還原卡
還原卡
還原卡全稱硬碟還原卡,是用於計算機操作系統保護的一種PCI擴展卡。每一次開機時,硬碟還原卡總是讓硬碟的部分或者全部分區能恢復先前的內容。換句話說,任何對硬碟保護分區的修改都無效,這樣就起到了保護硬碟數據的作用。這一點,對於維護在公共領域使用的計算機有很大的價值,因此廣泛應用於學校的計算機實驗室,圖書館和網吧。
還原卡
也正因為這樣,還原卡廠商為了滿足學校計算機實驗室的維護需要而添加了更多功能。有些已經遠遠超出了操作系統保護方面,但由於還原卡已經為廣大用戶所熟知,因此,大部分產品依然延續了“還原卡”這個產品名稱。
硬碟保護卡安裝在主板PCI插槽里,在卡上有一片ROM晶元,根據PCI規範,該ROM晶元的內容在計算機啟動時將最先得到控制權,然後它接管BIOS的INT13中斷,將FAT、引導區、CMOS信息、中斷向量表等信息都保存到卡內的臨時儲存單元中或是在硬碟的隱藏扇區中,用自帶的中斷向量表來替換原始的中斷向量表;再另外將FAT信息保存到臨時儲存單元中,用來應付我們對硬碟內數據的修改;最後是在硬碟中找到一部分連續的空磁碟空間,然後將我們修改的數據保存到其中。這樣,只要是對硬碟的讀寫操作都要經過硬碟保護卡的保護程序進行保護性的讀寫,每當我們向硬碟寫入數據時,其實還是完成寫入到硬碟的操作,可是沒有真正修改硬碟中的FAT。而是寫到備份的FAT表中,這就是為什麼系統重啟后所有寫操作一無所有的原因。
由於硬碟保護卡能夠有效的使硬碟的數據保持在設置為保護時的狀態,對於學校計算機實驗室的維護非常有用。因為每堂課學生所做的操作,在重啟之後,都將恢復原樣,下一堂課的系統軟體環境依然是全新的。所以,硬碟保護卡產品逐漸成為學校計算機實驗室的標準配置,許多品牌計算機在針對學校的機型當中甚至集成硬碟保護卡產品。
也正因為這樣,硬碟保護卡廠商為了滿足學校計算機實驗室的維護需要而添加更多功能,有些已經遠遠超出操作系統保護方面,但由於硬碟保護卡已經為廣大用戶所熟知,因此,大部分產品依然延續“硬碟保護卡”這個產品名稱。
目前主流硬碟保護卡產品所具有的主要功能已經包括三個大的方面,即
•操作系統(硬碟數據)立即還原。
•網路拷貝,實現機房軟體環境的統一部署。
•學生機遠程管理。
•操作系統立即還原:這是硬碟保護卡的基礎功能,也是硬碟保護卡名稱的由來。值得注意的是由於網游的快速發展,盜取虛擬遊戲裝備有很大的經濟利益,而安裝在網吧的硬碟保護卡具備還原功能,對盜取遊戲帳號有很大的阻礙,前幾年,出現破解硬碟保護卡還原功能的針對性病毒,比如大名鼎鼎的“機器狗”,這種病毒的泛濫,使得網吧基本放棄使用硬碟保護卡進行維護,也威脅學校計算機實驗室的安全性。不過,由於學校計算機實驗室的硬碟保護卡產品相對比較高端,廠商的實力也比較強,很快作出相應的應對措施。由於硬碟保護卡基本退出網吧市場,而破解學校計算機實驗室的硬碟保護卡沒有什麼經濟利益,因此,這次風波基本上已經過去。
•機房軟體環境統一部署:由於硬碟保護卡大量使用在公共機房環境,而如何為公共機房的批量計算機安裝操作系統和應用軟體就是管理人員面臨的一個難題。因此,目前硬碟保護卡都具備網路拷貝功能,類似於網路GHOST,先在一台計算機上安裝所需的系統和軟體,然後通過網路複製到所有計算機上。硬碟保護卡的網路拷貝功能出現得比網路GHOST更早,然後由於硬碟保護卡啟動時能夠先得到控制權,因此進行網路拷貝不需要象GHOST一樣要準備伺服器,做好鏡像,直接就可以使用,非常方便。由於現在硬碟容量越來越大,軟體的體積也越來越大,進行一次網路拷貝需要很長的時間。而在機房管理的過程中往往只是更新很少一部分軟體,因此,廠商對網路拷貝進行改進,能夠只拷貝發生變化的數據,從而大大提高拷貝的效率,不過該技術推出時並不成熟,目前,從最初的增量拷貝、發展到變數拷貝直到最新的差異拷貝,才基本完善。從操作方式上,網路拷貝也從DOS平台逐漸轉換到WINDOWS平台,在操作的人性化上,得到很大的提升。平台的轉換也大幅提升網路拷貝的速度,目前一線的產品一般能夠達到百兆環境平均600M/分鐘,千兆環境平均2G/分鐘左右,而且能夠支持斷點續傳。
•軟體統一註冊:由於網路拷貝以後,所有計算機的硬碟數據都是一致的,這會導致在不同機器上需要使用不同序列號的軟體不能正常使用,從而需要在每台單機上重新註冊,這無疑將增加用戶的工作量,並大大限制網路拷貝或差異拷貝的使用。軟體統一註冊功能就是為了解決這個問題而設計的,它能夠記住每台計算機的軟體序列號,在拷貝完成後自動將對應的序列號更改正確,避免重複註冊的工作。
•單機多系統環境:由於學校計算機實驗室往往承擔著各種教學任務,需要各種不同的教學環境,所以主流硬碟保護卡都支持多操作系統功能,能夠在一台計算機上安裝多個操作系統,並且互相隔離,互不影響。近年來,部分硬碟保護卡廠商借鑒虛擬機當中的快照原理,能夠基於一個操作系統快速創建出多個系統環境,滿足不同的教學需要,減少硬碟空間佔用,減少操作系統重複安裝的工作。
•遠程管理學生機:隨著硬碟保護卡成為學校計算機實驗室維護和管理的必備品,其功能應廣大用戶的需求日益擴展,最新的發展勢頭已經開始涉及在教學過程中對學生進行各種管理,包括網路控制、程序限制、流量限制、埠控制,屏幕監控等。總體來說硬碟保護卡已經從單一的系統保護功能逐漸擴展,實質上成為計算機實驗室維護和綜合管理的全能工具,只是延續其“硬碟保護卡”的產品名稱。
市面上硬碟還原卡種類很多,大多是PCI匯流排,採用了即插即用技術,不必重新進行硬碟分區,而且免裝驅動程序。安裝時把卡插入計算機中任一個空閑的PCI擴展槽中,開機后檢查BIOS以確保硬碟參數正確?同時將BIOS中的病毒警告設置為Disable。在進入操作系統前,硬碟還原卡會自動跳出安裝畫面,先放棄安裝而進入Windows,確保計算機當前硬體和軟體已經處於最佳工作狀態,建議檢查一下計算機病毒,確保安裝還原卡前系統無病毒。最好先在Windows里對硬碟數據作一下碎片整理。殺毒軟體的實時防毒功能、各種基於Windows的系統防護/恢復軟體的功能已經完全或者部分地被還原卡包含,建議關閉或不安裝或卸載。
重啟后安裝還原卡,並設置還原卡的保護選項(具體設置因還原卡不同而異)。但大多都應有以下幾項:硬碟保護區域設定、還原方式設定(包括開機自動恢復、選擇恢復和定時恢復等)、密碼設定等。設置完畢,保護數據后,整個硬碟就在還原卡的保護之下了。
使用GHOST進行磁碟對拷
很多的還原卡在說明書中寫著並不支持GHOST的使用,因為還原卡在硬碟的隱藏扇區中寫有數據,直接對拷后很可能會藍屏進不了系統。然而很多情況下(如網吧、學校等單位大批機器軟體安裝),我們還是要使用GHOST做磁碟對拷。必須將源盤和目標盤的還原卡徹底移除(大部分還原卡的設置選項均中有移除選項,有的廠商提供專門的卸載工具,或者將還原卡從主板上直接拔下),這樣才能安全清除還原卡在隱藏扇區中保存的數據,然後就能正常地使用GHOST了。
保留一定的硬碟空間
技術不成熟的廠商標榜自己的還原卡不佔用硬碟空間,但硬碟可用空間非常少時,硬碟還原卡就會工作不正常了。因為硬碟剩餘空間太少,當硬碟寫操作較多時,還原卡因為沒有足夠的動態緩衝區而強制系統停機。所以建議使用保護卡時不要將硬碟空間佔滿,至少剩餘幾百兆可用空間給硬碟還原卡存儲臨時數據。
暫存區智能延展
噢易科技有限公司是該技術的首創者已有專利,研發的還原卡都加入了動靜態暫存區智能延展技術,完全可以避免硬碟空間很少時產生的死機與系統停機問題。不需要使用單獨的一個硬碟分區來做還原卡的暫存區,大大節約了硬碟的使用空間。該技術使用硬碟空閑區域動態進行整合,用做還原卡的臨時存儲。
慎用還原卡的多分區引導
有些還原卡提供了多重引導分區的功能,但要注意利用還原卡進行特殊分區會破壞原有硬碟的所有內容與信息,要刪除這些分區時也將會破壞所有的信息,在操作時一定要作好對重要數據的備份。各個多引導分區之間並不可見,各系統不能相互訪問到。如需要多操作系統,建議使用第三方多重引導軟體,例如System Commander等。
還原卡的安全性
無疑,保證數據的安全是還原卡最重要的一個方面。實際上,當隱藏扇區中保護卡保存的數據受到損壞時或硬碟本身受到了物理損壞時,硬碟其它被保護的資料就很容易出現問題,如發生硬碟死鎖、無法讀取數據等現象。此外,由於大部分還原卡的原理都是修改中斷向量表來接管INT13中斷,所以一些高手很容易通過找到Int13h的原始BIOS中斷向量值,填入中斷向量表的方法,恢復INT13的BIOS中斷向量,來達到屏蔽掉還原卡的效果。
此外還原卡密碼的安全性也令人擔憂。網上有居心叵測之人提供了某些品牌還原卡的破解工具;部分品牌的還原卡本身帶有通用密碼;另外還有一部分廠商提供了還原卡的密碼清除工具或還原卡安裝信息清除工具(可能是廠商怕用戶不慎忘記密碼而設置的,可是這卻無形中降低了數據的安全性)。
所以,還原卡的保護功能給日常的工作提供了便利,卻是防君子防不了小人,防菜鳥防不了黑客的,永遠都不要相信還原卡是萬能的!
還原卡的選擇
首先要選擇兼容性好的還原卡。由於操作系統、主板類型的不同,還有安裝的各種軟體,不可能保證還原卡百分之百地與主機兼容。市場上還原卡種類很多,選購時一定要注意是否全面支持DOS、Win32、Win95/97/98/2000/NT、Linux等常見操作系統,並讓系統在真正的32位系統下工作,而不是MS-DOS兼容方式;是否完全不佔系統IRQ及I/0資源,有無硬體及軟體相衝突的問題;最大支持硬碟的數量。此外,除了最基本的硬碟保護功能,很多還原卡還擁有其他功能,如BIOS數據保護,自帶硬碟對拷和網路對拷功能,網路維護,多重引導分區,軟體升級等,更為用戶提供了方便。
還原卡有以下兩大派“帶網路功能的還原卡”“不帶網路功能的單卡還原卡”
帶網路功能的還原卡
(即網卡+還原卡功能於一體)
其中有“百兆網路型還原卡”和“千兆網路型還原卡”,百兆網路型還原卡最為常見,據噢易科技有限公司表示百兆網路型還原卡已突破1GB/s,突破了百兆環境的理論值!
非帶網路功能的單卡型還原卡
一般單卡型還原卡能夠自動識別主版自帶的網卡與其他常見網卡,能自動識別百兆/千兆網路環境,充分發揮已有的網卡功能實施硬碟保護與環境部署功能!價格低廉是經濟實用型的產品。
最新一代純硬體還原卡
眾所周知,從2007年開始爆發的機器狗病毒肆虐了整個還原卡的領地,幾乎讓還原卡產品的容面一掃而光。各個還原卡廠家也是為了遏制住類似於“機器狗”這樣的利用還原卡漏洞穿透還原卡的病毒,開展了技術的競賽。
大部分廠家集中於往產品打補丁的方式,類似於殺毒軟體的防禦原理,出來了新的一類機器狗,就打上新的一類補丁,讓防毒和病毒還是處於無休止的技術競賽中。
就在07年機器狗開始爆發時,噢易科技有限公司立刻根據當時病毒的特性率先推出了能夠從根本上解決機器狗類似病毒的解決方案!噢易變數卡金剛版。據官方資料介紹,該卡能直接攔截底層穿透動作,智能的丟棄“越軌”的硬碟寫入行為,使之不受到類似病毒繞過還原卡的行為!保護了硬碟不受到病毒的感染!
為什麼噢易變數卡金剛版能夠防禦機器狗類穿透病毒呢?
通過資料可以看到,機器狗病毒通過在IRP_MJ_CREATE斷開DeviceHarddisk0DR0上附加的設備來使磁碟過濾驅動、文件系統驅動無效,然後通過直接訪問硬碟的MBR和第一個分區的引導扇區得到分區參數,配合通過FSCTL_GET_RETRIEVAL_POINTERS獲取文件數據的分佈信息定位文件在硬碟上的絕對偏移量,得到偏移量后將病毒直接寫入指定系統文件的第一簇來感染文件。而噢易變數卡金剛版也就是針對這類操作做了丟棄操作,不去理會病毒的寫入。從而保護硬碟上的文件不受到感染。
再到09年初,市面上出現了一種新的產品--藍芯防毒卡。據相關資料介紹,該卡直接從物理上接管硬碟讀寫控制權,再通過PCI-E介面(也有PCI版本)跟主板連接,讓防毒卡具備了在根本上控制磁碟訪問的技術可能性。
由於採用了硬體級的還原保護技術,讓受到保護的分區和數據免受各種已知或未知病毒的侵擾。
各位可能都有一個疑問:為何藍芯防毒卡能防未知病毒?
這是很多人的疑問,類比一下,還原產品和防毒卡都是對要保護的數據修建一堵圍牆,圍牆的門相當於讀寫控制。從技術原理上來說,操作系統有多個層次的讀寫控制,也就是說有多道門,之前的產品由於本身不能物理上接管磁碟讀寫,所以,都是在前面幾道門堵一堵病毒,而我們是在最後一道門,也是最根本的這道門。所以,我們能把病毒堵住,而別人的可能對某些病毒就堵不住。
防毒卡不是殺毒軟體,原理也不一樣,無需辨別病毒,因為我們是一道門,哪怕是人為的破壞,我們都給堵住在牆外面。
未來的病毒也是一種軟體而已,我們是最後一道門,所以,不論病毒技術如何改進,要破壞數據都不得不通過這最後一道門。而這道門又在我們的掌握中,所以,未知的病毒只要還是軟體就無法破壞。