基于磁盘过滤驱动的硬盘保护技术

磁盘驱动器

磁盘驱动器 磁盘驱动器分软盘驱动器和硬盘驱动器，是目前微型计算机上配置的最重要的外存储器，特别是硬盘，具有容量大，数据存取速度快，是各种计算机安装程序、保存数据的最重要存储设备。 软盘驱动器 软盘驱动器是抽取式储存装置中的一种，目前市面上流行的几种抽取式储存装置，包括磁介质的Zip,LS－120软盘,Jaz,Winchester磁盘(包括SyQuest)，和磁光介面的MO,PD等。一般来说，这些介面可以配接大部份目前最流行的接驳口，包括并行接口，ATAPI(IDE硬盘接口)，SCSI接口，和专为笔记本电脑而设的PCMCIA卡端子。另外，不同的储存媒介有着不同的性能和容量；一般来说，软磁盘介面的容量和速度都比较低，每储存单位的价钱则属于中游价格。硬盘式储存媒介则是最高速的一类，其每单位的价格则不算太贵，可能是因为每个储存介面的容量大，所以除开来的储存价格都算合理。磁光介面的储存媒体是价钱最便宜的，而且速度比软盘高，可是由于驱动器牵涉镭射光学装置，故一般都比较昂贵。 新型的软盘驱动 目前微型计算机已进入千兆字节时代,而与之相配的软盘已不堪重任,进入老化时期。近几年，新软盘技术不断出现，使软盘的容量越来越大，数据存取速度越来越高，甚至有些新软盘的容量超过了旧硬盘的软盘容量。目前流行的大容量软盘驱动器主要有ZIP、LS120和M.O.（Magneto Optical）等。下面分别给予介绍。 ZIP磁盘驱动器 ZIP驱动器是美国IOMEGA公司研制生产的一种大容量磁盘驱动器，每张磁盘存储量100MB，适用于DOS、Windows、Mac OS、OS/2。作为新一代可交换存储设备，ZIP适用于数据的存档、转移和共享，随着Internet的广泛应用，人们可以利用这种新存储设备方便地把网上信息拷贝下来。它是软盘驱动器的最佳替代品，在国际市场上的占有率比其他外部存储设备如IOMEGA公司的JAZ活动硬盘驱动器、SYQUEST公司的EZFILYER驱动器和可擦写MO(磁光)驱动器而言相

如何安装联想硬盘保护系统(精)

步骤或方法 1. 安装前的准备 * 将COMS中上病毒警告关闭。 * 将CMOS中显卡以外的映射地址设为Disable。 2. 按下电源启动计算机,在屏幕上出现“lenovo联想”时按下F4键,您将进入安装导航。 3. 选择流动用户,开始设置发射端。 4. 重启后,您看到联想硬盘保护系统V 5.0安装界面。选择“立即安装”,按回车键继续。 5. 选择“重新分区安装,(若您的磁盘系统是利用FDISK文件分区,则可选择“保留系统安装”,否则只能选择“重新分区安装”。按回车键继续,若您的计算机硬盘上有重要数据,请提前将其备份到其它存储设备上。 6. 在出现“提示”时,选择确定,按回车键继续。 7. 这时会出现“联想硬盘保护系统V5.0硬盘分区工具”界面,请根据需要和硬盘大小进行分区,请把属性为T1的磁盘的暂存区一定要设置成1004MB,设置如下,供参考: 8. 设置完成后,选择确定继续或按F10,计算机重启后按Del进入CMOS设置画面,将CD-ROM设置为第一启动设备。 9. 重启计算机后,您将看到启动盘选择界面。 10. 将联想电脑驱动光盘放入光驱,按“Ctrl+Enter”组合键进入WinXP分区,用光盘引导计算机。

* 在屏幕上出现“Run lenovo os setup tool?﹝Y,N﹞?”时选择Y。 * 您将看到联想操作系统智能安装向导界面,请您好填写必要信息,并按提示插入操作系统光盘安装操作系统。(注:以上选择的是“重新分区安装”,另外,智能安装向导有可能会安装不下去,那么就请手动安装操作系统和驱动程序,请先阅读5.下面的注意事项! * 安装完操作系统后,在光驱中放入驱动程序光盘,根据提示安装硬件驱动程序,可选择自动安装,为了保证系统的稳定性,此步骤不可少。 * 安装完硬件驱动程序之后,根据提示继续安装windows下硬盘保护安装程序和应用软件。 11. 安装完成后,检验是否具备硬盘保护功能,若未保护,请用安装软件模式进入系统,并将驱动光盘放入光驱中,选定并执行驱动盘:OSSetuppackprotect 目录下的“setup.exe”程序进行安装,根据界面出现的安装选项进行所需安装,安装完成后,按“确定”后重启,完成整个安装程序。 12. 建议修改硬盘保护系统密码,以防他人对您的东东随意改动,而出现问题。 * 若没有出现安装导航界面,请在Windows操作系统下安装并卸载个人数据专家,执行驱动盘: OSSetuppackperdisk目录下的“Setup.exe”程序进行安装,在重启后按下F4启动安装导航界面。 * 如果文件系统设置成NTFS格式,您将无法使用以下的联想操作系统智能安装向导。 * 在安装操作系统、驱动程序和应用软件的过程中,每次重新启动计算机后,都要按“Ctrl+Enter”组合键进入WinXP分区。 * 安装操作系统后请您好务必为本机指定一个IP地址,而不要使用Internet协议(TCP/IP属性听“自动IP地址”选项,否则可能会影响硬盘保护系统自动分配IP的功能。

Windows文件系统过滤驱动在防病毒方面的应用

Windows文件系统过滤驱动在防病毒方面的应用 发表时间：2009-10-1 刘伟胡平来源：万方数据 关键字：文件系统过滤驱动防病毒病毒特征码信息安全 信息化应用调查我要找茬在线投稿加入收藏发表评论好文推荐打印文本 在操作系统内核层，对用户模式应用程序请求读写的磁盘数据进行病毒扫描。介绍文件系统过滤驱动的工作原理，利用文件系统过滤驱动，捕获用户应用程序发往目标文件系统驱动的磁盘操作请求，进而获得这些操作请求的处理权，论述防病毒的工作原理，利用文件扫描程序扫描文件系统过滤驱动程序截获的文件数据，并与特征码库中的病毒特征码进行匹配。若匹配成功，则通知用户模式应用程序进行处理；否则，不做处理，防止从磁盘读取病毒文件或将病毒文件写入磁盘。 0 引言 近几年计算机病毒也正以惊人地速度蔓延，对计算机及其网络系统的安全构成严重威胁。本文提出利用文件系统过滤驱动，捕获用户应用程序向磁盘写入或读出的文件数据，对其进行扫描，并与病毒特征码库中的病毒特征码匹配，以判断是否是病毒文件或染毒文件：根据扫描结果确定是否为病毒文件或染毒文件，以及是否与用户模式应用程序进行通信。文件系统过滤驱动运行于操作系统内核，其安全性得到操作系统的保证，安全性较高。 1 文件系统过滤驱动原理 文件系统过滤驱动是针对文件系统而言的，属于内核模式程序，运行于操作系统的内核模式，仅能附着到目标文件系统驱动的上层。文件系统驱动是存储管理子系统的一个组件，为用户提供多种手段，将信息存储到永久介质(如磁盘、磁带等)，或从永久介质获取信息。图1显示了文件系统过滤驱动和文件系统驱动与用户应用程序之间的服务关系，应用程序对磁盘发出的操作请求，首先到达 I／O子系统管理器。在进行读写磁盘数据的时候，缓存管理器会保存最近的磁盘存取记录，所以在接收到应用程序读写磁盘的操作请求后，I／O子系统管理器会先检查所访问的数据是否保存在缓存中，若缓存中有要访问的数据，I／O子系统管理器会构造Fast I／O请求包，从缓存中直接存取数据；如果所需数据不在缓存中，I／O子系统管理器会构造相应的IRP，然后发往文件系统驱动，同时缓存管理器会保存相应的记录。因此，文件系统过滤驱动程序有两组接口处理由I／O子系统管理器发送来的用户模式应用程序操作请求：一组是普通的处理IRP的分发函数；另一组是FastIo调函数；编写这两组函数也是文件系统过滤驱动的主要任务之一。 图1文件过滤系统原理 2 文件系统过滤驱动关键部分实现过程 虽然文件系统过滤驱动有FastIo回调函数和IRP分发函数两组接口处理I／O请求；但是，只有IRP请求是从磁盘读取数据；因此，只要捕获与读写请求相应的IRP请求，就可获得对读写数据的处理。读写IRP请求分别是IRP_MJ_READ和IRP_MJ_WRITE请求；只有将文

安装程序没有找到硬盘驱动器解决方法

双系统安装心得之二:“安装程序没有找到安装在此计算机上的硬盘驱动器” 关键字：双系统VISTA XP 安装程序没有找到安装在此计算机上的硬盘驱动器 知识点链接：SATA硬盘IDE AHCI 问题描述：C盘已经安装VISTA，想在其他硬盘上再安装XP组成双系统，以满足娱乐/开发需求。可是在插入XP安装盘以后出来如下的错误页面--->>> 问题原因： 现在硬盘大多是SATA硬盘，而要安装的XP系统不带SATA驱动，从而造成找不到硬盘而无法安装系统的问题！ 解决方案： 方案一（亲自操作）、设置BIOS中SATA controller的工作模式为Compatibility(兼容)或者ATA（IDE）。 不同机器BIOS设置不同，但大体上时类似，附上我机器（Ideapad Y510 A）的设置截屏--->>> 开机-->>F2-->>Advanced-->>SATA controller working mode-选择

->>Compatibility -->> F10保存刚才对BIOS的修改-->>重新安装 -->>OK~! 方案二（未亲自测试）： 1.因为WindowsXP本身不直接支持串行ATA控制器，安装Windows XP的时候必须从软驱中搜索第三方的SATA驱动，若没有主板附带的软盘驱动时，必须将光盘中的驱动拷贝到软盘中。所以，首先须要有软驱才行。如果你安装Windows 98系统的话，只需要在BIOS中把启动选择为SCSI/SATA就可以像普通IDE硬盘一样正常安装了。 2.在首次安装WindowsXP寻找SCSI设备时，按下F6键（此时屏幕下方会有文字提示）来加载第三方驱动程序。但请注意，出现提示后大约只有2秒的时间让你按键，错过的话又得重启再来一次。按下F6后，

联想硬盘保护系统EDU7.0安装方法

安装方法 一、清除硬盘原有分区。 先用光盘或U盘启动计算机进入PE。如果是旧硬盘，请先备份重要资料到其它的硬盘，然后用磁盘分区工具DiskGenius3.5删除硬盘上的所有分区，并更新硬盘的MBR，假如硬盘末尾有一个联想的服务分区，分区名是lenovo_part或是其它的隐藏分区，请全部删除，全新硬盘可跳过此步。 二、安装联想服务分区及网络同传软件。 放入联想硬盘保护系统EDU7.0光盘，重启计算机，按F12，选择从光驱启动。进入联想的PE3.0，启动后会进入一个CMD界面，在提示符下输入：cd 4371&4372 或是输入：cd 4371然后按TAB键，会自动补全路径，按回车进入这个目录，接着输入：inst12系统会自动在硬盘末尾创建联想的服务分区并安装联想的网络同传软件。完成后系统会返回命令提示符状态，关闭CMD窗口，计算机自动重启。一般情况下，联想电脑在出厂时就已经装好了服务分区和网络同传软件。如果你的服务分区被破坏，开机按F4出不来网络同传界面，或是想更新硬盘保护系统版本，请执行这步操作。 三、划分硬盘分区。 重启计算机进入光盘版PE，用磁盘分区工具DiskGenius3.5对硬盘进行分区。 注意：这次不要删除分区名是lenovo_part的隐藏分区，在划分主分区、扩展分区和逻辑分区后，要在硬盘的末尾保留一段空白的空间

（即在隐藏的服务分区和最后一个逻辑分区间保留一段未划分的磁盘空间），这点很重要，因为这段空间是硬盘保护系统的数据缓存区，建议XP系统保留6—10G的空间，Win7系统保留10—20G的空间。 千万别信网上那些，说什么把磁盘空间占满之类的教程，全是坑爹的，严重PS那些Ctrl控们。如果把磁盘空间都分完占满了，在接下来执行快速安装硬盘保护系统后，硬盘的最后一个可见逻辑分区会被删除并隐藏。运行DiskGenius3.5会提示硬盘DBR错误，而且无法修复。 四、安装联想硬盘保护系统。 分区完成后重启计算机，在出现联想LOGO时反复按F4，进入硬盘保护系统的安装界面，下图。 因为我们已经对硬盘分好区了，所以选择快速安装，完成后会出现下面的提示。

文件过滤驱动加载过程

文件过滤驱动学习笔记(二) 1.概述 刚学习文件系统过滤时只是做一些简单的应用也没有深究其中的细节；说起来对文件系统过滤也只是一知半解惭愧的很。后与人讨论发现很多细节自己很模糊；比如其中涉及的驱动对象之间的区别、卷设备加载对文件过滤驱动的影响等。自己还是需要仔细研究一下，最近查了一些官方及前辈们的资料似乎有些理解在此记录下来做个笔记。 2.相关对象说明 在文件过滤驱动学习中会遇到几种设备对象总是混淆。最近硬着头皮查阅DDK才有些理解。 2.1.存储设备(Storage Device) 存储设备可以理解为一个磁盘、一个CD；它可以物理的也可以是逻辑的，它上边可以有一个或多个卷设备对象。大多数存储设备是一个PnP设备，它们由PnP管理器加载。存储设备表现为PnP设备树（PnP Device Tree）上的一个节。注意：文件系统驱动和文件系统过滤驱动都不是PnP设备驱动。 2.2.存储卷（Storage Volume） 存储卷是一个存储设备如固定磁盘，软盘，CD盘，格式化后存储的目录与文件。一个很的大卷可以被分成一个或多个逻辑卷；每一个卷都会被格式化成指定的一种格式，如NTFS，FA T等。它通常是一个物理设备对像（PDO）。它与文件系统卷对象是不同的。2.3.文件系统卷设备对象（File System VDO） 一个存储卷被文件系统加载时就会产生一个文件系统卷设备对像（File System VDO）；它总是与指定的逻辑或物理设备相联结（这里我理解应该是说它总是代表了一种数据存储及组织格式，也就是我们常说的FA T和NTFS）。文件系统过滤驱动就是要附加到这种设备对象上过滤读写相关的操作。DDK上说文件系统卷设备对象是不需要命名的，因为给它命名会带来安全隐患；这点没有太理解还需要再查阅一些资料。 2.4.文件系统控制设备对象（File System CDO ） 文件系统控制设备对象是一个文件系统的入口，它不是单个的卷并且它是存储在全局文件系统队列里的。一个文件系统驱动在入口创建一个或多个CDO，例如FastFat就创建两个CDO。一个是针对固定媒体一个针对可移动媒体。CDFS只创建一个因为它只有一个移动媒体。文件系统控制设备对象是文件系统过滤驱动要过滤的另一个重要对象，因为在卷加载时会发一个消息给文件系统驱动，需要知道有新的卷加载安装就需要对这个设备对象进行过滤。这个对象的作用我理解为是用来管理文件系统卷设备对象的。 3.加载过程 3.1.OS启动时的加载 3.1.1.OS的加载过程中的文件系统

EDU-联想硬盘保护系统安装说明(完整)

EDU-联想硬盘保护系统安装说明 目录 1. 说明 (2) 1.1. 适用平台 (2) 1.2. 准备 (2) 2. 安装edu (3) 2.1. 删除分区 (3) 2.2. 安装edu (5) 2.3. 划分分区 (9) 3. 操作系统净化 (11) 3.1. 系统下安装对应驱动程序 (11) 3.2. 安装其他必要软件或文体 (12) 4. 进入联想硬盘保护系统界面 (12) 4.1. “召唤” (12) 4.2. 参数设置 (14) 5. 快捷说明 (17) 6. 网络同传 (17) 6.1. 硬件连接 (17) 6.2. 同传 (18) 6.2.1. 母机 (18) 6.2.2. 客户端 (22)

1.说明 1.1. 适用平台 联想硬盘保护系统（镜像名称：Edu*）仅适用联想品牌电脑； Edu7.5.3成功在启天M7150（主板G41）安装成功； 如果电脑较旧请使用低版本edu，低版本安装过程不同； 新电脑中可以已经存在edu，只需要“唤醒”并在操作系统下安装驱动程序即可，驱动程序一般在随机光盘中有。 1.2. 准备 ?U盘两个： WinPE启动U盘（含分区处理工具DiskGenius或者PQ）； 联想硬盘保护系统（EDU7.5.3）U盘（实际也为WINPE）； ?交换机（端口尽量多）、网线等（用于网络同传）； ?备份重要数据（有可能分区损坏）； 第 2 页共22页

2.安装edu 2.1. 删除分区 A.电脑上插上WinPE启动U盘； B.开机，按F12，进入启动选择界面，选择U盘启动； 图1启动选项 C.进入winpe，后打开DiskGenius软件； 第 3 页共22页

磁盘驱动器

第7章 磁盘驱动器 7.1 IDE接口概述 在PC中用于连接磁盘驱动器的主要接口中，一类典型的接口是IDE（Integrated Drive Electronics，集成驱动器电路）接口。这个接口所反映的是接口电路或控制器内置于驱动器自身这一事实。在IDE接口出现之前，驱动器和控制器的接口是分离的，因而可以说IDE是以前接口的革命化变革。IDE的原名叫ATA （AT Attachment，AT嵌入式接口）， IDE和ATA实际上描述的是同一种接口，因此可以互换使用。尽管IDE的使用更加流行和广泛，但从技术上来看，ATA才是真正的称呼。如果吹毛求疵一点儿，可以这样认为：IDE通常指任何一种将控制器嵌入到驱动器的驱动器接口；而ATA则是PC机中IDE接口所遵循的标准或具体的实现。如今，ATA不仅被用于硬盘驱动器，还用于CD-ROM驱动器，DVD驱动器，高容量超级软盘驱动器以及磁带驱动器。 ATA是一个16位并行接口，即可以通过接口电缆同时传输16位数据。2000年底，一种称为串行ATA （Serial ATA）的新接口由官方正式发布，从2002年起将被各种系统陆陆续续地采纳。串行ATA（SATA）一次向电缆上发送一位数据，这样就可以使用更短更细的电缆；同时由于速率增加，性能也有很大的提高。SATA是一种全新的物理接口，但在软件级则与并行ATA保持兼容。在本书中，术语ATA指的是并行接口，而SATA指的是串行接口。 许多系统主板上的ATA连接器实际上就是一条ISA（或AT）总线槽。在ATA的安装中，一般只使用了98针中的40针，标准的16位ISA总线槽都会提供这些针。应该注意的是，较小的2.5英寸ATA驱动器使用一种44针的连接，包含了电源和配置所需的针。使用的针仅仅是那些标准型的XT或AT硬盘控制器所必需的信号针。举例而言，由于基本的AT型磁盘控制器仅使用中断行14，那么基本的主板ATA IDE 连接器也就仅提供该中断行，其他中断行是不必要的。已经过时的8位 XT IDE主板连接器提供中断行5，那是因为XT控制器需要用到它。注意，即使所用的ATA接口连接于主板芯片组上的South Bridge芯片或I／O控制器Hub芯片（它可能出现在较新的系统中）并且以较快的总线速度运行，所用针的输出针和功能也没有什么不同。 这里要澄清一个问题，就是许多人在使用主板上装有ATA连接器的系统时，都认为硬盘控制器也安装在主板上，而实际上控制器是在驱动器中，还没有哪个PC系统将硬盘控制器安装到主板上。尽管集成于主板上的ATA端口常被称为“控制器”，他们实际上应被叫做“主机适配器”（诚然，该术语并不常见）。主机适配器可以看作是连接控制器与总线的设备。 7.2 IDE接口类型 曾经存在四种基于三种不同总线标准的主要的IDE接口类型： ·串行ATA（SATA）。 · AT嵌入式接口（ATA）IDE（16位ISA）。 · XT IDE（8位ISA）。 · MCA IDE（16位微通道）。 其中，只有ATA现在还在使用，它与串行ATA一起，已发展成为更新、更快、更强大的版本。这些发展了的ATA并行版本指的是ATA-2及其更高版本，它们也被称为EIDE（增强型IDE）、快速ATA、ultra-ATA 或Ultra-DMA，尽管ATA最终可能只能发展到ATA-6版本，但串行ATA弥补了 ATA的不足，其性能更加优越，便于以后版本的升级。

浅谈文件系统过滤驱动

浅谈文件系统过滤驱动讲稿 大家好： 今天我们一起来认识一下文件系统过滤驱动（File System Filter Driver），当今信息化建设日益推进，电子化办公日趋流行，文件的安全性已成为信息安全领域的重要课题之一。目前解决这个问题的主要技术手段有两种： 一是利用应用层HOOK（钩子）技术。 主要是对windows提供的文件操作函数（API）及由文件操作所触发的windows消息进行HOOK，经过适当的处理达到预期目的。 二是开发文件系统过滤驱动程序。 在内核中间层过滤I/O管理派发的I/O请求包IRP（I/O Request Package）。 做简单介绍后，我就从文件系统过滤驱动的定义、原理、应用和前景四个方面开始今天的主题。 谈到文件系统过滤驱动，不得不谈谈文件系统驱动。文件系统驱动是存储管理子系统的一个重要组成部分，它向用户提供在磁盘或光盘等非易失性媒介上信息的存储、转发，同时和存储管理器、高速缓冲管理器紧密结合，不但保证了应用程序可以准确地提取数据文件的内容，而且提高了访问效率。直观点：由截图可知，我们平时用的SD卡、U盘等是FAT、FAT32格式，它们所对应的文件系统驱动则是fastfat.sys、exfat.sys等，硬盘则是NTFS格式，所对应的文件系统驱动是ntfs.sys 它们到底怎么工作的呢？用户进程对磁盘上文件的创建、打开、读、写等操作由WIN 32子系统调用相应的服务来代表该进程发出请求操作。I/O管理器接收到上层传来的I/O请求，应用程序对磁盘发出的操作请求，首先到达 I／O子系统管理器。在进行读写磁盘数据的时候，缓存管理器会保存最近的磁盘存取记录，所以在接收到应用程序读写磁盘的操作请求后，I／O子系统管理器会先检查所访问的数据是否保存在缓存中，若缓存中有要访问的数据，I／O子系统管理器会构造Fast I／O请求包，从缓存中直接存取数据；如果所需数据不在缓存中，I／O子系统管理器会构造相应的IRP(I/O Request Package)，然后发往文件系统驱动，同时缓存管理器会保存相应的记录。因此，文件系统过滤驱动程序有两组接口处理由I ／O子系统管理器发送来的用户模式应用程序操作请求：一组是普通的处理IRP的分发函数；另一组是FastIo调函数；通过构造输入输出请求包IRP来描述这个请求，然后向下传递给文件系统驱动、存储设备驱动做后续处理，低层驱动处理完毕后把结果依次向上返回，最后经过I/O管理器，由WIN 32子系统把结果返回给发出请求的应用进程，整个对文件的操作请求执行完毕。 Windows NT 的I/O 管理器是可扩展结构，支持分层驱动模型，这样按照我们的需求开发具有某种功

文件过滤的一点总结

文件系统驱动 文件系统驱动主要生成两类设备：文件系统控制设备，文件系统的卷设备 文件系统控制设备：主要任务是修改整个驱动的内部配置 文件系统的卷设备：一个卷对应一个逻辑盘 发送给控制设备的请求（IRP），一般是文件系统控制IRP（主功能号为IRP_MJ_FILE_SYSTEM_CONTROL）；发送给卷设备的IRP一般则是文件操作IRP。过滤的目标最终是为了得到文件操作的IRP，但是控制设备的IRP，一般用来捕获卷设备的生成信息，所以我们要先绑定文件系统的控制设备，达到绑定文件系统的卷设备的目的~~ (1)生成自己的一个控制设备,当然必须给控制设备指定名称 (2)设置普通分发函数 (3)设置快速IO分发函数 (4)编写一个文件系统变动回调函数，在其中绑定刚激活的文件系统控制设备(动态绑定) (5)使用IoRegisterFsRegistrationChange调用注册这个回调函数 文件系统控制设备的绑定 过滤设备扩展 typedef struct _SFILTER_DEVICE_EXTENSION { ULONG TypeFlag; // // 绑定的文件系统设备（真实设备） // PDEVICE_OBJECT AttachedToDeviceObject; // // 与文件系统设备相关的真实设备（磁盘），这个在绑定时使用 // // PDEVICE_OBJECT StorageStackDeviceObject; // // // 如果绑定了一个卷，那么这是物理磁盘卷名；否则这是绑定的控制设备名 // //

UNICODE_STRING DeviceName; // // 用来保存名字字符串的缓冲区 // WCHAR DeviceNameBuffer[MAX_DEVNAME_LENGTH]; // // The extension used by other user. // UCHAR UserExtension[1]; } SFILTER_DEVICE_EXTENSION, *PSFILTER_DEVICE_EXTENSION; 绑定文件系统控制设备 SfAttachToFileSystemDevice 文件系统控制设备已经被绑定，绑定的目的是为了获得发送给文件系统控制设备的文件系统控制请求。这些IRP的主功能号是IRP_MJ_FILE_SYSTEM_CONTROL，每个主功能号下一般都有次功能号 从这些控制IRP中能得到足够的信息，确定一个卷被挂载，这样才有可能去绑定文件系统的卷设备 当有卷被挂载或解挂载时，SfFsControl()就会被系统回调。现在的任务是在这个函数中获得卷设备的相关信息并对它实行绑定，才能捕获各种针对文件的IRP，从而获得临控各种文件操作的能力 主功能号为IRP_MJ_FILE_SYSTEM_CONTROL时，有以下几个不同次功能号的IRP要处理(1)次功能号为IRP_MN_MOUNT_VOLUME，说明一个卷被挂载，应该调用SfFsControlMountVolume来绑定一个卷 (2)次功能号为IRP_MN_LOAD_FILE_SYSTEM，这个请求比较特殊，它一般出现在文件系统识别器要求加载真正的文件系统时，此时说明前面绑定了一个文件系统识别器，现在应该在这里开始绑定真正的文件系统控制设备了 (3)次功能号为IRP_MN_USER_FS_REQUEST，此时可以从irpSp->Parameters.FileSystemControl.FsControlCode得到一个控制码。当控制码为FSCTL_DISMOUNT_VOLUME时，说明是一个磁盘在解挂载 (1)生成一个控制设备。当然此前必须给控制设备指定名称 (2)设置分发函数和快速IO分发函数 (3)编写一个文件系统变动回调函数，在其中绑定刚激活的文件系统的控制设备，并注册这

无效驱动器解决方案

无效驱动器解决方案 方法一： 在注册表编辑器中找到以下注册表项： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell 文件夹 在右窗格中，请注意在数据字段中每个条目的值。如果任何值中包含一个不适合您的计算机的驱动器，您可以用鼠标右键单击该条目，在数值数据框中键入c:\my 文档(Documents)，然后再单击确定。 为其数据值包含不正确的驱动器每个项重复步骤4。 下面的注册表项的每个重复第 3 步到第 5 步： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User 外壳文件夹HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell 文件夹HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User 外壳文件夹 关闭注册表编辑器，重启启动！（操作前先备份注册表） 方法二： 右击桌面“我的电脑”，选择“管理”打开计算机管理窗口，在左侧窗格点选“磁盘管理”；右击安装出错的那个程序所在的分区盘符，选择“更改驱动器号和路径”，在打开的窗口点击“更改”，将这个分区盘符改成上面错误提示中的“J：”。连续点击“确定”后返回，重新再安装出现前面出错的那个软件。 方法三：（推荐） 开始菜单->运行，输入 subst J: %TEMP% (大写) 步调1，在D盘建立文件夹temp 步调2，在开端菜单，运行里输入subst J: D:\temp（如许是为了在D盘中建立一个临时的虚拟磁盘J。）

如何隐藏一个磁盘驱动器(硬盘分区) 分区又可以正常使用

如何隐藏一个磁盘驱动器/硬盘分区分区又可以正常使用 以下方法均为在win7中测试 1组策略(gpedit.msc) 在“开始”→“运行”中填入“gpedit.msc”，打开组策略。在窗口左侧的“本地计算机策略”中依次选中“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”，再到右侧窗口中找到“隐藏‘我的电脑’中的这些指定的驱动器”策略。此时对应的设置状态是“未被配置”，双击它，弹出“隐藏‘我的电脑’中的这些指定的驱动器属性”窗口，选中下面的“启用”，并从“选择下列组合中的一个”中选择“只限制D驱动器”，最后点击确定即可。此时我们再到资源管理器中查看，会发现D盘没有了。 使用方法:在地址栏中输入“D:”(不含引号)再回车，隐藏在D盘分区的内容马上就会显现原形，如果你觉得保密性不太好，可以试试下面的方法。另外，有的人使用多块物理硬盘时(如一个SSD+一个机械硬盘，光驱位的机械硬盘无法用这种方法隐藏)，此种方法失效，大家可以尝试一下。 2修改注册表法(无多块硬盘限制) 开始--> 运行-->键入Regedit --> HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 增加一个DWORD 值[NoDrives]的数值数据请使用十进制及如下设定： 做法： 1.右边右击空白地方新建--DWORD值(D) “新值#1”重命名为“NoDrives” 2.右击"NoDrives" 出现的菜单选"修改" 选进制输入数值 隐藏A 盘为1 隐藏B 盘为A 盘的一倍即2 (十进制)，十六进制即2 隐藏C 盘为B 盘的一倍即4 (十进制)，十六进制即4 如此类推 隐藏D 盘为8 (十进制)，十六进制为8 隐藏E 盘为16(十进制)，十六进制为10 隐藏F 盘为32(十进制)，十六进制为20 隐藏G 盘为64(十进制)，十六进制为40 隐藏H 盘为128(十进制)，十六进制为80 修改后要"注销"或"重启"(建议"重启"). 追问： 但如果你在D盘装个游戏在桌面上有一个游戏启动快捷方式按你说的D盘隐藏后游戏能不能运行？ 回答： 能，这种藏法可以

EDU-联想硬盘保护系统安装说明(完整)

v1.0 可编辑可修改 1 EDU-联想硬盘保护系统安装说明 目录 1.说明 (2) 1.1.适用平台 (2) 1.2.准备 (2) 2.安装edu (3) 2.1.删除分区 (3) 2.2.安装edu (6) 2.3.划分分区 (10) 3.操作系统净化 (12) 3.1.系统下安装对应驱动程序 (12) 3.2.安装其他必要软件或文体 (13) 4.进入联想硬盘保护系统界面 (13) 4.1.“召唤” (13) 4.2.参数设置 (15) 5.快捷说明 (19) 6.网络同传 (19) 6.1.硬件连接 (19) 6.2.同传 (20) 6.2.1.母机 (20) 6.2.2.客户端 (25)

v1.0 可编辑可修改1.说明 1.1.适用平台 联想硬盘保护系统（镜像名称：Edu*）仅适用联想品牌电脑； Edu7.5.3成功在启天M7150（主板G41）安装成功； 如果电脑较旧请使用低版本edu，低版本安装过程不同； 新电脑中可以已经存在edu，只需要“唤醒”并在操作系统下安装驱动程序即可，驱动程序一般在随机光盘中有。 1.2.准备 U盘两个： WinPE启动U盘（含分区处理工具DiskGenius或者PQ）； 联想硬盘保护系统（EDU7.5.3）U盘（实际也为WINPE）； 交换机（端口尽量多）、网线等（用于网络同传）； 备份重要数据（有可能分区损坏）； 第 2 页共 25页

v1.0 可编辑可修改2.安装edu 2.1.删除分区 A.电脑上插上WinPE启动U盘； B.开机，按F12，进入启动选择界面，选择U盘启动； 图 1启动选项 C.进入winpe，后打开DiskGenius软件； 第 3 页共 25页

初探文件系统过滤驱动

初探文件系统微过滤驱动 文/图 李旭昇 文件系统微过滤驱动（File System Mini-Filter ，简称MiniFilter ）是微软为了简化文件过滤驱动开发过程而设计的新一代文件过滤框架。MiniFilter 通过向过滤管理器（Filter Manager ，简称FltMgr ）注册想要过滤的I/O 操作来间接地附加到文件系统设备栈上。FltMgr 是一个传统的文件过滤驱动，运行在内核模式，向第三方MiniFilter 提供文件过滤驱动的常用功能。如图1所示是一个简化的I/O 设备栈，其中有一个FltMgr 和三个MiniFilter 。 图1 简化的I/O 设备栈 针对每一种I/O 操作，MiniFilter 只需注册预处理回调（pre-operation callback ）和后处理回调（post-operation callback ）即可。FltMgr 会恰当的处理IRP 并在I/O 操作的前、后调用上述两个回调。 与传统过滤驱动相比，MiniFilter 优势明显。首先，MiniFilter 代码十分简洁，开发迅速。除去一些必要的注册工作，我们只需提供两个回调就可以完成对一种I/O 操作的过滤（甚至可以只提供一个，将另一个设为NULL ）。对于我们不感兴趣的I/O 操作，FltMgr 将完成基本的处理并继续传递。其次，MiniFilter 是微软文档化的方法，具有良好的稳定性与跨平台性，一份代码不需修改便可以在不同系统上工作。另外，FltMgr 还提供了许多通用的函数，帮助我们获得文件名等有用的信息。 下面我们动手编写一个MiniFilter 。DriverEntry 中通过FltRegisterFilter 注册MiniFilter ，再通过FltStartFiltering 开始过滤。 extern "C" NTSTATUS DriverEntry( _In_ PDRIVER_OBJECT DriverObject , _In_ PUNICODE_STRING RegistryPath ) { DriverObject ->DriverUnload=Unload; 黑 客防线 w w w .h a c k e r .c o m .c n 转载请注明出处

联想硬盘保护系统V网管必看

联想硬盘保护系统(网管必看) 可以先装操作系统，也可以先装保护系统，无所谓顺序，先装操作系统时，在安装保护系统时选择“使用现在的硬盘分区”；先装保护系统时，每次进入安装模式。 开机装保护系统后，进入操作系统后，在联想驱动盘里的Tool里找安装，否则不能起保护作用。 网络传输时，自动分配IP、计算机名及群组名，客户端机器将以主控端名为起点开始排序，注意设置好主控端的IP、计算机名及群组名。 网络对拷后 1.用主控端控制所有被控端重启，客户端进入系统后会自动重启一次 2.当出现保护系统的win2000按钮后，直接回车进入保护模式 3.进入系统后，稍等片刻，会出现“系统设备已更新完毕，请重新启动计算机以生效”重启 4.这次进入安装模式，重复第三步 5.以安装模式多进几次系统，待不再自检时，系统正常，可以关机了。 附1：快速恢复硬盘保护系统管理员密码 作者：张卫平 我校各教室的电脑全部安装有联想硬盘保护系统V4，为了使老师们尽快熟练使用该系统，我校专门在星期天组织了一次培训，并让老师们亲自动手操练了一番。培训完毕后，我们才发现培训机房里的硬盘保护系统的设置被改得乱七八糟，最麻烦的是好多机器的管理员密码也被更改了。 一般情况下，在计算机启动到硬盘保护系统的登录界面时按F10，在提示输入密码时，按下Shift+2329组合键，这时会出现一组数字，利用这组数字打联想的800售后电话，就能得到密码。但是此时正值星期天，出现问题的机器数量又多，为了不影响下周的正常教学使用，我们决定自己想办法： 首先找一台没有问题的电脑，将联想硬盘保护系统的各项参数设置正确，并重新启动该电脑并进入硬盘保护系统管理界面。选择“网络复制→执行网络复制”，随之出现网络复制主

02.Windows文件系统过滤驱动开发教程(2)

Windows文件系统过滤驱动开发教程 2.hello world,驱动对象与设备对象 这里所说的驱动对象是一种数据结构，在DDK中名为DRIVER_OBJECT。任何驱动程序都对应一个DRIVER_OBJECT.如何获得本人所写的驱动对应的 DRIVER_OBJECT呢？驱动程序的入口函数为DriverEntry,因此，当你写一个驱动的开始，你会写下如下的代码： NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { } 这个函数就相当与喜欢c语言的你所常用的main().IN是无意义的宏，仅仅表明后边的参数是一种输入，而对应的OUT则代表这个参数是一种返回。这里没有使用引用,因此如果想在参数中返回结果，一律传入指针。 DriverObject就是你所写的驱动对应的DRIVER_OBJECT,是系统在加载你的驱动时候所分配的。RegisteryPath是专用于你记录你的驱动相关参数的注册表路径。 DriverObject重要之处，在于它拥有一组函数指针，称为dispatch functions. 开发驱动的主要任务就是亲手撰写这些dispatch functions.当系统用到你的驱动，会向你的DO发送IRP（这是windows所有驱动的共同工作方式）。你的任务是在dispatch function中处理这些请求。你可以让irp失败，也可以成功返回，也可以修改这些irp，甚至可以自己发出irp。 设备对象则是指DEVICE_OBJECT.下边简称DO. 但是实际上每个irp都是针对DO发出的。只有针对由该驱动所生成的DO的IRP, 才会发给该驱动来处理。 当一个应用程序打开文件并读写文件的时候，windows系统将这些请求变成irp发送给文件系统驱动。 文件系统过滤驱动将可以过滤这些irp.这样，你就拥有了捕获和改变文件系统操作的能力。 象Fat32,NTFS这样的文件系统(File System,简称FS)，可能生成好几种设备。首先文件系统驱动本身往往生成一个控制设备（CDO）.这个设备的主要任务是修改整个驱动的内部配置。因此一个Driver只对应一个CDO. 另一种设备是被这个文件系统Mount的Volume。一个FS可能有多个Volume,也可

EDU-联想硬盘保护系统安装说明(完整)

目录 1. 说明 (1) 1.1. 适用平台 (1) 1.2. 准备 (1) 2. 安装edu (2) 2.1. 删除分区 (2) 2.2. 安装edu (5) 2.3. 划分分区 (12) 3. 操作系统净化 (15) 3.1. 系统下安装对应驱动程序 (15) 3.2. 安装其他必要软件或文体 (16) 4. 进入联想硬盘保护系统界面 (17) 4.1. “召唤” (17) 4.2. 参数设置 (19) 5. 快捷说明 (23) 6. 网络同传 (23) 6.1. 硬件连接 (23) 6.2. 同传 (24) 6.2.1. 母机 (24) 6.2.2. 客户端 (31)

1.说明 1.1.适用平台 联想硬盘保护系统（镜像名称：Edu*）仅适用联想品牌电脑； Edu7.5.3成功在启天M7150（主板G41）安装成功； 如果电脑较旧请使用低版本edu，低版本安装过程不同； 新电脑中可以已经存在edu，只需要“唤醒”并在操作系统下安装驱动程序即可，驱动程序一般在随机光盘中有。 1.2.准备 ?U盘两个： WinPE启动U盘（含分区处理工具DiskGenius或者PQ）； 联想硬盘保护系统（EDU7.5.3）U盘（实际也为WINPE）； ?交换机（端口尽量多）、网线等（用于网络同传）； ?备份重要数据（有可能分区损坏）；

2.安装edu 2.1.删除分区 A.电脑上插上WinPE启动U盘； B.开机，按F12，进入启动选择界面，选择U盘启动； 图 1启动选项 C.进入winpe，后打开DiskGenius软件；

图 2winpe界面 D.进入DiskGenius软件，删除后面的分区（edu自动安装在硬盘最后空余空间内）， 为edu安装预留空间；

透明底层文件过滤驱动加密技术

明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。应用透明加密技术，用户打开或编辑未加密的指定后缀文件时会自动加密；打开加密了的指定后缀文件时不需要输入密码会自动解密。因此，用户在环境内使用密文不影响原有的习惯，但文件已经始终处于加密状况。一旦离开环境，文件将得不到解密服务，将无法打开，从而起到保护电子文件知识产权的效果。本文将简要介绍目前市场上透明加密软件产品采用的透明加密技术。 透明加密技术 透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起来保护文件内容的效果。 透明加密有以下特点： 强制加密：安装系统后，所有指定类型文件都是强制加密的； 使用方便：不影响原有操作习惯，不需要限止端口； 于内无碍：内部交流时不需要作任何处理便能交流； 对外受阻：一旦文件离开使用环境，文件将自动失效，从而保护知识产权。 透明加密技术原理 透明加密技术是与windows紧密结合的一种技术，它工作于windows的底层。通过监控应用程序对文件的操作，在打开文件时自动对密文进行解密，在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。 监控windows打开（读）、保存（写）可以在windows操作文件的几个层面上进行。现有的32位CPU定义了4种（0~3）特权级别，或称环（ring），如图1所示。其中0级为特权级，3级是最低级（用户级）。运行在0级的代码又称内核模式，3级的为用户模式。常用的应用程序都是运行在用户模式下，用户级程序无权直接访问内核级的对象，需要通过API 函数来访问内核级的代码，从而达到最终操作存储在各种介质上文件的目的。

基于文件系统过滤驱动的内核Rootkit隐藏技术

第31卷第3期吉首大学学报(自然科学版) Vol.31No .32010年5月Journ al of Ji shou Universit y (Nat ural Science Edit ion)May 2010 文章编号:10072985(2010)03004304 基于文件系统过滤驱动的内核 Rootkit 隐藏技术 *侯春明,刘林(吉首大学物理科学与信息工程学院,湖南吉首416000) 摘要:Rootkit 是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit 对文件隐藏的实现,并讨论了针对Root kit 隐藏的检测技术. 关键词:文件系统;Rootkit;过滤驱动;隐藏 中图分类号:T P316文献标志码:A 随着信息技术的飞速发展,以窃取计算机控制权和敏感信息为目标的程序迅速增加.Rootkit 是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码[1].Rootkit 能在目标计算机中长期潜伏,窃取信息而不被察觉,因此在计算机战争、间谍、反计算机犯罪、证据收集等领域得到广泛应用,同时也被计算机病毒、木马、恶意软件等恶意代码使用者用来实现计算机的恶意控制.控制者一旦获得操作系统的控制权限,种植了Rootkit,它就能维护一个后门,允许控制者一直以管理员权限控制系统,并且通过隐藏文件、进程、注册表项、端口等来隐藏攻击行为,从而逃避用户和安全软件的检测[2]. 隐蔽性是Rootkit 的最大特性,而文件系统是Rootkit 应用的重要领域.许多Rootkit 需要在文件系统中存储文件,并且要求这些文件实现隐藏.Rootkit 的文件隐藏技术有2种:利用钩子技术实现文件隐藏,这种方法效率低;利用文件系统过滤驱动技术,效率高,可靠性强.利用文件系统过滤驱动技术来实现Ro otkit 的文件隐藏,成为当前Windows 操作系统内核信息安全领域的热点. 1文件系统过滤驱动工作原理 1.1Windo ws 文件系统驱动文件系统驱动程序是存储管理子系统的一个组件,为用户提供在持久性介质上存储和读取信息的功能,可以创建、修改和删除文件,同时可以安全可控地在用户之间共享和传输信息,并以适当的方式向应用程序提供结构化的文件内容[3].用户应用程序对磁盘上的文件进行的各种操作,如创建、打开、关闭、读数据、写操作等,最终都要借助文件系统驱动才能完成.各种操作调用Kernel3 2.dll,通过Win32子系统调用Native A PI 向内核层传送请求,然后通过系统服务函数将上层的请求传递给I/O 管理器,在I/O 管理器中,将对磁盘文件的各种操作请求都统一为输入输出请求包IRP,然后向下层传送IRP 给文件系统驱动,最终由文件系统驱动调用磁盘及其他存储设备驱动,进而完成对物理存储设备的各种操作.操作完成后,再将处理结果沿着相反路径返回,整体执行过程如图1所示. *收稿日期:20100425 基金项目吉首大学校级科研课题(D 5) 作者简介侯春明(),男,湖南桑植人,吉首大学物理科学与信息工程学院讲师,硕士,主要从事计算机应用与信息安全研究:09J 01:1979.