硬盘数据保护的程序探讨

硬盘数据保护的程序探讨

有效保护公共计算机区域的硬盘驱动器，采用“只读不写”技术，但不能保护整个硬盘驱动器。当全硬盘驱动器上执行全载保护时，它可以防止硬盘驱动器受到计算机病毒攻击，避免人为操作错误，造成系统配置破坏，但需要在硬盘上生成临时文件。因此，当使用“只读不写”技术时，需要打开可以写入系统的逻辑盘。也就是说，只有在系统的区域实施“只读不写”。对硬盘采用“只读不写”技术有硬件方法和软件方法两种,不管用哪类方法,都要将系统运行时的所有写操作定义到开辟了可写功能的逻辑盘上,为此需改变系统的某些默认设置,但是系统类临时文件的存放位置、文档类文件的存储区的默认设置都是C盘,因此需先对它们进行修改。1目前常用的硬盘保护机制1.1硬脆病毒保护的硬件方法硬盘写保护卡可有效地实现硬盘的指定分区进行“只读不写”功能,其实现“只读不写”功能的方法有3种:(1)采用扩展BIOSROM的方法,用固化于ROM中的程序实现硬盘指定分区的“只读不写”;(2)在主板的总线上采用硬件的方法实现硬盘指定分区“只读不写”;(3)在硬盘信号线上采用硬件方法实现硬盘指定区域的“只读不写”。方法(2)和方法(3)是在纯硬件上实现硬盘的保护,因此可防止所有的病毒的入侵,同时也可防止任何的人为删除、高级格式化、低级格式化或其它的误操作造成的硬盘上指定区域上的文件的破坏。方法(1)虽然是采用程序的方式对硬盘进行保护,由于ROM中固化的程序运行先于磁盘中的程序,因此只要不破坏运行中的该程序,其保护效果也和纯硬件的方法(2)或方法(3)差不多。用硬盘写保护卡对硬盘进行保护的缺点是要占用主板上的扩展插槽,且增加了设备的购置成本。1.2自动形成分区目前用于对硬盘进行保护的应用软件有多个,如ADM、超级保镖等,它们均是作为系统下的一个应用软件对硬盘分区进行保护。ADM是一个高级磁盘管理软件,用ADM可以对硬盘分区进行保护,用ADM对硬盘分区进行保护的步骤如下:(1)用带ADM.EXE的干净系统盘引导系统;(2)运行ADM.EXE,将硬盘划分为一个基本DOS分区和若干个ADM分区,并将DOS分区设置成活动分区;(3)根据需要设置各分区的读写属性;(4)格式化各分区;(5)设置各分区保护及超级用户标识符,并定义口令;(6)在CONFIG.SYS中加入语句:DEVICE=ADM.SYS。完成上述操作后,普通用户就只能对指定的分区进行读出和写入操作,而对ADM指定的“只读”分区,用户只有读数据权限,而无写入数据和修改数据的权限,从而达到指定分区的数据保护。用ADM对硬盘进行的保护可避免人为的误操作而造成系统文件的破坏,但这种保护有明显的局限性,如果用户在启动机器时按F5键就可跳过CONFIG.SYS,从而很容易使保护失效,其次它不能防止用户从软驱启动系统,如果用户从软驱启动系统后又应用了DEBUG或汇编语言等软件,就可轻易地破坏硬盘上的所有文件,除此之外ADM软件对很多病毒无防范能力,如对引导型病毒就很难防范,为此用软件的方法保护硬盘应在ADM的基础上作进一步的改进。2修改盘份使用t13h用软件来保护硬盘主要要做两项工作:(1)修改对磁盘进行访问的INT13H,使得硬盘上的指定区域只能进行读操作,而不能进行写操作;(2)要防止用户从软盘启动系统。2.1拦截int13h的方案修改对磁盘进行访问的INT13H,最常用的方法是拦截INT13H,拦截INT13H的方案可有多种,方案之一为编写一个新的INT13H应用程序,将该程序加在自动批处理文件中,开机就被执行,然后驻留内存中。当程序要访问硬盘时,先判断访问操作是读还是写,若是写则还要判断是否写授权的分区,若不是则中断返回并给出提示信息。用该方案的优点是简单易行,并且在C盘上安装软件时,只要不运行该驻留程序即可,其缺点是不够隐蔽,并且在启动系统时,很容易通过按某些键来跳过自动批处理文件的运行来绕过写保护程序,因此对INT13H的拦截并不彻底,对硬盘的保护也就很有限了。拦截INT13H的方案之二为修改主板上的BIOS,具体实现方法是将BIOS从主板的ROM中读出来,找到其中关于磁盘读写的代码,直接修改INT13H的处理程序,使其对硬盘的指定分区有写保护的功能,该方案对INT13H的拦截是很彻底的,但由于不同的主板其BIOS代码不完全相同,针对不同的BIOS要进行不同的修改,实现起来难度较大,同时在进行BIOS升级后又要重新修改BIOS,工作量也很大,因此该方案并不实用。拦截INT13H的方案之三为修改硬盘的主引导记录MBR,系统从硬盘启动时,首先是要读硬盘0磁头、0柱面、1扇区前端的引导程序,如果将自编的引导程序放在硬盘0磁头、0柱面、1扇区的前端,只要从硬盘启动系统就能保证自编的引导程序能可靠地得到执行,这种拦截工作相对来说比较彻底,同时实现起来也不困难,下面将就这一方案讨论硬盘的软保护。具体的做法是使计算机先执行自编的引导程序,让自编的拦截程序驻留内存后,才进入正常的启动过程。其流程如图1所示。(2)重新编写主引导记录,并将它存放到0磁头、0柱面、1扇区原来存放主引导记录MBR的位置。(3)执行自编的主引导记录。自编的主引导记录应完成如下工作:(1)修改中断向量表,使修改后的INT13H指向修改后的INT13H服务程序。(2)将修改后的INT13H驻留在基本内存的高端。(3)将BIOS数据区0040:0413处记载的内存容量数据减少若干kB(该值取决于驻留程序的大小),以防止驻留程序被其它程序覆盖。(4)执行正常的MBR,完成系统的正常引导。修改之后的INT13H的处理流程如图2所示。2.2注意不同区域的分区设置,避免系统启动由于用软件保护硬盘的先决条件是首先执行存放在硬盘中的保护程序,使INT13H得到拦截,如果用户从软盘启动系统,相应的保护程序就得不到执行,保护就无从谈起。有些软件方法保护硬盘时,可让用户从软盘启动系统后,不能识别硬盘,这种方法虽然可防止用户删除硬盘上的文件,但无法阻止硬盘引导区的写入操作,从而无法保证硬盘不受引导型病毒的入侵,也无法保证硬盘不被重新分区和格式化。(1)用CMOS设置来限制软盘启动系统要防止从软盘启动系统的最简单的方法,是对CMOS进行适当的设置,包括设置口令和适当的启动顺序,但要使口令失效已成为公开的“秘密”,稍懂一点软件知识的用户,只要通过CMOS的两个端口地址70H和71H往CMOS中随便写入数据就可能导致CMOS出现奇偶校验错误,从而导致系统不承认CMOS的设置有效,使得设置的口令、启动顺序及其它相关设置全部失效。(2)修改分区信息表防止从软盘启动系统从软盘启动系统时,同样要读取硬盘0磁头、0柱面、1扇区的分区信息表。经过实验发现,在DOS和PWIN9X系统下,只要使主DOS分区表变为无效,再将扩展分区的起始扇区指向主引导记录。就可使DOS无法从软盘启动,这也许是DOS设计上的问题,但利用这一点就可有效地防止系统从软盘启动。硬盘0磁头、0柱面、1扇区的信息中包含有4个分区表的信息,分区信息的位置是在该扇区的1BE开始的位置上,共64B,每个分区占用16B,各字节的含义如表1所示。对大多数硬盘,1BE至1CD处为主分区信息,1CE至1DD处为扩展分区信息。要使系统不能从软盘启动,只要将1C2处改为00,将1CF至1D1处的3个字节的内容分别改为00、01、00(即主引导记录所在磁头、扇区和柱面号)即可。进行以上修改后,尽管破坏了0磁头、0柱面、1扇区的分区信息,但用硬盘启动系统时,由于对INT13H进行了修改,读取的分区信息是保存在其它位置的正常的分区表,而不是读取0磁头、0柱面、1扇区处的分区信息,因此不影响系统从硬盘启动。2.3pin9x对系统引导的os在PWin9X操作系统中,不是通过INT13H来对硬盘进行读写的,也没有直接访问扇区的API函数,而是利用它自己的32位的保护模式下的磁盘驱动程序来访问磁盘,要想在PWin9X系统引导前就能接管并监控PWin9X对硬盘扇区的访问,就要迫使PWin9X工作在16位的文件系统方式下(DOS兼容方式),在此方式下PWin9X采用的是16位的磁盘驱动程序访问磁盘,即也同DOS一样是用INT13H对磁盘进行读写。具体的操作方法:右击“我的电脑”,在系统属性→性能→文件系统→疑难解答中禁用32位保护模式的磁盘驱动程序即可。经过实验发现采用拦截INT13H方案时,如果不禁用32位保护模式的磁盘驱动程序,PWin9X就无法启动,同时光驱的驱动程序要在CONFIG.SYS和AUTOEXEC.BAT中加载,否则会找不到光驱。2.4法律上的保护经过以上处理后的硬盘,不但系统无法从软盘启动,而且当盘挂到机器上使用时,也无法从主盘启动系统,甚至在机器上插有带启动芯片的网卡也无法从网络或本地盘上启动,也就是说只要进行了以上修改的硬盘挂到机器上,就无法从其它的磁盘上或通过网卡启动系统,也就无法解除对指定盘的保护,但在实际应用中常常需要解除对硬盘的保护(如要在C盘上新安装某些软件)。要解除对硬盘的保护有两种方法:(1)用BIOS自带的服务程序对硬盘进行低级格式化,但这样会破坏硬盘上的全部数据,并且现在主板的BIOS已多数不自带对硬盘进行低级格式化的服务程序,同时还有不少厂家的硬盘不能被主板BIOS自带的低级格式化服务程序低级格式化,因此该方法多数情况下不适用;(2)修改软盘上的引导记录,使读硬盘上的分区信息时,不是去读0磁头、0柱面、1扇区处的分区信息,而是去读存放有有效分区信息的n扇区,这样就可用软盘启动系统了。用软盘启动系统后,再将保存在第n扇区的内容读出来并写回0磁头、0柱面、1扇区就解除了硬盘的保护。3增强程序能力基于软件的硬盘保护方案成本低,对于大批机器的保护是一种最可取的方法。不过既然是软件保护,在保护性能上同某些基于纯硬件的保护卡相比还是有一定的差距,比如某些病毒程序有自己的INT13H,具有直接读写与硬盘有关的端