[发明专利]Windows环境下一种基于PCI卡的硬盘写保护锁

说明书

技术领域

本发明涉及计算机取证领域，具体的说是提供了Windows环境下一种基于PCI卡的硬盘写保护锁。

背景技术

随着信息化程度越来越高，计算机犯罪现象越来越普遍。相对于普通犯罪的取证来说，计算机犯罪取证具有很强的特殊性。计算机的数据一般存储在本地硬盘上，从计算机硬盘提取有价值的信息是计算机犯罪取证的一个研究热点。直接运行罪犯硬盘上的Windows操作系统重现罪犯的工作环境，将会使得取证工作变得迅速和高效；但是，需要使用硬盘写保护锁来防止Windows操作系统修改硬盘上的数据。

目前存在的硬盘写保护锁分为两类。一类在计算机主板和硬盘之间增加额外的硬件设备。该类方案由于和硬件结合比较紧密，存在成本高和兼容性的问题。另外一类需要在硬盘上安装硬盘写保护锁程序，硬盘写保护锁程序在重新启动后生效。硬盘写保护锁程序在硬盘上划分出一块没有使用的区域，把Windows操作系统写入硬盘其它地方的数据重定向到该区域中。该类硬盘保护锁的安装过程和工作过程都修改了硬盘的数据，影响了硬盘数据的司法有效性。

发明内容

本发明的目的在于提供一种Windows环境下的低成本的基于PCI卡的硬盘写保护锁。

本发明的技术方案是：

包括一个PCI卡，一段存放在PCI卡扩展ROM映像中的加载程序，一段存放在PCI卡非扩展ROM的硬盘写保护锁程序；加载程序监控Windows操作系统通过INT13H中断读写目标硬盘，在计算机启动时把硬盘写保护锁程序嵌入Windows操作系统；硬盘写保护锁程序监控Windows操作系统通过驱动程序读写目标硬盘，将写操作重定向到PCI卡的非扩展ROM从而保护硬盘数据不被修改。

加载程序存放在PCI卡扩展ROM的映像中；当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时，将扩展ROM中的映像读入内存COOOOH～DFFFFH中的某一个区域，然后作一个远程调用，执行映像中的加载程序；加载程序监控Windows操作系统通过INT13H中断读写目标硬盘，在内存中修改读取的注册表信息和文件系统信息，把硬盘写保护锁程序作为磁盘过滤驱动程序嵌入Windows操作系统。

硬盘写保护锁程序存放在PCI卡的非扩展ROM中；它是一个工作在Windows操作系统内核的磁盘过滤驱动程序，监控Windows操作系统通过驱动程序读写目标硬盘；当Windows操作系统需要把数据写入目标硬盘时，硬盘写保护锁程序把写操作重定向到PCI卡的非扩展ROM；当Windows操作系统需要读取被重定向到PCI卡非扩展ROM的数据时，硬盘写保护锁程序把读操作重定向到PCI卡的非扩展ROM。

当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时，将扩展ROM中的映像读入内存COOOOH～DFFFFH中的某一个区域，然后作一个远程调用，执行映像中的加载程序。加载程序通过修改INT13H的中断服务程序来监控计算机对目标硬盘的读写。加载程序完成修改后，把硬盘0扇区的内容读入内存0000：7C00并执行，从硬盘上启动Windows操作系统。在随后的启动过程中，硬盘上的Windows引导程序(Osloader.exe)通过INT13H读取注册表信息和文件系统信息。加载程序监测到引导程序对注册表的读写，调用原始的INT13H中断服务程序读取硬盘上的注册表到内存，并在内存中修改读取的内容，让引导程序加载一个硬盘上并不存在的内核驱动程序。当引导程序通过INT13H来读取该内核驱动程序时，加载程序把读操作重定向到PCI卡，读取存放在PCI卡非扩展ROM的硬盘写保护锁程序。至此，引导程序获得了硬盘写保护锁程序的内容，并根据注册表的指示将它装入到Windows操作系统。引导程序完成系统初始化工作后，Windows操作系统开始启动。此时刻开始，Windows操作系统将放弃使用INT13H中断改用驱动程序访问硬盘等存储设备。作为磁盘过滤驱动程序嵌入Windows操作系统的硬盘写保护锁程序接管对目标硬盘读写操作的监控。

本发明的有益效果是：

1)设计新颖。不需要在计算机主板和硬盘之间增加额外的硬件设备。

2)使用成本低。仅需要一个PCI卡。

3)实用价值高。可以作为各种计算机犯罪取证软件的运行平台。

附图说明

图1-磁盘存储驱动程序层次示意图。

图2-PCI卡存储空间的使用示意图。

图3-硬盘写保护锁程序的工作示意图

图4-从PCI卡启动的工作流程图。

具体实施方式