磁盘保护对于普通用户来说是一个比较神奇的技术,用户可以在正常使用电脑的情况下,所有对保护分区的修改都能够在重启后将硬盘数据还原,以达到预防病毒、保护硬盘数据原貌的功能。
而这一切是如何实现的呢?这就要从Windows系统的磁盘写入机制说起。我们往往会直观的感觉到,如果往硬盘里面写入了什么数据,似乎是用户直接进行写入或者时应用程序直接进行的,明明是往一个指定的目录中写入了数据,但为什么在启用了磁盘保护之后,重启之后一切都还原了,这些全部要归功于磁盘保护驱动。
驱动程序在我们的印象中,从名称上看好像只是使某个硬件设备能够被Windows识别并让用户能够使用它。但实际上,“驱动程序”这个概念是十分广义的,很多驱动程序实际上只是调用了系统提供的某些内核功能,这些驱动程序的功能并不是驱动硬件,磁盘过滤驱动就是属于实现这种功能的驱动。
在实际的数据写入过程中,应用程序的写入操作时调用的操作系统提供的写入功能函数进行的,然后操作系统再交给文件系统的驱动程序,以后的工作就是一些其他驱动直至最后由磁盘驱动完成数据的写入。而磁盘保护驱动程序,是一种“过滤”驱动。一般的过滤驱动(例如filemon工具的驱动程序)可以监视文件的读写操作,而磁盘保护程序的过滤驱动则更为强大,除了能监视识别数据写入操作外,还能根据需要改变写入操作的方向。
如今,主流的网吧游戏平台都有一种称为“穿透还原”的功能。这个功能的本质,实际上就是利用磁盘保护驱动改变写入操作方向的特性。一般的数据和写入操作,过滤驱动会改变它的流向,当磁盘保护驱动将数据递交给文件系统驱动时,会将真正的改动保存在其他位置。而看到的写入结果并不是真正在受到保护的磁盘分区上生效了,而是写入了其他临时位置,而客户端程序的一些写入操作或者本地的游戏更新,都会把修改的内容保留到真实的路径。
本文来源:不详 作者:佚名