Программная блокировка записи


Кроме аппаратных блокировщиков записи также существуют программные. Одно время инструменты цифровой экспертизы в основном работали в среде DOS и использовали метод INT 13h для обращения к диску. Для предотвращения модификации диска во время клонирования и анализа часто использовались программные блокировщики. В этом разделе будут описаны принципы их работы и присущие им ограничения.
В основу работы программных блокировщиков записи заложена модификация таблицы прерываний, используемой для поиска кода сервисных функций BIOS. В таблице прерываний находятся записи для всех сервисных функций BIOS, и каждая запись содержит адрес кода соответствующего обработчика. Например, запись прерывания INT 13h указывает на код записи или чтения данных с диска.
Программный блокировщик изменяет таблицу прерываний так, чтобы в записи прерывания 0x13 хранился адрес кода блокировщика (вместо адреса кода BIOS). Когда операционная система вызывает прерывание INT 13h, управление передается коду блокировщика; последний анализирует запрашиваемую функцию. На рис. 3.4 показан пример установки программного блокировщика записи и блокировки команды записи. Блокировщик записи пропускает остальные функции, передавая запрос исходному коду BIOS INT 13h.
Программные блокировщики записи уступают аппаратным по эффективности, потому что программа может обойти BIOS и произвести запись напрямую через контроллер. В общем случае для ограничения доступа к устройству средства управления должны находиться как можно ближе к устройству. Аппаратные блокировщики записи удовлетворяют этому критерию: они находятся на минимальном расстоянии от жесткого диска и соединяются с ним плоским кабелем.
Группа CFTT при NIST разработала требования и провела тестирование программных блокировщиков записи. Подробности можно найти на сайте: http:// www.cftt.nost.gov/software_write_bLock.htm.





Рис. 3.4. Таблица прерываний BIOS до и после установки программного блокировщика, предотвращающего запись на диск

<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Программная блокировка записи:

  1. Аппаратная блокировка записи
  2. Записи каталогов
  3. Записи каталогов
  4. ПРОГРАММНЫЕ КОМПОНЕНТЫ
  5. Типы учетных записей
  6. 6.3.4.3. Внесение записей в реестр акционеров
  7. 2. Природа пиратства программного обеспечения
  8. Записи каталогов для длинных имен файлов
  9. Программная реализация RAID
  10. Программно-целевая технология
  11. Межплатформенное программное обеспечение
  12. 4.4.4. Соотношение проектного и программно-целевого управления