還原卡的工作原理
還原卡分兩種類型,不同的原理:
壹種是普通的還原卡,物理上不直接接管硬盤讀寫;
如:增霸卡、海光藍卡、小哨兵還原卡、三茗還原卡、熱帶雨林系統還原卡等。產品形式是壹個擴展卡,但是,跟硬盤沒有直接的關系。如圖所示:
普通還原卡安裝在主板插槽裏,在卡上有壹片ROM芯片,根據PCI規範,該ROM芯片的內容在計算機啟動時將最先得到控制權,然後它接管BIOS的INT13中斷。將FAT、引導區、CMOS信息、中斷向量表等信息都保存到卡內的臨時儲存單元中或是在硬盤的隱藏扇區中,用自帶的中斷向量表來替換原始的中斷向量表;再另外將FAT信息保存到臨時儲存單元中,用來應付我們對硬盤內數據的修改;最後是在硬盤中找到壹部分連續的空磁盤空間,然後將我們修改的數據保存到其中。這樣,只要是對硬盤的讀寫操作都要經過還原卡的保護程序進行保護性的讀寫,每當我們向硬盤寫入數據時,其實還是完成了寫入到硬盤的操作,可是沒有真正修改硬盤中的FAT。而是寫到了備份的FAT表中,這就是為什麽系統重啟後所有寫操作壹無所有的原因了。
普通還原卡100%都需要操作系統之上提供過濾驅動程序來實現還原算法的運轉。過濾驅動在操作系統之上是壹個所有軟件都可以去爭奪的控制權,因此,普通還原卡不可避免地不能保證所有還原都可靠。很多病毒,如機器狗類病毒,本質就是破壞或繞開過濾驅動來實現還原的穿透。
另壹種是新型還原卡,物理上直接接管硬盤讀寫。
如:藍芯防毒墻。右圖所示。這種新型還原卡跟普通還原卡,原理上已經有了很大的不同,首先不完全依靠BOOTROM來取得控制權了,而是總線硬件直接獲得控制權,這樣更可靠地獲得對計算機數據資源的控制;另外,因為直接控制了硬盤的物理讀寫能力,這樣可以實現硬盤硬件讀寫的驅動和還原算法合二為壹,也就是沒有普通還原卡的過濾驅動了。這樣就徹底避免了普通還原卡還原不可靠的問題。