一种操作系统保护系统及方法技术方案

本发明专利技术涉及一种操作系统保护系统及方法，该方法包括：当保护开启时，向磁盘写入标记，并控制操作系统以休眠方式启动。检测到标记后，收到写磁盘请求时，将写入数据写入申请的内存而非磁盘中。本发明专利技术利用主流桌面操作系统均支持的磁盘过滤驱动原理和休眠启动原理，通过磁盘过滤驱动对操作系统所在分区的所有写操作进行过滤，当收到写磁盘请求时，将写入数据重定向到内存中，不修改磁盘上的数据，从而保证操作系统正常工作状态下在进行磁盘写操作过程中发生断电、复位或病毒等情况均不会使操作系统文件损坏；还通过使操作系统每次启动时均锁定为休眠方式启动，因不存在回写注册表等环节，所以确保了断电等情况发生在启动过程中也不会造成系统损坏。

An operating system protection system and method

The invention relates to an operating system protection system and method, the method includes: when the protection is turned on, a mark is written to the disk, and the operating system is controlled to start in a sleep mode. After the flag is detected, when a write disk request is received, the write data is written to the requested memory instead of the disk. The invention utilizes the principle of disk filter drive and sleep start supported by the mainstream desktop operating system to filter all write operations of the partition where the operating system is located through the disk filter drive. When receiving the write disk request, the write data is redirected to the memory without modifying the data on the disk, so as to ensure the disk write operation under the normal working state of the operating system In the process of operation, power-off, reset or virus will not damage the operating system files; in addition, the operating system will be locked in the sleep mode to start each time it is started. Since there is no link such as updating the registry, it ensures that power-off and other conditions will not cause system damage in the process of starting.

【技术实现步骤摘要】
一种操作系统保护系统及方法
本专利技术涉及计算机系统领域，具体涉及一种操作系统保护系统及方法。
技术介绍
现代信息系统对计算机操作系统的可靠性提出了越来越高的要求。为了实现功能强大、交互体验好的人机交互界面，工程实践中多采用Windows、Linux等桌面式操作系统。但桌面式系统在遭受木马、病毒和恶意脚本攻击、或在磁盘写操作过程中受到异常断电的冲击等情况时，很容易遭到破坏，这已成为影响操作系统可靠性的最主要因素，无法满足一些较苛刻环境下的使用要求。对于操作系统的保护，目前最多采用的方法是简单镜像法，即在系统无法启动时进行恢复，选择恢复选项后从某个分区启动恢复软件，用事先备份好的系统进行恢复；有时还采用HPA(hostprotectedarea)镜像法，即在上一种方法的基础上，解决备份分区可见、本身也可能受到损坏的问题，上述的简单镜像法和HPA镜像法的缺点均为不能预防，只能事后弥补，一旦出现问题，虽然可以较快地恢复，但会给用户增加使用负担，并且有可能耽误用户执行重要任务。
技术实现思路
针对上述技术问题，本专利技术提供一种操作系统保护系统及方法。本专利技术解决上述技术问题的技术方案如下：一种操作系统保护系统，包括：磁盘过滤驱动模块，用于当检测到标记时，向操作系统申请内存空间，并进入消息循环进行事件检测，当收到关闭过滤功能的事件时，本模块任务结束，当收到写磁盘请求的事件时，则将所述写磁盘请求中的写入数据写入申请的所述内存空间中；休眠和磁盘过滤控制模块，用于当检测到锁定命令时，向磁盘写入所述标记；还用于当检测到解锁命令时，向所述磁盘过滤驱动模块发送关闭过滤功能的事件，并将所述标记清除。本专利技术的有益效果是：利用主流桌面操作系统均支持的磁盘过滤驱动原理，通过磁盘过滤驱动对操作系统所在分区的所有写操作都进行过滤处理，将写磁盘请求中的写入数据写入申请的内存空间，不会修改物理磁盘上的数据，因此不会因在进行磁盘写操作的过程中发生异常断电、硬复位或病毒等情况而对操作系统造成破坏，对操作及系统进行有效保护。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步，所述系统还包括MBR主导引导记录模块，用于将操作系统锁定为以休眠方式启动；所述休眠和磁盘过滤控制模块，还用于当检测到锁定命令时，控制操作系统进入休眠模式；还用于在操作系统以休眠唤醒的方式启动后，当检测到解锁命令时，控制操作系统关闭休眠功能。采用上述进一步方案的有益效果是，利用主流桌面操作系统均支持的休眠启动原理、以及磁盘过滤驱动原理，给出了一种休眠镜像与磁盘过滤相结合的方案，充分发挥了休眠功能下，操作系统将内存状态生成为镜像，每次启动时过程锁定为只需加载该镜像，不执行标准的操作系统启动流程，不存在回写注册表等环节，省略了操作系统文件、系统服务和支撑环境加载过程的特性，因此在启动过程中断电等异常情况均不会造成系统文件被损坏，并且可缩短约一半的系统启动时间。进一步，MBR主导引导记录模块，具体用于通过定制MBR使休眠文件hiberfil.sys不通过系统文件NTLDR进行加载，每次加载后不清除hiberfil.sys文件头中的标记，不使休眠文件变为无效，从而将操作系统启动方式固定保持为以休眠方式启动。进一步，申请的所述内存空间为非分页式内存。进一步，所述磁盘过滤驱动模块，具体用于当收到写磁盘请求的事件时，将所述写磁盘请求中的写入地址重定向映射到申请的所述内存空间中的地址。为实现上述专利技术目的，本专利技术还提供一种操作系统保护方法，包括：磁盘过滤驱动模块当检测到标记时，向操作系统申请内存空间，并进入消息循环进行事件检测，当收到关闭过滤功能的事件时，本模块任务结束，当收到写磁盘请求的事件时，则将所述写磁盘请求中的写入数据写入申请的所述内存空间中；休眠和磁盘过滤控制模块当检测到锁定命令时，向磁盘写入所述标记；所述休眠和磁盘过滤控制模块当检测到解锁命令时，向所述磁盘过滤驱动模块发送关闭过滤功能的事件，并将所述标记清除。进一步，所述方法还包括：MBR主导引导记录模块将操作系统锁定为以休眠方式启动；所述休眠和磁盘过滤控制模块当检测到锁定命令时，控制操作系统进入休眠模式；所述休眠和磁盘过滤控制模块在操作系统以休眠唤醒的方式启动后，当检测到解锁命令时，控制操作系统关闭休眠功能。进一步，所述MBR模块将操作系统锁定为以休眠方式启动，具体包括：所述MBR模块通过定制MBR使休眠文件hiberfil.sys不通过系统文件NTLDR进行加载，每次加载后不清除hiberfil.sys文件头中的标记，不使休眠文件变为无效，从而将操作系统启动方式固定保持为以休眠方式启动。进一步，申请的所述内存空间为非分页式内存。进一步，所述磁盘过滤驱动模块将所述写磁盘请求中的写入数据写入申请的所述内存空间中，具体包括：所述磁盘过滤驱动模块将所述写磁盘请求中的写入地址重定向映射到申请的所述内存空间中的地址。附图说明图1为本专利技术实施例提供的一种操作系统保护系统的结构框图；图2为本专利技术实施例提供的磁盘过滤驱动模块的工作流程图；图3为本专利技术实施例提供的基本功能模式的休眠和磁盘过滤控制模块的工作流程图；图4为本专利技术实施例提供的完整功能模式的休眠和磁盘过滤控制模块的工作流程图；图5为本专利技术实施例提供的一种操作系统保护方法的流程图。具体实施方式以下结合附图对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。图1为本专利技术实施例提供的一种操作系统保护系统的结构框图，如图1所示，该系统包括：磁盘过滤驱动模块，用于当检测到标记时，向操作系统申请内存空间，并进入消息循环进行事件检测，当收到关闭过滤功能的事件时，本模块任务结束，当收到写磁盘请求的事件时，则将所述写磁盘请求中的写入数据写入申请的所述内存空间中；具体的，本实施例中的磁盘过滤驱动模块通过在操作系统上安装的磁盘过滤驱动实现，磁盘过滤驱动属于一类中级驱动，位于其他一些驱动之上，透明地截取发往低层驱动程序设备对象的请求，使其完全不知道请求被截取和处理。该类驱动挂载在对应的功能驱动上，对某设备的IRP,I/ORequestPacket进行拦截，起到过滤作用。磁盘过滤驱动模块实现对磁盘写操作的过滤，对操作系统所在分区的所有写操作都经过过滤处理。若磁盘过滤驱动检测到“进入虚拟平台”标记，则首先向系统申请一块非分页式内存，然后进入消息循环进行事件检测，如果收到关闭过滤功能的事件(由“休眠和磁盘过滤控制模块”产生)，则本模块任务结束；如果收到操作系统产生的写磁盘请求事件，则开始过滤写磁盘的请求。在常用的两类方法(备份保护法和映射保护法)中，选用映射保护法，具体过程是，出现磁盘写操作时，实际写入地址重定向映射到另一个临时缓冲区(即：申请的非分页式内存)的地址，如果写操作中的写入数据过多，超出了申请的内存大小本文档来自技高网...

【技术保护点】
1.一种操作系统保护系统，其特征在于，包括：/n磁盘过滤驱动模块，用于当检测到标记时，向操作系统申请内存空间，并进入消息循环进行事件检测，当收到关闭过滤功能的事件时，本模块任务结束，当收到写磁盘请求的事件时，则将所述写磁盘请求中的写入数据写入申请的所述内存空间中；/n休眠和磁盘过滤控制模块，用于当检测到锁定命令时，向磁盘写入所述标记；还用于当检测到解锁命令时，向所述磁盘过滤驱动模块发送关闭过滤功能的事件，并将所述标记清除。/n

【技术特征摘要】
1.一种操作系统保护系统，其特征在于，包括：
磁盘过滤驱动模块，用于当检测到标记时，向操作系统申请内存空间，并进入消息循环进行事件检测，当收到关闭过滤功能的事件时，本模块任务结束，当收到写磁盘请求的事件时，则将所述写磁盘请求中的写入数据写入申请的所述内存空间中；
休眠和磁盘过滤控制模块，用于当检测到锁定命令时，向磁盘写入所述标记；还用于当检测到解锁命令时，向所述磁盘过滤驱动模块发送关闭过滤功能的事件，并将所述标记清除。


2.根据权利要求1所述的一种操作系统保护系统，其特征在于，还包括MBR主引导记录模块，用于将操作系统锁定为每次启动均以休眠方式启动；
所述休眠和磁盘过滤控制模块，还用于当检测到锁定命令时，控制操作系统进入休眠模式；还用于在操作系统以休眠唤醒的方式启动后，当检测到解锁命令时，控制操作系统关闭休眠功能。


3.根据权利要求2所述的一种操作系统保护系统，其特征在于，所述MBR主引导记录模块，替换掉系统默认的MBR，具体用于通过定制MBR使休眠文件hiberfil.sys不通过系统文件NTLDR进行加载，每次加载后不清除hiberfil.sys文件头中的标记，不使休眠文件变为无效，从而将操作系统启动方式固定保持为以休眠方式启动。


4.根据权利要求1所述的一种操作系统保护系统，其特征在于，申请的所述内存空间为非分页式内存。


5.根据权利要求1-4任一项所述的一种操作系统保护系统，其特征在于，所述磁盘过滤驱动模块，具体用于当收到写磁盘请求的事件时，将所述写磁盘请求中的写入地址重定向映射到申请的所述内存空间中的地址。


6.一种操作系统保护方法，其特征在于，包括：

【专利技术属性】
技术研发人员：孙涛，杨建勋，罗军，
申请(专利权)人：北京无线电测量研究所，
类型：发明
国别省市：北京;11