硬盘还原卡原理及安全

硬盘还原卡原理及安全 硬盘还原卡原理及安全,科学论坛, 刘伟东 王增波 郑 伟 约3327字 中图分类号:TP3 文献标识码:B 文章编号:1002,6908(2007)0820042,01 硬盘还原卡是一种基于硬件的硬盘保护系统，跟还原软件的作用相同都是在系统损坏或数据丢失时及时恢复。还原卡将计算机的系统分区或其他需要保护的分区保护起来，用户可以将还原卡设定为下次启动或过一定的时间后对系统进行自动还原，这样，在此期间内对系统所作的修改将不复存在，免去了系统每使用一段时间后就由于种种原因造成系统紊乱、经常出现死机而不得不再次重装系统之苦。计算机系统恢复时的操作更加方便，只需重启一下计算机即可，并且还原卡的保护效果也远远的好于软件还原，能防止各种病毒的侵袭。 但同时，我们也要清醒的认识到，任何硬盘保护措施都不是万能和绝对安全的，本文就硬盘还原卡使用中的安全问题和读者作一些交流。 一、还原卡的工作原理 还原卡的原理是在操作系统启动之前获得机器的控制权。用户对硬盘的操作，实际上不是对原来数据的修改，而是对还原卡保留区进行操作，从而达到对系统数据保护的功能。具体来说: (一)控制权的获得 要得到控制权就要求还原卡里的程序赶在操作系统引导以前运行。计算机的启动过程是在BIOS(基本输入输出系统)的控制下进行的。BIOS是直接与硬件打交道的底层代码，它为操作系统提供了控制硬件设备的基本功能。BIOS包括有系统BIOS(即常说的主板BIOS)、显卡BIOS和其它设备(例如IDE控制器、SCSI卡或网卡等)的BIOS，BIOS一般被存放在ROM(只读存储芯片)之中，即使在关机或掉电以后，这些代码也不会消失。而绝大部分硬件还原卡程序正是驻留在网卡的BIOS里。计算机的启动过程是这样的，当按下电源开关时，电源开始向主板和其它设备供电，这时CPU从固定的内存地址开始执行一条跳转指令， 跳到系统BlOS中真正的启动代码处装载系统BlOS程序。接着系统BIOS的启动代码首先要做的事情就是进行POST(加电后自检)，POST的主要任务是检测系统中一些关键设备是否存在和能否正常工作。接下来BIOS将查找显卡的BlOS，对显卡进行初始化工作。查找网卡等其它BIOS并装载运行之。还原卡上的程序正是利用这个时机将自己装载到内存中的特定地址。紧接着是对CPU、内存等一系列设备的测试。系统BlOS的启动代码的最后一项工作就是读取并执行硬盘上的主引导里的主引导程序。我们看到还原卡程序是在硬盘启动前得到了机器的控制权，从而达到对计算机运行时硬盘的全程监控。 (二)对数据保护 我们先来看看是什么改变和破坏了硬盘内的数据。首先是用户的修改和删除数据，其次是计算机病毒的影响。我们引用较为普遍计算机病毒定义: 计算机病毒是一种人为制造的、隐藏在计算机系统的数据资源中的、能够自我复制进行传播的程序。可见用户和病毒对数据的改变都是通过写操作和删除操作引起的，而还原卡正是通过对这两项操作加以影响而达到对硬盘数据的保护的。操作物理机的最低层是ROM BIOS，而层次越低适用范围越广，因为上层都要调用它。因此截取到ROM BIOS的硬盘读写例程，就能拦截到系统运行时所有的硬盘读写操作。而ROM BIOS的程序是由许多中断程序所组成，完成硬盘操作的中断是INTl3，因此还原卡程序启动后的第一件工作便是查找到系统BlOS的中断向量表，用自己的INTl3程序替换掉原有的INTl3程序。来达到对硬盘读写的拦截。 那么还原卡程序如何通过拦截INTl3来达到对硬盘的保护呢? 还原卡程序接管BIOS的INT13中断，将FAT(文件分配表)、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中，用自带的中断向量表来替换原始的中断向量表，再另外将FAT信息保存到临时储存单元中，用来应付我们对硬盘内数据的修改;最后是在硬 盘中找到一部分连续的空磁盘空间作为保留区，然后将我们修改的数据保存到其中。 每当我们向硬盘写入数据时，其实还是写入到硬盘中，可是没有真正修改硬盘中的FAT。由于还原卡接管INT13，当发现写操作时，便将原先数据目的地址重新指向先前的连续空磁盘空间，并将先前备份的第二份FAT中的被修改的相关数据指向这片空间。当我们读取数据时，和写操作相反，先在第二份备份的FAT中查找相关文件，如果是启动后修改过的，便在重新定向的空间中读取，否则在第一份的FAT中查找并读取相关文件。删除和写入数据相同，就是将文件的FAT记录从第二份备份的FAT中删除掉。可见还原卡的主要功能就是改变原有读写数据的地址。使其对原有数据的读写转向到对保留区里的数据进行操作，而并没有对数据存在的原有地址进行读写，从而达到对原有数据的保护。 二、还原卡安全问题 (一)启动项设置 我们知道绝大部分硬件还原卡程序正是驻留在网卡的BIOS里，所以我们必须保证电脑BIOS第一启动项为“LAN”。对于有些电脑来说BIOS中启动第一项已被锁定为LAN启动，实际上在BIOS中根本没有提供BIOS第一启动项的设置，在BIOS中所显示的第一启动项设置实际上是第二启动项的设置，BIOS中启动第一项设置为任何值还原卡均可起作用。而主板中BIOS中启动第一项的默认项一般并非为“LAN”启动，所以对于BIOS未被锁定为LAN启动的电脑，危险就存在了，此时要想使还原卡发挥作用，必须在BIOS中将第一启动项“First Boot Device”设为“LAN” 启动(有些是将启动项“Boot From Onboard LAN”设置为“Enabled”)。否则还原卡就形同虚设了，起不到任何的保护作用。 既然通过BIOS第一启动项就可以控制还原卡是否工作，那我们的安全保护工作在将BIOS第一启动项为“LAN”的同时，也要给BIOS设置一个安全的密码，通过对BIOS信息的保护来保证硬盘还原卡的正常工作。可是BIOS设置可以很容易地用Debug加以清除(只需在Debug下输入 “o 70 71”和“o 71 70” 两行代码即可)，所以，重写BIOS信息将BIOS中启动第一项锁定为LAN启动将是一种彻底的解决。这样的话，电脑启动时一定是还原卡程序最先得到了机器的控制权，硬盘便始终安全的处在还原卡的保护中了。 (二)预留空间 还原卡的保护下，用户对硬盘的操作，实际上不是对原来数据的修改，而是改变原有读写数据的地址，转为对还原卡虚拟的空间即保留区进行操作，从而达到对系统数据保护的功能。所以硬盘还原卡需要占用系统资源，要求硬盘有一定的剩余空间才行，当硬盘可用空间非常少时，硬盘还原卡就会工作不正常了。因为硬盘剩余空间太少，当硬盘写操作较多时，还原卡因为没有足够的保留区而强制系统停机。所以建议使用保护卡时不要将硬盘空间占满，至少剩余几百兆可用空间给硬盘还原卡存储临时数据。 (三)密码安全 还原卡密码的安全性也令人担忧。网上有居心叵测之人提供了某些品牌还原卡的破解工具;部分品牌的还原卡本身带有通用密码;另外还有一部分厂商提供了还原卡的密码清除工具或还原卡安装信息清除工具。当然这对于用户不慎忘记密码提供了解决方案，可是这却无形中降低了还原卡的安全性。可见，还原卡的保护功能给日常的工作提供便利的同时，它并不是万能的。 实际上，当保留区中保护卡保存的数据受到损坏时或硬盘本身受到了物理损坏时，硬盘其它被保护的资料就很容易出现问题，如发生硬盘死锁、无法读取数据等现象。此外，一些高手很容易通过找到INTl3的原始BIOS中断向量值，填入中断向量表的方法，恢复INT13的BIOS中断向量，来达到屏蔽掉还原卡的效果。所以我们不能完全依靠还原卡来保证我们的数据安全，而应该通过数据备份、软件杀毒、软件保护等共同作用形成一套多维立体的安全保护模式。 三、 还原卡功能的实现与系统的启动和读写硬盘的系统调用有关，通过改变系统读写硬盘的来达到对硬盘上的原有数据的保护。还原卡保护我们的电脑，防止病毒侵扰，再也不必担心不小心把重要的文件或设定给删除。但同时，想让还原卡发挥好的它的作用，我们必需做好相应的设置。另外，我们要知道还原卡并不是万能的，要想对电脑进行全面的管理和保护，还应该结合软件形成一套整体维护行之有效的解决方案。