[发明专利]一种借助光盘启动在Windows操作系统中嵌入内核驱动程序的方法

说明书

技术领域

本发明涉及计算机安全领域，具体的说是提供了一种在Windows操作系统中嵌入内核驱动程序的方法。

背景技术

将内核驱动程序嵌入Windows操作系统的普遍做法是通过安装程序把内核驱动程序拷贝到系统目录下并且修改注册表。这种方法修改了注册表和文件系统，即使以后从注册表中和文件系统中删除这些修改，但是本地硬盘仍然会保留修改过的痕迹；拷贝驱动程序和修改注册表会覆盖硬盘上原有扇区中的数据，造成硬盘上数据的改变。在计算机犯罪取证等应用场合，需要把内核驱动程序嵌入Windows操作系统中以完成某些特定功能，但硬盘上的数据不允许被修改。所以，我们需要一种不用修改硬盘扇区数据就能把内核驱动程序嵌入Windows操作系统的方法。

发明内容

本发明的目的在于提供一种在Windows操作系统中嵌入内核驱动程序的方法。

本发明的技术方案是：

包括一张光盘，一段存放在光盘0xA000到0xA7FF存储空间的加载程序，一段存放在光盘0x0000到0x7FFF存储空间的用于示范的内核驱动程序；当计算机从光盘启动时，BIOS将加载程序读入内存执行。加载程序通过修改INT13H的中断服务程序来监控计算机对硬盘的读写；当Windows操作系统通过INT13H来读取注册表时，加载程序调用原始的INT13H中断服务程序读取硬盘上的注册表到内存，并在内存中修改读取的内容，让Windows操作系统加载一个硬盘上并不存在的内核驱动程序；当Windows操作系统通过INT13H来读取该内核驱动程序时，加载程序把读操作重定向到光盘，读取存放在光盘0x0000到0x7FFF存储空间的用于示范的内核驱动程序，从而把用于示范的内核驱动程序嵌入Windows操作系统。

加载程序通过修改内存中的数据将用于示范的内核驱动程序嵌入Windows操作系统，不需要改动硬盘上的数据。

用于示范的内核驱动程序的功能可以根据具体需求而改变。

当计算机从光盘启动时，BIOS把存放在光盘0xA000到0xA7FF存储空间的加载程序读入内存0000：7C00并执行。加载程序通过修改INT13H的中断服务程序来监控计算机对硬盘的读写。加载程序完成修改后，把硬盘0扇区的内容读入内存0000：7C00并执行，从硬盘上启动Windows操作系统。在随后的启动过程中，硬盘上的Windows引导程序(Osloader.exe)通过INT13H读取注册表信息和文件系统信息。加载程序监测到引导程序对注册表的读写，调用原始的INT13H中断服务程序读取硬盘上的注册表到内存，并在内存中修改读取的内容，让引导程序加载一个硬盘上并不存在的内核驱动程序。当引导程序通过INT13H来读取该内核驱动程序时，加载程序把读操作重定向到光盘，读取存放在光盘0x0000到0x7FFF存储空间的用于示范的内核驱动程序。至此，引导程序获得了用于示范的内核驱动程序的内容，并根据注册表的指示将它装入Windows操作系统。用于示范的内核驱动程序工作在Windows操作系统内核比一般的应用程序拥有更高的权限，其功能可以根据具体需求而改变。例如，用于示范的内核驱动程序嵌入网络驱动层次监控该计算机处理的网络数据，或者嵌入文件系统对某类型的文件进行加密和解密等等。

本发明的有益效果是：

1)设计新颖。在启动过程中将内核驱动程序嵌入Windows操作系统，不需要复制内核驱动程序到硬盘上，也不需要修改硬盘上的注册表。

2)具有隐蔽性。不需要在硬盘上保存内核驱动程序。

附图说明

图1-光盘存储空间的使用示意图。

图2-从光盘启动的工作流程图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细描述。本发明不仅限于以下实施例，凡是利用本发明的设计思路，做一些简单变化的设计都应进入本发明的保护范围之内。

光盘作为加载程序和用于示范的内核驱动程序的载体，如图1。加载程序存放在光盘0xA000到0xA7FF的存储空间，用于示范的内核驱动程序存放在光盘0x0000到0x7FFF的存储空间。