虛擬還原穿透方法研究.pdf

1、遠程實時監(jiān)控軟件是計算機取證中的一個重要組成部分，但在植入遠程實時監(jiān)控軟件時往往會受到虛擬還原軟件的干擾。因此，研究虛擬還原穿透技術(shù)對于計算機網(wǎng)絡(luò)隱蔽取證具有重要的理論意義和實用價值。
　　 在分析設(shè)備驅(qū)動程序的基本組成、用戶態(tài)應(yīng)用程序與驅(qū)動程序的通信方式和使用I/O（Input/Output）控制碼對設(shè)備進行輸入輸出控制等相關(guān)技術(shù)的基礎(chǔ)上，設(shè)計了一個基于端口操作的虛擬還原穿透驅(qū)動程序POVRPD（Port Operation-

2、based VirtualRecovery Pass-through Driver）。
　　 根據(jù)磁盤讀寫操作的處理流程，分析了幾個還原軟件的技術(shù)關(guān)鍵，提出了POVRPD的指導思想和技術(shù)思路，給出了POVRPD中兩個關(guān)鍵技術(shù)：穿透方式和輸入輸出同步的核心。穿透方式的核心是在突破驅(qū)動器讀寫限制的基礎(chǔ)上，實現(xiàn)扇區(qū)直接讀寫；輸入輸出同步的核心是對磁盤讀寫操作進行排隊管理。最后綜合技術(shù)思路和關(guān)鍵技術(shù)，說明了POVRPD的處理流程。

3、>　　 基于POVRPD的處理流程，重點闡述了其中關(guān)鍵技術(shù)的實現(xiàn)途徑，包括驅(qū)動器讀寫限制的突破、磁盤讀寫操作的截獲、扇區(qū)的直接讀寫以磁盤讀寫操作的排隊管理。為了驗證POVRPD的穿透性能，設(shè)計了測試程序，并分別在安裝了基于WindowsXP系統(tǒng)還原的還原軟件、基于過濾驅(qū)動的還原軟件以及基于中斷重定向的還原軟件的Windows操作系統(tǒng)環(huán)境下，進行了測試。
　　 測試結(jié)果表明，POVRPD不僅能夠穿透若干主流的虛擬還原軟件，而且兼