑分区(又称逻辑盘)的第1个扇区（扩展主引导扇区），后的若干个扇区。保护卡的一些设置信息，如管理密码、主引导扇区和CMOS信息的备份、硬盘各分区是否保护的标志信息等许多关键性的数据，都分散保存在这些扇区中。 　　对于还原技术来说，原理都是一样的，只是各还原卡厂家采用的方法不同而已。还原卡在文件系统和磁盘驱动之间嵌入了一层磁盘过滤驱动，通过它才能够实现系统还原。通常情况下Windows操作系统和各种应用程序对硬盘进行访问必须经过磁盘过滤驱动。磁盘过滤驱动把所有的磁盘R/W都映射到缓冲区中，它不会真正改写原来的数据，从而实现了系统还原。还原系统必须先于操作系统启动来获取引导权，才能够达到控制和保护磁盘的目的。为了能够在Windows操作系统启动之前得到执行权，还原系统需要在硬盘的第0磁头0磁道的第1个扇区（MBR）写入自己的代码，而把硬盘原来的第MBR的数据保存在其它的扇区中。还原系统修改中断INT 13H入口后还会通过常驻程序修改其它的一些中断入口，这些中断监控中断向量表中INT 13H的入口地址，只要发现数据有变化就立刻把它改回来。这些代码可以完成以下操作： 　　1)对所有INT 13H对