硬盤保護(hù)卡自身關(guān)鍵數(shù)據(jù)的安全保護(hù)方法

豐洪才,向云柱

(武漢工業(yè)學(xué)院計(jì)算機(jī)與信息工程系,湖北武漢 430023)

硬盤保護(hù)卡自身關(guān)鍵數(shù)據(jù)的安全保護(hù)方法

豐洪才,向云柱

(武漢工業(yè)學(xué)院計(jì)算機(jī)與信息工程系,湖北武漢 430023)

針對(duì)硬盤保護(hù)卡自身的數(shù)據(jù)安全問題,分析了保護(hù)卡系統(tǒng)的原理,提出了充分利用硬盤的保留扇區(qū),使用數(shù)據(jù)寫入陷阱、端口 I/O攔截、數(shù)據(jù)備份與恢復(fù)的技術(shù),實(shí)現(xiàn)硬盤保護(hù)卡關(guān)鍵數(shù)據(jù)的安全保護(hù)的方法。

保護(hù)卡;關(guān)鍵數(shù)據(jù);保留扇區(qū)

計(jì)算機(jī)機(jī)房是學(xué)校計(jì)算機(jī)教學(xué)和實(shí)驗(yàn)的場所,它承擔(dān)著學(xué)生上機(jī)與實(shí)驗(yàn)、機(jī)房開放、各種計(jì)算機(jī)培訓(xùn)和科研實(shí)驗(yàn)等任務(wù)。計(jì)算機(jī)硬盤保護(hù)卡已在教育行業(yè)計(jì)算機(jī)機(jī)房、網(wǎng)吧等大型計(jì)算機(jī)機(jī)房得到了廣泛應(yīng)用,對(duì)公共機(jī)房的計(jì)算機(jī)起到很好的保護(hù)作用。

雖然保護(hù)卡是一種即插即用設(shè)備,但在其安裝與使用過程中還必須作一些必要的常規(guī)性配置,否則保護(hù)卡不能正常工作;同時(shí)基于硬盤保護(hù)卡開發(fā)的一些特殊管理功能,比如虛擬系統(tǒng)、單系統(tǒng)多頻道等有許多關(guān)鍵性的數(shù)據(jù)需要安全保存,這些數(shù)據(jù)的破獲將對(duì)保護(hù)卡構(gòu)成極大的威脅;此外在保護(hù)卡的使用過程中還經(jīng)常出現(xiàn)一些非常規(guī)性問題,比如進(jìn)入保護(hù)卡管理模式時(shí)管理員密碼失效、機(jī)器啟動(dòng)時(shí)提示重新安裝保護(hù)卡并要求插入驅(qū)動(dòng)軟盤、機(jī)器啟動(dòng)時(shí)發(fā)出更新 CMOS信息的請求并要求輸入管理員密碼、沒有任何提示信息還原保護(hù)功能部分失效等,對(duì)于這些非常規(guī)問題,用戶無法獲得足夠的相關(guān)信息,增加了保護(hù)卡的維護(hù)難度,影響了系統(tǒng)的安全性與可靠性。

產(chǎn)生這些問題的主要原因是某些惡意病毒的攻擊和某些共享軟件的登記操作導(dǎo)致了硬盤保護(hù)卡所依照的關(guān)鍵數(shù)據(jù)被破壞,這表明了保護(hù)卡自身的數(shù)據(jù)安全與恢復(fù)是需要引起重視和值得研究的問題。筆者與武漢噢易科技有限公司聯(lián)合開發(fā)并完成了噢易 Free卡電腦教室自主維護(hù)系統(tǒng),較好地解決了保護(hù)卡系統(tǒng)關(guān)鍵數(shù)據(jù)的安全保護(hù)問題。

1 硬盤的保留扇區(qū)

硬盤的第 1個(gè)物理扇區(qū) (即 0柱面 0磁頭上的第 1個(gè)扇區(qū))稱為主引導(dǎo)扇區(qū),也稱為MBR,其后的第 2～第 63扇區(qū)就是保留扇區(qū),它們與主引導(dǎo)扇區(qū)一樣獨(dú)立于硬盤的任何分區(qū)[1]。眾所周知,現(xiàn)有的W indows操作系統(tǒng) (9X/NT/2K/XP等)都不對(duì)這 62個(gè)保留扇區(qū)實(shí)施寫操作,事實(shí)上,通常的軟件也不對(duì)其操作,像高級(jí)格式化程序 FORMAT因只對(duì)硬盤的具體分區(qū)有效,而不能對(duì)其操作,所以保留扇區(qū)是公認(rèn)的安全區(qū),它就是本文所特指的保留扇區(qū)。通常保護(hù)卡正是充分利用這個(gè)閑置區(qū)域的安全性,把它們中的一部分當(dāng)作自己的靜態(tài)工作區(qū),用于存放一些靜態(tài)的設(shè)置信息和關(guān)鍵數(shù)據(jù)。

事實(shí)上,硬盤的保留扇區(qū)不止這一部分。當(dāng)硬盤上含有擴(kuò)展分區(qū)時(shí),擴(kuò)展分區(qū)中的每一個(gè)邏輯分區(qū) (又稱邏輯盤)的第 1個(gè)扇區(qū)稱為擴(kuò)展主引導(dǎo)扇區(qū),其后緊跟的若干個(gè)扇區(qū)也是保留扇區(qū),這里的保留扇區(qū)的數(shù)目與該分區(qū)的格式有關(guān)。

保護(hù)卡在首次安裝后其設(shè)置信息便自動(dòng)形成,其中的有些信息可隨保護(hù)卡的重新設(shè)置而改變,也就是說,這些信息在保護(hù)卡末次設(shè)置后是不變的。保護(hù)卡的設(shè)置信息主要包括主引導(dǎo)扇區(qū)的備份、CMOS信息的備份、操作保護(hù)卡的各類管理密碼、硬盤各分區(qū)是否進(jìn)行還原保護(hù)的標(biāo)志信息和保護(hù)卡簽字 (識(shí)別)信息等,此外基于硬盤保護(hù)卡開發(fā)的一些特殊的管理功能,比如虛擬系統(tǒng)、單系統(tǒng)多頻道等有許多關(guān)鍵性的數(shù)據(jù),這些信息被保存在它的靜態(tài)工作區(qū)中,即分散保存在保留扇區(qū)域的某些扇區(qū)中。

2 保護(hù)卡的原理分析

保護(hù)卡之所以能夠?qū)崿F(xiàn)系統(tǒng)還原,是因?yàn)樵谖募到y(tǒng)和磁盤驅(qū)動(dòng)之間嵌入一層磁盤過濾驅(qū)動(dòng),正常情況下操作系統(tǒng)和各種應(yīng)用程序?qū)τ脖P的訪問必須經(jīng)過磁盤過濾驅(qū)動(dòng),而磁盤過濾驅(qū)動(dòng)將按照各家的保護(hù)算法,對(duì)磁盤的讀寫進(jìn)行映射,使所有的磁盤讀寫都映射到緩沖區(qū),保證原有數(shù)據(jù)不會(huì)被真正改寫,從而實(shí)現(xiàn)系統(tǒng)還原。

為了達(dá)到控制和保護(hù)磁盤的目的,還原系統(tǒng)必須在操作系統(tǒng)啟動(dòng)之前獲取引導(dǎo)權(quán)[2],將硬盤原來的 0頭 0道 1扇保存在一個(gè)其他的扇區(qū),將自己的代碼寫入 0頭 0道 1扇,從而能在操作系統(tǒng)啟動(dòng)之前得到執(zhí)行權(quán),然后在操作系統(tǒng)啟動(dòng)之前完成 INT 13H的修改工作,并將保護(hù)卡用于代替 INT 13H的代碼常駐內(nèi)存,將中斷向量表中 INT 13H的入口地址改為保護(hù)卡代替 INT 13H的代碼常駐程序的入口地址。通常還原系統(tǒng)在修改 INT 13H的入口后通過常駐程序修改一些其他中斷的入口,這些中斷用來實(shí)現(xiàn)對(duì)中斷向量表中 INT 13H入口地址監(jiān)控,一旦發(fā)現(xiàn)被修改,就馬上把它改回。用來替代 BIOS提供的 INT13H的代碼主要實(shí)現(xiàn)如下的一些功能[3]：①攔截所有 INT 13H中對(duì)硬盤 0頭 0道 1扇的操作,這些包括讀寫操作,把所有對(duì) 0頭 0道 1扇的操作改為對(duì)虛擬還原程序備份的那個(gè)扇區(qū)的操作,這樣做的目的是保護(hù)還原代碼不被破壞,并且不能被有心人讀出進(jìn)行破解,即使用扇區(qū)編輯工具查看主引導(dǎo)區(qū),實(shí)際上看到的是備份的主引導(dǎo)區(qū)。②攔截所有 INT 13H中的寫硬盤操作,這里包括對(duì) 8G以下的硬盤的普通通過磁頭、磁道、扇區(qū)定位的 INT 13H中的寫操作和擴(kuò)展 INT13H中基于扇區(qū)地址方式的對(duì)大硬盤的寫操作,甚至包括擴(kuò)展 INT 13H中對(duì)一些非 IDE接口的硬盤的寫操作。攔截后對(duì)硬盤進(jìn)行一些必要的寫操作,比如對(duì)虛擬內(nèi)存的寫操作,用最少的時(shí)間和最少的硬盤空間把對(duì)虛擬內(nèi)存所進(jìn)行的寫操作做一個(gè)記錄,等系統(tǒng)重新啟動(dòng)后還原這一記錄。③備份端口 70H,71H中的內(nèi)容,并把最后一次執(zhí)行時(shí)端口 70H,71H的內(nèi)容和備份的內(nèi)容做比較,不一樣就提示 B IOS被修改,是否還原并通過密碼驗(yàn)證修改 BIOS是否合法。

3 保護(hù)卡關(guān)鍵數(shù)據(jù)的安全措施

為了確保保護(hù)卡自身關(guān)鍵數(shù)據(jù)的安全,可以采取數(shù)據(jù)寫入陷阱、端口 I/O攔截、數(shù)據(jù)備份與恢復(fù)等安全措施。

3.1 數(shù)據(jù)寫入陷阱

數(shù)據(jù)寫入陷阱是將磁盤系統(tǒng)的關(guān)鍵區(qū)域做數(shù)據(jù)冗余處理,并將硬盤保護(hù)系統(tǒng)的磁盤過濾驅(qū)動(dòng)與數(shù)據(jù)冗余算法相結(jié)合,使穿透型病毒繞過硬盤保護(hù)系統(tǒng)之后,只能得到棄用的寫入地址,從而使病毒無法完成感染。

如圖1所示,數(shù)據(jù)寫入陷阱采用對(duì)關(guān)鍵區(qū)域進(jìn)行冗余的方法,對(duì)于通過硬盤保護(hù)系統(tǒng)過濾驅(qū)動(dòng)得讀寫請求總是能得到關(guān)鍵區(qū)域的正常數(shù)據(jù),保證了系統(tǒng)的正確可靠運(yùn)行;而對(duì)于繞過保護(hù)系統(tǒng)過濾驅(qū)動(dòng)的讀寫總是得到關(guān)鍵區(qū)域的錯(cuò)誤的數(shù)據(jù)。

圖1 數(shù)據(jù)寫入陷阱示意圖

對(duì)于操作系統(tǒng)或者非穿透型程序通過保護(hù)系統(tǒng)進(jìn)行硬盤讀寫,而穿透型病毒繞過保護(hù)系統(tǒng)直接讀寫硬盤,數(shù)據(jù)寫入陷阱可以保證穿透型病毒不能通過硬盤系統(tǒng)的關(guān)鍵區(qū)域得到正確的寫入位置,從而保證保護(hù)系統(tǒng)不被病毒穿透感染。

3.2 端口 I/O讀寫攔截

保護(hù)卡不但要實(shí)現(xiàn)攔截所有硬盤寫操作、攔截對(duì)主引導(dǎo)區(qū)的讀寫操作,更應(yīng)該攔截對(duì)硬盤的讀寫端口的操作,只有這樣才可能使基于硬盤的讀寫端口操作所對(duì)硬盤的破壞或是對(duì)虛擬還原技術(shù)的破解變成不可能。因?yàn)楸Ｗo(hù)卡芯片內(nèi)置的“I/O攔截模塊”處于系統(tǒng)設(shè)備鏈的最底層,可以攔截和過濾所有的硬盤讀寫請求?！癐/O攔截模塊”通過和保護(hù)卡原有的過濾驅(qū)動(dòng)配合,實(shí)現(xiàn)對(duì)硬盤讀寫請求進(jìn)行合法性驗(yàn)證,攔截所有非法請求對(duì)硬盤的真實(shí)操作。經(jīng)過正常途徑產(chǎn)生的硬盤讀寫請求,一定會(huì)經(jīng)過保護(hù)卡過濾驅(qū)動(dòng)。保護(hù)卡過濾驅(qū)動(dòng)在下發(fā)請求之前,會(huì)依據(jù)特有算法在數(shù)據(jù)中隨機(jī)位置插入特殊的身份標(biāo)記數(shù)據(jù)。當(dāng)請求到達(dá)最底層的“I/O攔截模塊”時(shí),首先“I/O攔截模塊”會(huì)提取數(shù)據(jù)中的身份標(biāo)記數(shù)據(jù),如果標(biāo)記數(shù)據(jù)和攔截模塊自己保存的標(biāo)記數(shù)據(jù)一致,說明這個(gè)請求是經(jīng)過正常途徑下發(fā)的。然后攔截模塊會(huì)檢查數(shù)據(jù)的讀寫區(qū)域是否是合法區(qū)域,如果是操作系統(tǒng)可訪問的合法區(qū)域,說明請求是合法請求,可以通過攔截,對(duì)硬盤進(jìn)行真實(shí)讀寫操作。對(duì)于未通過上述任意一個(gè)驗(yàn)證步驟的請求,均判定為非法請求,攔截模塊會(huì)執(zhí)行攔截功能,丟棄非法請求。同時(shí)向操作系統(tǒng)返回虛假成功信息,返回虛假成功信息可以誤導(dǎo)病毒以為操作成功。

3.2.1 硬盤 I/O端口的監(jiān)控

硬盤讀寫操作有幾種模式[4],包括讀寫文件、讀寫扇區(qū)和讀寫 I/O端口,并最終都要通過讀寫 I/O端口實(shí)現(xiàn)寫盤操作。因此,寫保護(hù)最強(qiáng)的就是由硬盤保護(hù)卡的 B IOS使 CPU進(jìn)入保護(hù)模式,然后在保護(hù)模式監(jiān)控 CMOS和硬盤的 I/O端口,非硬盤保護(hù)卡的寫請求立刻攔截,并使用扇區(qū)映射技術(shù)映射到虛擬磁盤空間,在讀操作時(shí)類似 INT 13H HOOK方式進(jìn)行檢查。因?yàn)樗幍募?jí)別最低,所以這種方案的保護(hù)性最強(qiáng)。CPU直接通過 1F0-1F7端口向硬盤發(fā)送待讀寫的物理扇區(qū)的位置、長度與讀 /寫命令,并通過 1F7端口返回硬盤的狀態(tài)信息。因此,硬盤數(shù)據(jù)保護(hù)在這一層上進(jìn)行,保護(hù)的可靠性是最高的。硬盤保護(hù)卡程序可以利用 HOOK PORT機(jī)制實(shí)現(xiàn) I/O端口的監(jiān)控。當(dāng)計(jì)算機(jī)有讀 /寫命令出現(xiàn)時(shí),I/O端口陷阱服務(wù)程序?qū)⑹棺x/寫命令陷入相應(yīng)的處理程序中去,在相應(yīng)的處理程序中通過修改 I/O端口的值,使該次操作的硬盤地址發(fā)生改變來實(shí)現(xiàn)對(duì)硬盤的保護(hù)。相應(yīng)地,70H、71H兩個(gè) CMOS端口的陷阱服務(wù)程序可實(shí)現(xiàn)對(duì) CMOS的讀寫監(jiān)控。具體的實(shí)施方案如下：①編寫靜態(tài)的 VxD PORT設(shè)備驅(qū)動(dòng)程序,并在啟用硬盤保護(hù)時(shí),將其加載成為設(shè)備驅(qū)動(dòng)程序。②在保護(hù)模式下,工作在 RING0特權(quán)級(jí)的VxD安裝 lF0-lF7端口的陷阱處理函數(shù) (使用 Install_ IO_Handler或 Install_Multi_ IO_Handlers等 VMM函數(shù)調(diào)用來編寫),如果有用戶程序訪問了端口,則系統(tǒng)會(huì)調(diào)用陷阱處理函數(shù)來管理和監(jiān)控對(duì)硬盤的讀寫控制,新的端口陷阱服務(wù)程序?qū)嶋H上是一個(gè) VSD程序,相當(dāng)于在原來端口服務(wù)程序上加了一個(gè)鉤子。③當(dāng)用戶進(jìn)程訪問 lF7端口時(shí),則系統(tǒng)會(huì)調(diào)用陷阱處理函數(shù)來管理和監(jiān)控對(duì)硬盤的讀寫控制。④對(duì)CMOS數(shù)據(jù)的讀寫保護(hù)采用類似技術(shù)監(jiān)控 70H和7lH端口也可實(shí)現(xiàn)。⑤組織程序數(shù)據(jù),以滿足擴(kuò)展卡BIOS芯片數(shù)據(jù)格式的需要。

3.2.2 虛擬設(shè)備驅(qū)動(dòng)程序及其加載方法

VxD即虛擬設(shè)備驅(qū)動(dòng)程序[5],用作 W indows系統(tǒng)和物理設(shè)備之間的接口。VxD技術(shù)的實(shí)質(zhì)是通過加載具有 Ring0最高優(yōu)先級(jí)的 VxD,運(yùn)行于 Ring3上的應(yīng)用程序能夠以一定的接口控制 VxD的動(dòng)作,從而達(dá)到控制系統(tǒng)的目的。硬盤保護(hù)卡之所以要使用 VxD技術(shù),關(guān)鍵有兩點(diǎn),其一是 VxD擁有系統(tǒng)最高運(yùn)行權(quán)限;其二是許多W indows系統(tǒng)底層功能只能在 VxD中調(diào)用,應(yīng)用程序如果要用,必須編寫VxD程序作為中介。VxD作為應(yīng)用程序在系統(tǒng)中的一個(gè)代理,應(yīng)用程序通過它來完成任何自己本身做不到的事情,通過這一手段,W indows系統(tǒng)為普通應(yīng)用程序留下了擴(kuò)充接口。

概括地說加載VxD的方法有三種,一種是在注冊表中加入注冊信息,這需要在硬盤保護(hù)卡數(shù)據(jù)區(qū)H_I_MsystemCurrent Control SetservicesVxDKeyStaticVxD=VxD帶路徑文件名。此方式要求在物理盤建立＊.reg的注冊文件,并在系統(tǒng)引導(dǎo)加載保護(hù)卡時(shí)創(chuàng)建,在進(jìn)入 Win32Enh后執(zhí)行它。第二種方法是將硬盤保護(hù)卡常駐內(nèi)存,通過調(diào)用 INT2FH的 1605h功能來激活它。第三種方法是通過System.ini加載[386Enh]device=VxD路徑文件名。

3.2.3 端口陷阱服務(wù)

端口陷阱服務(wù)相當(dāng)于是一種端口驅(qū)動(dòng)上的鉤子,其的主要功能包括支持原端口驅(qū)動(dòng)的主要功能,如端口驅(qū)動(dòng)需要的排隊(duì)、輪詢服務(wù)、回調(diào)、File_ IO_Ring0等功能,同時(shí)支持實(shí)模式和塊操作設(shè)備的端口功能支持;同時(shí)能對(duì) I/O敏感指令進(jìn)行甄別,區(qū)分不同情況進(jìn)行不同的處理;此外具有開放的機(jī)制,允許其他應(yīng)用程序?qū)Χ丝诩鱼^,如 SCSI驅(qū)動(dòng)的加載與正常執(zhí)行。筆者與武漢噢易科技有限公司聯(lián)合開發(fā)并完成了噢易 Free卡系統(tǒng)主要設(shè)計(jì)了硬盤狀態(tài)寄存器端口 1F7和 CMOS寄存器端口 71兩個(gè) I/O端口的陷阱服務(wù)。從以上分析還可以看出,端口陷阱由于其所處的層次低,因此應(yīng)該可以提供更徹底的硬盤保護(hù)。

3.3 保護(hù)卡關(guān)鍵數(shù)據(jù)的備份與恢復(fù)

數(shù)據(jù)備份是指保護(hù)卡剛剛安裝完畢或重新設(shè)置生效時(shí)的全部保留扇區(qū)的數(shù)據(jù)進(jìn)行備份。為了使用方便,可以把這些數(shù)據(jù)讀出并保存在一個(gè)文件中,再把該文件保存到相對(duì)安全的地方去,一旦由于各種原因?qū)е卤Ｗo(hù)卡系統(tǒng)問題出現(xiàn)時(shí),即使用保存的文件將全部保留扇區(qū)的數(shù)據(jù)加以恢復(fù)。

由于保護(hù)卡不攔截對(duì)硬盤 0柱面 0磁頭的讀操作,因此數(shù)據(jù)備份操作比較容易實(shí)現(xiàn)。比如在Windows 9X系統(tǒng)下,可通過其虛擬 DOS環(huán)境下的DEBUG命令執(zhí)行 INT 13H操作實(shí)現(xiàn);在 Windows NT/2K/XP系統(tǒng)下,用 Create File函數(shù)打開一個(gè)名為.PHYSICALDR IVE0的文件,并用 Read File函數(shù)對(duì)物理硬盤進(jìn)行讀操作即可實(shí)現(xiàn)。

由于保護(hù)卡屏蔽了對(duì)硬盤 0柱面 0磁頭的寫操作,因此數(shù)據(jù)恢復(fù)操作相對(duì)困難一些,因?yàn)檫@些操作必須在系統(tǒng)的核心級(jí)上才能完成。具體來講,從80386以后 CPU分為 4個(gè)特權(quán)級(jí)別 (即 Ring0-Ring3)[6],供不同級(jí)別的進(jìn)程使用,其中,Ring0的級(jí)別最高,Ring3的級(jí)別最低。Windows 9X/NT/2K/XP系統(tǒng)在設(shè)計(jì)時(shí)只使用了 CPU的兩個(gè)特權(quán)級(jí)別,即 Ring0核心級(jí)和 Ring3用戶級(jí)。在這兩個(gè)級(jí)別中,Windows系統(tǒng)的虛擬機(jī)管理、各種驅(qū)動(dòng)程序運(yùn)行在 Ring0核心級(jí),其他應(yīng)用程序都運(yùn)行在 Ring3用戶級(jí)。在 Ring0核心級(jí)上可以執(zhí)行 CPU的全部指令,而在 Ring3用戶級(jí)上只能執(zhí)行 CPU的部分指令,像磁盤 I/O指令就被限制在 Ring0核心級(jí)上執(zhí)行。

在Windows 9X系統(tǒng)下,保護(hù)卡攔截了 INT 13H中斷處理程序,但沒有攔截磁盤 I/O;在 Windows NT/2K/XP系統(tǒng)下,保護(hù)卡攔截了 Ring3用戶級(jí)的磁盤 I/O,但沒有攔截 Ring0核心級(jí)的磁盤 I/O,所以在 Ring0核心級(jí)執(zhí)行磁盤 I/O操作就能實(shí)現(xiàn)數(shù)據(jù)恢復(fù)?；谝陨戏治?進(jìn)行數(shù)據(jù)恢復(fù)的操作流程如下：①打開備份的數(shù)據(jù)文件;②將數(shù)據(jù)備份的文件中的數(shù)據(jù)讀到指定緩沖區(qū);③進(jìn)入 Windows系統(tǒng)的Ring0核心級(jí);④執(zhí)行磁盤 I/O寫操作;⑤退出W indows系統(tǒng)的 Ring0核心級(jí)并關(guān)閉數(shù)據(jù)備份文件。

4 結(jié)束語

基于噢易 Free卡的電腦教室自主維護(hù)系統(tǒng)已經(jīng)廣泛的應(yīng)用于國內(nèi) 100余所高等學(xué)校和許多網(wǎng)吧等大型計(jì)算機(jī)場所,也與國內(nèi)著名 PC機(jī)生產(chǎn)廠家結(jié)成合作聯(lián)盟,此外產(chǎn)品也已經(jīng)銷售到海外十幾個(gè)國家和地區(qū),得到各類學(xué)校的普遍認(rèn)可,為學(xué)校高質(zhì)量的教學(xué)提供了技術(shù)支持和保障,該系統(tǒng)在教育行業(yè)、培訓(xùn)機(jī)構(gòu)中的應(yīng)用必將減輕機(jī)房維護(hù)和管理人員的工作量。

[1] 熊志勇.硬盤保留扇區(qū)的軟件保護(hù)方法[J].電腦編程技巧與維護(hù),2006(12)：78-80.

[2] 謝建全.一種對(duì)公用機(jī)房硬盤進(jìn)行有效保護(hù)的實(shí)現(xiàn)機(jī)制 [J].計(jì)算機(jī)工程,2003,29(5)：177-179.

[3] 21CN網(wǎng)絡(luò)安全小組.一種可以穿透還原卡和還原軟件的代碼 [EB/OL].http：//www.20cn. net/ns/wz/sys/data/20040418173003.htm,2009-09-01.

[4] 蘭高志.網(wǎng)卡中硬盤保護(hù)功能的增設(shè)[J].計(jì)算機(jī)工程,2004,3(6)：133-134.

[5] 孟建波.VxD技術(shù)及其在實(shí)時(shí)反病毒中的應(yīng)用[J].中國西部科技,2004(7)：26-27.

[6] 李全忠,張軍本,岳訓(xùn),等.硬盤保護(hù)卡設(shè)置信息的安全恢復(fù)[J].計(jì)算機(jī)工程,2008,34(6)：281-283.

Method of critical data security and protection for hard protect card itself

FENG Hong-cai,XIANG Yun-zhu
(Department of Computer and Information Engineering,Wuhan Polytechnic University,Wuhan 430023,China)

To solve the data security problem of hard protect card system,the paper analyzes the principle of the protect card systems,and further proposes a method of security protection for critical data in protect card system by utilizing hard disk retained sector fully and using technologies of data writing trap,port I/O block,data backup and recovery.

protect card;critical data;retained sector

TP 309.2

A

1009-4881(2010)01-0053-04

10.3969/j.issn.1009-4881.2010.01.015

2009-09-09.

豐洪才 (1963-),男,教授,博士,E-mail：fenghc@whpu.edu.cn.