（计算机应用技术专业论文）硬盘主引导扇区数据保护研究.pdf

硬盘主引导扇区数据保护研究摘要 硬盘主引导扇区数据保护研究 摘要 计算机系统和数据安全的话题已经是老生常谈了，但老生常谈的 问题并不意味着它已经被很好地解决了，相反，它往往意味着仍有不 尽如人意的地方。近年来，有关硬盘操作的工具软件，例如k v 3 0 0 0 、 d i s k e d i t 、p c t o o l s 等给人们带来了方便的同时，也随之带来了 不安全和危险。在这些软件工具的作用下，硬盘主引导扇区变得一览 无余，尽收眼底。病毒的攻击、居心叵测者的恶意修改、无意识的误 操作都可能造成系统瘫痪和宝贵数据的丢失，给人们造成损失。硬盘 主引导扇区正越来越成为病毒攻击的重点。如何确保硬盘主引导扇区 数据的安全已成为当前计算机数据保护的一个新课题。 针对硬盘主引导扇区的重要性和特殊性，目前研究人员提出了一 些常用的硬盘主引导扇区数据保护方法：( 1 ) 将主引导扇区的数据固 化在芯片中；( 2 ) 高级扇区保护( a s p ) 技术；( 3 ) 使用硬盘保护卡；( 4 ) 冗余独立磁盘阵列( r a i d ) 。行业应用显示，这些技术在保护的有效 性方面确实有突出的表现，但同时也存在着简易性、可维护性、保护 彻底性等方面的诸多问题。同时，作为硬盘主引导扇区，仅利用其自 身为保护扇区( 对操作系统不可见) 的特性来保护其内部数据，已明 显不能抵抗成百上千、方式各异的网络和非网络的威胁，要求一种全 面的但又实施方便的数据保存和恢复措施来保障硬盘主引导扇区的 硬盘主引导扇区数据保护研究 摘要 数据安全。 基于上述要求，本文从外部保护和内部保护两大方面来研究硬盘 主引导扇区的数据保护，并提出了针对这两个方面的各自的解决方 案。这里的“外部”，从广义上可以理解为引发硬盘主引导扇区数据被 破坏的外部原因，从狭义上可以理解为一切通过硬盘介质之外启动 ( 非硬盘启动) 系统的情况。本文主要针对的是狭义上的理解，在正 常的硬盘主引导记录( m a s t e rb o o tr e c o r d ，r ) 中采取了异或 ( x o r ) 加密机制，并嵌入了相应的功能模块。改造后的主引导记录 可以存放在硬盘的主引导扇区内，使得操作者无法通过硬盘之外的介 质来启动系统，从而截断了主引导扇区被破坏的外部来源。这里的“内 部”，指相对于“外部”的另一面，即从广义上可以理解为引发硬盘主 引导扇区数据被破坏的内部原因，从狭义上可以理解为一切通过硬盘 启动系统的情况。在这一方面，本研究利用操作系统中“文件”这一基 本的操作对象将硬盘主引导扇区的数据保存起来，同时，通过“文件” 来恢复主引导扇区的数据。 作为恢复主引导扇区数据的特例，同时考虑到主引导扇区中主分 区表( d i s kp a r t i t i o nt a b l e 。d p t ) 的重要性，本文提出了一种新的主 分区表恢复算法。该算法的理论根据是硬盘分区表链各结点表项在数 据结构上存在着特定的依赖关系，同时也利用了扩展型磁盘读写访问 中断( e x t e n d e di n t1 3 h ) 在读写硬盘扇区数据方面的高效性。理论上， 通过该算法可以在主分区表甚至其他分区表被部分或全部破坏的情 况下做到完整的恢复。 硬盘主引导扇区数据保护研究 本研究具有如下特点和创新： 1 全面的主引导扇区数据保护体系。通过内部和外部两方面保 护相结合的方式，加强了主引导扇区数据保护的完整性和安全性。 2 适用范围广泛。通过利用主流的线性寻址方式和扩展i n t1 3 h 中断，使得本研究中各种保护方法既适用于现今的大容量硬盘( 8 4 g b ) ，又适用于传统的小容量硬盘( 8 4 g b ) 。 3 分区表的恢复是基于分区表链的。即无论是主分区表被破坏 还是其他部分的分区表被破坏，都可以全面完整的得到恢复，这样就 避免了恢复后主分区存在而扩展分区丢失的情况。 本文从硬盘主引导扇区数据的安全需求和背景出发，分析了实施 主引导扇区数据保护的技术基础，给出了外部保护和内部保护两个方 面的具体保护措施，特别针对分区表的恢复提出了一种新的算法，并 对仿真实现进行了阐述。最后总结了该研究作为硬盘主引导扇区数据 保护的创新之处和不足之处。作为部分功能的仿真，最终以c 语言 实现了主引导扇区内部保护的编码。 关键词：主引导扇区，保护，加密，分区表，分区表链，结点 m 硬盘主引导扇区保护研究 r e s e a r c ho fd a t ap r o t e c t i o ni nm a s t e r b o o ts e c t o ro fh a r dd i s k a b s t r a c t i th a sb e e nt a l k i n gf r e q u e n t l ya b o u tt h es e c u r i t yo fc o m p u t e rs y s t e m a n dd a t a h o w e v e r , t h a td o e sn o tm e a nt h ep r o b l e mh a sb e e nr e s o l v e d w e l l o nt h ec o n ：t r a r y , p e o p l ea r es t i l lu n s a t i s f i e dw i t hi t i nr e c e n ty e a r s s o m ed i s i ct o o l sw h i c hm a k em a s t e rb o o ts e c t o rv i s i b l et ou s e r s ，s u c ha s k v 3 0 0 0 ，d i s k e d i ta n dp c t o o l sb r i n gn o to n l yc o n v e n i e n c eb u ta l s o i n s e c u r i t ye v e nd a n g e r a t t a c ko fv i r u s ，m o d i f i c a t i o no fh a c k e r sa n d a c c i d e n t a lo p e r a t i o nm a yc a u s es y s t e mc r a s ha n dd a t al o s s m a s t e rb o o t s e c t o rm o r ea n dm o r eb e c o m e st h et a r g e to fv i r u s s oh o wt oe n s u r et h e d a t a s e c u r i t yi n m a s t e rb o o ts e c t o rh a sb e e nv e r yi m p o r t a n ti nt h e r e s e a r c ho f t h ei n f o r m a t i o nt e c h n o l o g ys e c u r i t yf i e l d a c c o r d i n gt ot h es i g n i f i c a n c ea n dt h ep a r t i c u l a r i t yo fm a s t e rb o o t s e c t o r , p e o p l ep r e s e n ts e v e r a lm e t h o d s t op r o t e c tt h ed a t ai ni t ：( 1 ) s a v i n g t h ed a t ai n t oc h i p s ，( 2 ) u s i n gh a r dd i s kp r o t e c t i n gc a r d ，( 3 ) a d v a n c e d s e c t o rp r o t e c t i o nt e c h n o l o g y , ( 4 ) r a i d t h ei n d u s t r y a p p l i c a t i o n 硬盘主引导扇区保护研究 i n d i c a t e st h a tt h e s et e c h n o l o g i e sw o r kw e l li nv a l i d i t y , b u tt h e r ea r em a n y p r o b l e m si nf a c i l i t y , m a i n t a i n a b i l i t ya n dt h o r o u g h n e s s m e a n w h i l e ，i ti s u n a b l et or e s i s tt h et h r e a t ，c o m i n gf r o mt h o u s a n d so fd i f f e r e n tn e t w o r k s a n dn o n - n e t w o r k s ，t op r o t e c tt h ed a t ai nm a s t e rb o o ts e c t o rw i t hi t s i n v i s i b i l i t y t h e r e b yac o m p r e h e n s i v ed a t as a v i n ga n dr e s t o r i n gs t r a t e g y w h i c hi se x e c u t e de a s i l ys h o u l db e e ng i v e nt op r o t e c tt h ed a t ai nm a s t e r b o o ts e c t o r w h e nt h ea b o v er e q u i r e m e n t sa r ec o n s i d e r e d ，t h i sr e s e a r c hi sa b o u t t of i n ds o l u t i o n st ot h ep r o b l e m sm e n t i o n e da b o v ef r o mt h eo u t e ra n d i m l e rs i d e s h e r et h eo u t e rs i d ec a nb eu n d e r s t o o da st h eo u t s i d e c a u s e sw h i c hl e a dt od a m a g et ot h ed a t ai nm a s t e rb o o ts e c t o ro rb o o t i n g c o m p u t e rs y s t e mf r o ma n ym e d i u me x c e p th a r dd i s k i nt h es e c o n d c a s ea f u n c t i o n a lm o d u l eu s i n gt h ex o r c o d i n ge m b e d si nm a s t e rb o o tr e c o r d ( m b r ) ，w h i c hm a k e sb 0 0 t i n gf r o mh a r dd i s ko n l yi no r d e rt os t o pt h e d a t ai nm a s t e rb o o ts e c t o rf r o md a m a g e h e r et h ei n n e rs i d e ，w h i c hi s o p p o s i t et ot h eo l r i e rs i d e ，c a nb eu n d e r s t o o da st h ei n s i d ec a u s e s w h i c hl e a dt od a m a g et o t h ed a t ai nm a s t e rb o o ts e c t o ro rb o o t i n g c o m p u t e rs y s t e mo n l yf r o mh a r dd i s k i nt h i sc a s et h ed a t ai ss a v e dt oa f i l ea n dc a l lb er e s t o r e df r o mi t a sav e r ys p e c i a le x a m p l eo fr e s t o r i n gt h ed a t ai n t om a s t e rb o o t s e c t o ra n dc o n s i d e r i n ga b o u tt h ef u n d a m e n t a l i t yo f d i s kp a r t i t i o nt a b l e ( d p t ) ，an e wd p t r e s t o r a t i o na l g o r i t h mi sp u tf o r w a r dw h i c hb a s e d0 1 1 v 硬盘主引导扇区保护研究 t h ed a t as t r u c t u r eo fe a c hn o d ei nt h ep a r t i t i o n 疋出l el i n ka n dt h e e f f e c t i v e n e s so fe x t e n d e di n t1 3 hi na c c e s s i n gt h ed a mo nd i s k s i n t h e o r ya l lt h ep a r t i t i o nt a b l e sc a nb er e s t o r e db yu s i n gt h i sa l g o r i t h ma f t e r n l e yh a v e b e e np a r t i a l l yo rt o t a l l yd a m a g e d t h i sr e s e a r c hh a ss o m ec h a r a c t e r i s t i c sa n di n n o v a t i o n sa sf o l l o w s ： 1 i ti sac o m p r e h e n s i v ed a t ap r o t e c t i n gs y s t e mi nm a s t e rb o o t s e c t o r t h ei n t e g r a l i t ya n dt h es e c u r i t ya r ee n h a n c e db yb r i n g i n gt h eo u t e r s i d ea n dt h ei n n e rs i d et o g e t h e r 2 b yt a k i n gt h ea d v a n t a g eo f l i n e a ra d d r e s s i n ga n de x t e n di n t1 3 h ， t h ep r o t e c t i n gm e t h o d sp u tf o r w a r di nt h i sr e s e a r c hc a l lb ea p p l i e dt oh a r d d i s k st h a tc a p a c i t yi sl a r g e rt h a n8 4g i g a b y t e s 豳w e l la so l dt y p e s 3 t h er e s t o r a t i o no fd p ti sb a s e d0 1 1t h ep a r t i t i o nt a b l el i n k t h a t m e a n sa l lt h ep a r t i t i o nt a b l e sc a nb er e s t o r e da f t e rt h e yh a v e b e e n p a r t i a l l yo rt o t a l l yd a m a g e db yu s i n gn e wd p t r e s t o r a t i o na l g o r i k h m t h e r e f o r et h es i t u a t i o nt h a tt h ee x t e n d e dp a r t i t i o ni sm i s s i n gt h o u g ht h e p r i m a r yp a r t i t i o ns t i l le x i s t sw i l ln o th a p p e n t h i st h e s i sb e g i n sw i t ht h ed e m a n da n db a c k g r o u n do ft h ed a t a s e c u r i t y i nm a s t e rb o o ts e c t o r t h e ni t a n a l y z e s t h e s u p p o r t i n g t e c h n o l o g i e sf o rt h ep r o t e c t i o no ft h ed a t a a f t e rp u r i n gf o r w a r ds o m e o u t e ra n di n n e rp r o t e c t i n gm e t h o d s ，i ta n a l y z e sa n de x p o u n d san e wd p t r e s t o r a t i o na l g o r i t h m a sas i m u l a t i o no ft h ei n n e rp r o t e c t i n gm e t h o d ，t h e c o d ei sw r i t t e nw h i c hi m p l e m e n t e di ncl a n g u a g e v i 硬盘主引导扇区保护研究 x i ey u f e n g ( c o m p u t e ra p p l i c a t i o nt e c n o l o g y ) s u p e r v i s e db yw a n gy i g a n g k e yw o r d s ：m a s t e rb o o ts e c t o r , p r o t e c t i o n , e n c r y p t , d p t , p a r t i t i o nt a b l el i n k , n o d e v i i 附件一： 东华大学学位论文原创性声明 本人郑重声明：我恪守学术道德，崇尚严谨学风所呈交的学位论文，是本人在导师的 指导下，独立进行研究工作所取得的成果。除文中已明确注明和引用的内容外，本论文不包 含任何其他个人或集体已经发表或撰写过的作品及成果的内容。论文为本人亲自撰写，我对 所写的内容负责，并完全意识到本声明的法律结果由本人承担 学位论文作者签名： 日期：) 舶；年j 月2 - 7 日 附件二： 东华大学学位论文版权使用授权书 学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家 有关部门或机构送交论文的复印件和电子版，允许论文被查阅或借阅。本人授权东华大学可 以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等 复制手段保存和汇编本学位论文 保密口，在年解密后适用本版权书 本学位论文属于 不保密口。 学位论文作者签名：彩l j 垂拟， 指导教师签名： 日期：硎年2 月习1 日 日期：加锌；月护 硬盘主引导扇区保护研究 引言 第一章引言 1 1 研究硬盘数据保护的背景 数据是对客观事物的符号表示，在计算机科学中是指所有能输入到计算机中 并被计算机程序处理的符号的总称。它是计算机程序加工的“原料”。例如，一 个利用数值分析方法解代数方程的程序，其处理对象是整数和实数；一个编译程 序或文字处理程序的处理对象是字符串。因此，对计算机科学而言，数据的含义 极为广泛，如图像、声音等都可以通过编码而归之于数据的范畴。 随着计算机的广泛应用，数据的重要性、价值性正在不断地提高。无论是企 业的营销数据、财务数据、生产数据，还是日常使用的电子文档以及电子表格， 一旦丢失，将或大或小地对企业造成影响。日益庞大的互联网，虽然给人们的生 产生活带来了无与伦比的高效、快捷和便利，但是同时也产生了许多新的数据安 全问题：竞争对手、间谍、不满的雇员、无聊的年轻人以及黑客会更加频繁地借 助网络入侵他人的计算机，以便于偷窃信息、进行破坏工作、发泄捣乱。 对于“数据安全”，人们一般的认识就是数据要求备份。事实上，即使定期 备份，一旦数据丢失，仍会有部分未备份数据因“备份时差”【l 】而无法挽回。无 论什么原因造成数据丢失，恢复或重建这些数据的开销都是巨大的。开销包括人 员工资、设备和其它资源的花费以及数据恢复时间对工作和信誉造成的影响。据 国外的调查结果，重建1 m b 的数据平均需要3 千美元。而更为严重的是，有些 数据是根本无法重建的。同时，即使被破坏的数据能够恢复，恢复程度和恢复前 后的一致性也是值得考虑的问题。通过计算机对信息的管理，让我们能方便地实 现数据共享，协同办公。但是另一方面，如何保证数据的安全性，避免信息外泄； 如何避免数据灾难带来的数据丢失，这些问题已成为企业信息化的头等大事。 1 2 硬盘数据保护存在的安全问题 由安全角度考察硬盘，从它自身固有的特点分析，发现存储在硬盘上的数据 面临着很多安全方面的隐患： 硬盘主引导扇区保护研究 引言 ( 1 ) 硬盘驱动器毁坏。硬盘驱动器是整个计算机系统中少有的机械设备，因 此同样避免不了诸如部件老化、扭曲变形等问题。同时硬盘驱动器内的盘片和磁 头又是十分精密的零件，轻微的震荡都可能会引起盘片坏磁道的产生和磁头的损 坏。上述硬盘驱动器工作的不正常状态，都会引起存储数据的破坏和丢失。 ( 2 ) 人为错误。文档的不及时保存，偶然性的永久删除一个文件或重新格式 化一个硬盘都会造成数据的破坏和丢失。由于主体一人的干预，这样的人为错 误所造成的数据破坏是偶然的、不可预测的，同时其破坏程度又是不可估量的。 ( 3 ) 黑客。黑客进行数据破坏的表现形式多种多样，主要有：获取口令 通过网络监听非法得到用户口令，在获得一个服务器上的用户口令文件( 此文件 成为s h a d o w 文件【2 】) 后用暴力破解程序破解用户口令等。放置木马程序 当用户连接到因特网上时，这个程序就会通知黑客，来报告用户的口地址以及 预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可 以任意地修改用户计算机的参数设定、复制文件、窥视整个硬盘中的内容等，从 而达到控制计算机的目的。网络监听主机可以接受到本网段在同一条物理 通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两 台主机进行通信的信息没有加密，只要使用某些网络监听工具就可以轻而易举地 截取包括口令和账号在内的信息资料。上述方法所造成的结果不仅仅是用户数据 的破坏，更为重要的是用户信息的窃取，从一定程度上讲是保密性的破坏。 ( 4 ) 病毒。一般是通过修改某一中断向量入口地址，使该中断向量指向病毒 程序的破坏模块。这样，当系统或被加载的程序访问该中断向量时，病毒破坏模 块被激活，在判断设定条件满足的情况下，对系统或硬盘上的文件进行破坏活动， 这种破坏活动大部分是删除硬盘文件，造成数据的丢失。 ( 5 ) 自然灾害。在一般情况下，对系统采取些安全措施，并对数据进行定 期备份，或许可以维护硬盘数据的完整性。如果因人员操作失误、病毒和黑客攻 击等原因导致数据破坏，使用备份内容或许可以进行恢复。但是，这个数据保护 体系并没有考虑另外一个重要因素，那就是当出现大规模的天灾人祸时如何保护 计算机系统中的数据。例如，当出现火灾、地震或洪水等情况时，如何恢复系统 和数据。虽然发生天灾人祸的概率非常低，但是它带来的后果往往是毁灭性的： 计算机系统中的原始数据和备份数据全部被破坏，整个系统和数据都无法进行恢 2 硬盘主引导扇区保护研究 引言 复。 ( 6 ) 电源浪涌。浪涌也叫突波，顾名思义就是超出正常工作电压的瞬间过电 压。本质上讲，浪涌是发生在仅仅几百万分之一秒时间内的一种剧烈脉冲。这样 的一个瞬间脉冲就可能损害计算机硬盘驱动器上的文件。可能引起浪涌的原因 有：重型设备、短路、电源切换或大型发动机等。【3 】 ( 7 ) 磁干扰。硬盘是利用磁信息来记录数据的，所以硬盘也易受到强磁场的 干扰。一旦硬盘接触到磁性物质，很有可能导致其存储数据的破坏和丢失。 等等诸如此类总结起来，硬盘数据安全的主要威胁包括：来源于网络的恶意 攻击，用户的不正确操作、外界自然环境的破坏等。用户的不正确操作可以避免， 但是网络的恶意攻击和自然环境的破坏却难以阻止。这就使得对于硬盘数据保护 的研究显得迫切需要。 1 3 硬盘主引导扇区数据保护研究现状 目前研究人员提出了一些常用的硬盘主引导扇区数据保护方法，但仍存在很 多不足。 ( 1 ) 将主引导扇区的数据固化在芯片中：将硬盘主分区表像保存系统参数那 样保存到专门的c m o s 中( 因为对c m o s 的读写操作需要专门的设备和程序， 可由厂商来完成) ，作为规格化硬盘的一种附件，以实现对其保护的目的。而将 硬盘主引导程序和硬盘相关参数的设置程序都放到b i o s 中，以实现对硬盘的引 导和相关参数的设置，解决硬盘分区灵活性问题。但是，固化以后的芯片，要想 对其实施修改( 比如临时调整硬盘分区大小和个数、安装第二操作系统等) ，没 有专门的设备和专业的技术，不是一件容易的事情。同时，由于硬盘主分区表被 保存在c m o s 中，对于硬盘的更换必须对c m o s 作相应的改动，这也对用户的 使用带来了一定的麻烦。 ( 2 ) 使用最基本的d o s 命令“f d i s k m b r ”【4 j ：m s - d o s 中的f d i s k 实用工具 通常仅当不存在主引导记录时才会更新主引导记录。使用f d i s k 重新分区不会重 写该信息。f d i s k 具有一个名为m b r 的未公开的参数，该参数导致f d i s k 在不修 改分区表信息的情况下将主引导记录写入硬盘。以这种方式将主引导记录写入硬 盘可能会使某些使用s p d s 衄1 5 1 分区的硬盘不可用。它还可能导致某些双引导 3 硬盘主 i 导扇区保护研究引言 程序和带有四个以上分区的磁盘出现问题。总的来说，命令“f d i s k m b r ”只能 恢复主引导扇区中引导记录的部分，它不会在主分区表被破坏的情况下对主分区 表进行恢复。 ( 3 ) 高级扇区保护( a s p ) 技术：a s p 可以为敏感的软件算法或参数提供6 4 位密码保护，从而提供了强大的、完整的、由设计人员定义的安全功能。利用这 项功能，设计人员可以存储、锁定和保护那些保存在器件中任何扇区的代码或数 据，或为他们的产品分配一个电子序列号( e s n ) 嘲。在某些应用中，中央办公 室可以利用一个e s n ，从远程识别他们的设备、控制服务水平并记录访问次数， 以便进行计费。该功能还有助于防止恶意攻击和病毒，以及避免服务遭受未经授 权的使用。这种方法虽然保护强度较高，但是普及程度还很低。 ( 4 ) 使用硬盘保护卡：实施保护以后，用户对硬盘中原有数据的修改并不会 被真正地执行，保护软件将所有的修改都映射到虚拟硬盘【7 】中。计算机重新启动 后，修改的内容将被从虚拟硬盘中清除，硬盘又恢复到原来的状态。这种保护方 式虽然起到了一定的保护作用，但是也存在着一定的缺陷：与其他硬件的冲突 ( 例如可能的i r q 冲突) ；与其他软件的冲突( 例如杀毒软件、磁盘分区软件 等) ；在保护功能上存在着缺陷( 例如在具有网络远程启动功能的系统中保护 卡将失去作用) ；安全性的缺陷( 硬盘保护卡的破解方法已经出现) ；其他缺 陷( 例如要占用主板上的扩展插槽，增加设备的购置成本等) 。 ( 5 ) r a i d * 冗余独立磁盘阵列表示r a i d 阵列中的每个磁盘在物理上独立。 如果一个磁盘失败，则阵列中的其他磁盘可以取代其功能。使用r a i n 阵列有三 个好处：高可用性r a d 阵列总是可以取得数据。只要有相应硬件，甚至 可以在计算机运行时改变硬盘；容错对大多数硬件r a i d 阵列，数据总是 可以访问的，即使一个硬盘发生故障；故障切换硬盘发生故障时，r a i d 系统可以自动切换到保留硬盘，将数据自动传输到备份硬盘或分区。r a i d 的优 势显而易见，但是它是建立在巨大的硬件消耗上，对于一般用户的必要性不大。 1 4 研究目标和现实意义 本文研究的总体目标是：通过改造硬盘主引导记录和以文件为载体保存主引 导记录的方式，来实施对整个系统外部和内部的保护，并提出基于分区表链q 4 硬盘主引导扇区保护研究 引言 的主分区表恢复算法，以达到硬盘主引导扇区数据不受破坏的目的。 之所以进行这样的研究，是源于以上针对当前硬盘主引导扇区数据本身存在 的安全现状的分析，以及当前数据安全保护在整个计算机网络和信息安全领域内 的重要性和必要性的日益提升。具体说，本文涉及以下技术以达到相应的主引导 扇区数据保护的目标： ( 1 ) 对于硬盘主分区表的加密( 异或编码) ，使得当以非硬盘介质启动时， 由于该介质上的引导程序无法识别加密后的主分区表而导致无法启动系统，从而 达到在外部截断破坏来源的目的。 ( 2 ) 利用汇编语言和c 语言能对硬盘进行扇区级访问的特性，同时利用磁盘 读写访问中断i n t1 3 h ( 9 1 所提供的功能，将主引导扇区数据以文件为载体进行保 存和恢复，从而达到在内部保护主引导扇区数据的目的。 ( 3 ) 利用操作系统对文件提供的多种属性( 只读、隐藏，系统等) ，结合相 应的汇编操作，加强存有主引导扇区数据的文件的安全性。 ( 4 ) 基于分区表链的分区表恢复，使得无论分区表链中哪个结点的数据遭到 破坏，都能完整地被恢复。换句话说，无论是硬盘的主分区表遭到破坏，还是其 他分区表遭到破坏，都能完整地被还原。 ( 5 ) 利用扩展i n t1 3 h 1 1 川访问硬盘的优势，基于分区表链的分区表恢复算法 既适用于现今的大容量硬盘( 8 4 g b ) ，又适用于传统的小容量硬盘( 8 4 g b ) 。 本文所提出的研究目标适用于基于x 8 6 架构的计算机系统，它拥有严密而通 用的基于加密、文件和数据链表等的数据保护技术，具有灵活、简便、易维护、 安全性强等特点，大大加强了硬盘主引导扇区数据的安全；同样，考虑到当前多 样化的新存储设备的使用和计算机新病毒的不断涌现，本文的保护方案具有相当 的时效性。 1 5 本文的章节结构概要 第一章引言从课题研究的背景出发，分析了硬盘数据保护及其研究的现状， 提出了针对硬盘主引导扇区数据保护的研究目标，及该研究目标所具备的现实意 义。 第二章介绍了实现该研究目标所必需的一些技术基础，包括硬盘主引导扇区 5 硬盘主引导扇区保护研究引言 的基本结构、传统c h s 和主流线性的硬盘寻址方式、基本i n t1 3 h 和扩展i n t1 3 h 读写访问中断，作为展开本课题研究的基础性知识。 第三章根据前两章的分析和介绍，从外部保护这一方面，提出了防止非硬盘 启动功能的设想，阐述了其中所使用的加密过程，分析了改进后的主引导记录。 第四章从内部保护这一方面，介绍了内部保护的背景，提出了基本的和加强 的主引导扇区数据保存方法，同时也提出了相应的数据恢复方法。 第五章作为主引导扇区数据恢复的一种特殊情况，介绍了分区表链的相关概 念，通过一个具体的例子给出了分区表链各结点的提取过程；详细分析了各结点 的数据关系并总结了其基本的规则，最终设计了具体的算法，同时进行了一定的 算法证明和评估。在阐述中有选择的附上了少量代码作为对文字叙述的补充。 第六章按照第四章内部保护的研究给出了其仿真实现，从而给内部保护的应 用和研究以实际的可行性支持。 第七章作为全文的结束，总结了所研究的保护方案的特点和创新，点出了其 尚待解决的不足或需改进提高的方面，并作了研究展望。 6 硬盘主引导扇区保护研究主引导扇区数据保护的技术基础 第二章主引导扇区数据保护的技术基础 本课题所研究的目标是提出一个安全、高效、完整的硬盘主引导扇区数据保 护方案，所采用的技术必须是适用于主引导扇区数据访问的。本章将探讨相关技 术，作为此方案的技术依托或理论启发，从而保证主引导扇区数据的安全。这里 涉及到的多种知识和技术，包括主引导扇区结构、硬盘寻址方式、硬盘读写访问 中断等几个方面。 2 1 主引导扇区 2 1 1 主引导扇区的基本概念 对于嘲o w $ 系统来说，有两种不同的引导扇区，即w i n d o w s 引导扇区和 硬盘主引导扇区。w m d o w s 引导扇区存在于软盘的第一逻辑扇区或硬盘w i n d o w s 分区的第一逻辑扇区，是用f o r m a t 命令对磁盘格式化时产生的，是引导 w i n d o w s 系统或正确使用磁盘的必要条件。硬盘主引导扇区则指的是硬盘的物理 地址0 面0 道l 扇区，是用f d i s k 进行硬盘分区时产生的，它属于整个硬盘而不 属于某个独立的w i n d o w s 分区，是硬盘正确引导和使用的必要条件。 硬盘主引导扇区占据一个扇区，共5 1 2 ( 2 0 0 h ) 个字节，具体结构如下： ( 1 ) 硬盘主引导程序，位于该扇区的o 一1 b d h 处； ( 2 ) 硬盘主分区表，位于1 b e h 一1 f d h 处，每个分区占用1 6 个字节，共4 个分区； ( 3 ) 引导记录标志，位于1 f e h - - 1 f f h 处，固定值为a a 5 5 h t l l j 。 下图是主引导扇区结构的直观表示。 7 硬盘主引导扇区保护研究主引导扇区数据保护的技术基础 主引导记录 主分区表 引导记录标志( 5 5 a a ) 图2 - 1 主引导扇区结构图 地址偏移量0 0 h 地址偏移量l b e h 地址偏移量2 0 0 h 说明一下( 这个非常重要) ：大于1 个字节的数以低字节在前的存储格式( 1 i t t l e e n d i a nf o r m a t ) 或称反字节顺序保存下来。低字节在前的格式是一种保存数的方 法，这样，最低位的字节最先出现在十六进制数符号中。例如，相对扇区数字段 的值o x 3 f o o o o o o 的低字节在前表示为o ) 【o o 0 0 0 0 3 f 。这个低字节在前的格式数的 十进制数为6 3 。所以在引导记录标志中，实际值a a 5 5 h 就被表示成5 5 a a 。本 文其他涉及到扇区数据表示的地方均是使用上面的格式。 硬盘主引导扇区在各个w i n d o w s 版本下其内容基本一致，主要完成的任务 是： ( 1 ) 存放硬盘分区表，这是硬盘正确读写的关键数据； ( 2 ) 检查硬盘分区的正确性，要求只能且必须存在一个活动分区【1 2 】； ( 3 ) 确定活动分区号，并读出相应操作系统的引导记录； ( 4 ) 检查操作系统引导记录的正确性，w i n d o w s 引导扇区末尾也存在着一个 a a 5 5 h 标志，供引导程序识别； ( 5 ) 释放引导权给相应的操作系统。 例如，当确认g r m d o w s 操作系统引导记录存在时，则调出w i n d o w s 引导程 序并执行。另外，当它发现引导故障时将给出部分提示信息，如：“i n v a l i d p a r t i t i o nt a b l e ”表示硬盘分区表错误，没有或存在两个以上活动分区；“e r r o r l o a d i n go p e r a t i n gs y s t e m ”表示读w i n d o w s 引导记录时出错；“m i s s i n go p e r a t i n g 8 硬盘主引导扇区保护研究 主引导扇区数据保护的技术基础 s y s t e m ”表示v - r m d o w s 引导记录无有效标志a a 5 5 h 。 2 1 2 主引导记录 主引导记录是硬盘主引导扇区的第一部分，占用4 4 6 个字节。十六进制的主 引导记录形式如下图表示： 3 3c 08 ed 0 b c 0 0 7 cf b - 5 00 75 0 1 ff c 髓l b7 c3 曩p 1 b f l b0 65 05 7 明e 50 1 - f 3a 4 髓眦0 7b 1 0 47 p w 9 e s l k 1 3 82 c7 c0 9 7 5 1 58 30 5 - 1 0e 2 f 5c d l 88 8 1 4 明8 1 仉p b i l i l 髓8 3c 61 0 柏7 41 63 p 2 c7 4f 6 髓l o0 7 蛆a cn f i t 8 ，t r y n 。 3 c0 07 4f 髓0 70 0b 4 - o ec dl o 即f 28 94 62 5 t z ：4 乩k r f 9 68 4 60 4b 4 0 63 co p 7 4l lb 4 3 c0 c7 40 5 f 4 。 u 7 45 8 3e f0 5 7 fd 一8 5f 67 58 3b e2 70 7 踞* t z o z m k 8 9 89 15 29 9 0 3 4 60 8 一1 35 6o 髓1 20 05 耶k f v h 致 晒4 f7 4e 43 3 c 0c d l 3 - 髓鹤0 00 0 0 00 0 0 00 0u 0 t d 3 瓤姻 5 6 3 3p 65 6 5 6 5 2 5 00 p 5 35 l 腿1 00 05 6 明f 4v 3 v w r p s q v t 5 05 2 船0 04 28 5 62 4 1 35 5 88 d6 4 1 07 2p 鼢b v 轴z ) ld r 0 柏7 5o l4 28 0c 70 2 - e 2f 7f 85 ec 3 髓7 44 9 如b g b w xc k t i 旺7 66 l 6 c 6 96 42 07 0 书l7 27 46 97 4 6 f 缸n v a l i dp a r t i t i o n 2 07 4 6 l 6 26 c 6 50 04 铲7 27 2 卵7 22 06 c6 f6 1t a b l e e r r o rl o a 6 46 9 雠6 72 06 f7 0 酾一7 26 l 7 46 9 盹6 72 0 7 3d i n go p e r a t i n gs 7 97 37 46 5 印0 04 d6 9 - 7 37 36 9 鲤6 72 06 f7 0y s t e m m i s s i n go p 6 5 7 26 1 “6 96 e6 72 0 - 7 37 97 3 7 46 5 印0 0e r a t i n gs y s t e l 0 0 0 0 0 00 00 0 0 00 00 0 - o o0 00 00 00 00 0 0 00 0 0 00 0 0 00 00 0 - 0 00 00 00 00 0o o0 00 0 0 0 0 00 0 部f c l e5 78 b - f 5 0 00 00 0 0 0 0 00 0 1 - u l l 0 00 00 00 00 00 00 00 0 - 0 00 0 0 00 0 0 0 0 00 00 0 0 00 00 0 0 00 0 0 0 0 00 0 - 0 00 0 0 00 0 0 00 00 00 0 0 00 00 0 0 00 00 00 0o p 0 00 00 00 0 0 0 0 0 图2 - 2 主引导记录的十六进制表示圉 2 1 3 主分区表和引导记录标志 9 硬盘主引导扇区保护研究主引导扇区数据保护的技术基础 主分区表占用6 4 个字节，记录了硬盘的基本分区信息。主分区表分为四个 分区项，每项1 6 字节，分别记录了每个主分区的信息( 因此最多可以有四个主 分区) 。图2 - 3 表示了主分区表的结构和每个主分区起止位置。 分区信息1 ( 1 6 字节) 0 1 b 阴 0 1 c 明 分区信息2 ( 1 6 字节) 0 1 c e h 0 1 d d h 分区信息3 ( 1 6 字节) 0 1 d e h 0 1 e d h 分区信息4 ( 1 6 字节) 0 l e 口 0 1 f d h 图2 - 3 主分区表结构图 每一项的结构如下： ( 1 ) b o o tf l a g ：占用1 个字节，指明哪个分区是活动的或可引导的。一个硬 盘只能有一个活动分区。活动分区的b o o tf l a g 值设为0 x 8 0 ，硬盘上的其他分区 设为0 x 0 0 。主引导记录通过搜索此标志来查找活动的引导扇区。 ( 2 ) s t a r t i n gs i d e ：占用1 个字节，分区起始磁头号； ( 3 ) s t a r t i n gc y l i n d e r ：占用1 0 位，分区起始柱面号； ( 4 ) s t a r t i n gs e c t o r ：占用6 位，分区起始扇区号： ( 5 ) s y s t e mi n d i c a t o r ：占用1 个字节，用来指定分区中所含文件系统的类型。 一些常用值包括：0 x 0