專利名稱:一種復制與快照結(jié)合的Windows系統(tǒng)保護方法
技術領域:
本發(fā)明屬于計算機數(shù)據(jù)安全領域���,涉及一種Windows系統(tǒng)的保護方法����,尤其涉及 一種復制與快照結(jié)合的Windows系統(tǒng)保護方法����。
背景技術:
Windows作為使用最廣泛的操作系統(tǒng),始終是黑客及各種病毒�����、木馬的主要攻擊 對象����。即使采取安裝殺毒軟件與防火墻等保護措施,仍然不能完全杜絕攻擊。其次����,用戶 可能執(zhí)行一些誤操作,導致系統(tǒng)崩潰或重要數(shù)據(jù)丟失���。因此��,通常通過部署存儲服務器�,對 Windows系統(tǒng)進行有效的保護��,使其在系統(tǒng)受到攻擊或丟失關鍵數(shù)據(jù)后����,能夠從存儲服務器 中恢復�。 Windows 7系統(tǒng)在恢復與還原方面,較Windows XP���、Windows Vista操作系統(tǒng)更為 完善����。Windows 7所實現(xiàn)的基于巻影復制的系統(tǒng)備份與還原��,通過自動或手動在本地磁盤創(chuàng) 建若干還原點(即快照),在文件被修改時自動備份�。當需要恢復文件時,再運行管理程序 提取還原點中保存的數(shù)據(jù)��。但是�,這種方式仍然存在如下問題 第一、還原點對應的備份數(shù)據(jù)仍然保存在本地磁盤上����,黑客及病毒、木馬程序可以 刪除��、修改備份數(shù)據(jù)��?;蛘撸部梢酝ㄟ^刪除系統(tǒng)所創(chuàng)建的還原點標志���,使還原程序無法找 到備份數(shù)據(jù)或者還原點標志���,在需要恢復時不能找到所需的數(shù)據(jù)。 第二���、由于還原點標記及備份數(shù)據(jù)均位于本地磁盤�,如果本地磁盤出現(xiàn)物理故障, 無法恢復�。 第三、不能對注冊表的表項進行細粒度的保護和恢復����。將注冊表文件恢復到某個 還原點后,注冊表的所有表項都被恢復到創(chuàng)建還原點時刻的狀態(tài)��。但黑客及病毒��、木馬程序 一般只會修改幾個注冊表項���,因此�,這種恢復方式會丟失還原點之后的所有的注冊表項���。
對于Windows 7采用的基于增量備份策略的文件備份與還原�、系統(tǒng)映像備份與還 原�����,在備份過程中��,計算機響應���、處理其它事務的能力會受到較大影響�����。并且利用備份還原 時����,備份時刻之后的所有文件及注冊表的變化都被丟失��。 而基于磁盤巻的系統(tǒng)保護及還原方案���,當恢復到某個快照后����,磁盤巻的所有數(shù)據(jù) 塊恢復到快照點狀態(tài)��,快照點之后的所有文件及注冊表的變化同樣都被丟失�。
發(fā)明內(nèi)容
本發(fā)明的目的是為了解決現(xiàn)有備份與還原機制上存在的上述問題,提供一種復制 與快照結(jié)合的Windows系統(tǒng)保護方法��。 本方法的基本原理是在Windows系統(tǒng)中運行驅(qū)動程序���,把計算機本地磁盤塊的 變化在線實時鏡像到一個存儲服務器上����,并在存儲服務器上生成其鏡像的快照。該存儲服 務器安裝有帶恢復管理程序的WinPE系統(tǒng)����。當進行系統(tǒng)還原時,計算機遠程啟動存儲服務 器上帶有恢復管理程序的WinPE系統(tǒng)��,把快照掛載為遠程只讀磁盤�,可執(zhí)行磁盤級別的恢 復;運行恢復管理程序�,將遠程磁盤和本地磁盤的文件、注冊表進行比較���,根據(jù)比較結(jié)果�����,可
4執(zhí)行文件級別�����、注冊表項的恢復。 有益效果 本發(fā)明方法具有以下優(yōu)點 1)不需要借助恢復光盤或U盤����。通過將WinPE系統(tǒng)以及恢復管理程序制作成啟動
映像保存在存儲服務器中����,當計算機本地磁盤數(shù)據(jù)崩潰或損壞時�����,計算機可從啟動映像中 遠程啟動�����,通過運行恢復管理程序執(zhí)行系統(tǒng)恢復操作�����,而不需要系統(tǒng)恢復光盤或U盤�����。
2)實現(xiàn)多級別的恢復�����。采用本發(fā)明方法�����,可以執(zhí)行磁盤級別、文件級別的恢復����, 將存儲服務器的快照完整地復制到本地磁盤;也可以將快照中的單個文件復制到本地磁盤 上���;還可以恢復注冊表項���。 3)實現(xiàn)細粒度的比較及恢復?����;謴凸芾沓绦虮容^本地磁盤與快照磁盤的所有文 件����,以及注冊表文件中的所有注冊表項,可顯示出黑客及病毒���、木馬程序?qū)indows系統(tǒng)所 做的每一項改動�,或者用戶對文件或注冊表的誤操作,從而允許管理員依據(jù)存儲服務器中 的快照對這些改動進行還原��。
圖IDC Driver的工作流程圖��; 圖2在服務器B上生成MirrorDisk的快照示意圖���; 圖3計算機A啟動WinPE,掛載快照為外部只讀磁盤Sn即Disk ; 圖4注冊表比較結(jié)果部分截圖���; 圖5文件比較結(jié)果部分截圖�。
具體實施例方式
下面結(jié)合附圖和實施例對本發(fā)明方法作進一步描述�����。本發(fā)明不僅限于以下實例�����,
凡是利用本發(fā)明的設計思路��,做一些變化的還原方法�,都應進入本發(fā)明的保護范圍之內(nèi)。 —種復制與快照結(jié)合的Windows系統(tǒng)保護方法�,其技術方案如下 假定計算機A在本地磁盤LocalDisk上安裝有Windows操作系統(tǒng)。 首先,將計算機A與存儲服務器B相聯(lián)接��,例如�����,通過光纖(Fibre Channel)存儲
網(wǎng)絡連接����,或者通過iSCSI存儲網(wǎng)絡聯(lián)接。存儲服務器B內(nèi)部具備存儲池���,為計算機A分
配一個鏡像磁盤MirrorDisk,其大小和計算機A的本地磁盤LocalDisk相同����。鏡像磁盤
MirrorDisk作為計算機A的外部磁盤�����。存儲服務器B為鏡像磁盤MirrorDisk的快照保留
存儲空間���,初始設置為鏡像磁盤MirrorDisk的1/2���,快照空間被占滿后再根據(jù)需要從存儲
池中分配�。 在計算機A的本地磁盤LocalDisk上安裝數(shù)據(jù)復制驅(qū)動程序DC Driver�����。 DCDriver作為一個磁盤過濾驅(qū)動程序����,執(zhí)行如下任務首先進行初始同步��,即�,把本地磁 盤LocalDisk上的所有數(shù)據(jù)全部復制到存儲服務器B的鏡像磁盤MirrorDisk上;然后����, DC Driver監(jiān)控Windows操作系統(tǒng)對本地磁盤LocalDisk的寫操作,數(shù)據(jù)在寫入鏡像磁 盤LocalDisk的同時���,也被DC Driver發(fā)送給鏡像磁盤MirrorDisk,以實現(xiàn)與本地磁盤 LocalDisk的數(shù)據(jù)同步���。如果計算機A與存儲服務器B連接出現(xiàn)中斷,則DC Driver將計算 機A對本地磁盤LocalDisk的寫操作(包括塊號�、寫入的塊數(shù))記錄在內(nèi)存中的隊列Q中,當計算機A與存儲服務器B重新連接后����,從隊列Q中按順序取出寫操作��,將數(shù)據(jù)從本地磁盤 LocalDisk上讀出����,再復制到鏡像磁盤MirrorDisk����。如果隊列Q已滿,則不再記錄寫操作���, 計算機A與存儲服務器B重新聯(lián)接后要重新進行初始同步�����。如圖l所示��。
計算機A在運行過程中�,可以通過兩種控制方式�����,在存儲服務器B上生成鏡像磁 盤MirrorDisk的快照Sl�, S2�,…�,Sn。如圖2所示��。 一種是在計算機A上運行快照管理 程序���,利用存儲服務器B所提供的API ����,向存儲服務器B發(fā)送控制命令����,依次生成鏡像磁盤 MirrorDisk的快照Si (1《i《n)�����?�?煺展芾沓绦蚩梢远〞r運行���,自動為MirrorDisk生 成快照���,例如可設置每小時為鏡像磁盤MirrorDisk生成一個快照��。另一種是由管理員手 動產(chǎn)生快照���,手動產(chǎn)生快照的時間點可以設置在如下一些關鍵時刻安裝應用程序、驅(qū)動程 序前���,通過網(wǎng)絡升級系統(tǒng)程序和應用程序前�����,卸載程序前�����,修改注冊表前�����,在計算機中刪除�����、 修改某些系統(tǒng)或用戶的重要文件前�����,以及執(zhí)行其它可能影響系統(tǒng)和用戶重要數(shù)據(jù)操作的時 刻����。 當本地磁盤LocalDisk損壞,或者計算機A受到攻擊而出現(xiàn)異常��,或者數(shù)據(jù)丟失 時���,執(zhí)行系統(tǒng)還原操作�����,即����,從存儲服務器B中恢復數(shù)據(jù)����,將被修改的文件����、注冊表恢復。計 算機A啟動存儲服務器B上的WinPE系統(tǒng)�,該系統(tǒng)包含基本W(wǎng)indows系統(tǒng)和若干恢復管理 程序�,這些程序包括快照映射程序Sn即M即per���、磁盤恢復程序DiskRestorer�����、文件恢復程 序FileRestorer�����、注冊表恢復程序RegRestorer等��。 當WinPE系統(tǒng)啟動后����,管理員運行快照映射程序Sn即M即per ����,列出鏡像磁盤 MirrorDisk的所有快照,再由管理員選擇其中某個快照�,并向存儲服務器B發(fā)出控制指令, 將該快照映射給計算機A�����,作為計算機A的一個外部只讀磁盤Sn即Disk,如圖3所示����。
此時,根據(jù)具體情況�����,進行不同操作���,具體如下 (1)若本地磁盤LocalDisk物理損壞�,更換本地磁盤后���,運行磁盤恢復程序 DiskRestorer����。 DiskRestorer程序?qū)napDisk的全部數(shù)據(jù)復制到本地磁盤��,復制完成后��, 本地磁盤的全部數(shù)據(jù)恢復到該快照創(chuàng)建時刻的狀態(tài)�。 (2)如果計算機A受到攻擊而出現(xiàn)異常����,或者數(shù)據(jù)丟失�,運行文件恢復程序 FileRestorer及注冊表恢復程序RegRestorer�����。 FileRestorer程序?qū)⒈容^LocalDisk和Sn即Disk上的所有文件(注冊表文件除 外)���,并列出LocalDisk和Sn即Disk上的文件變化���。對于某一個文件C(或目錄D),有以下 情況 (1) LocalDisk和Sn即Disk上的文件C相同�。
(2) LocalDisk和Sn即Disk上的文件C不同。
(3)文件C僅存在于Sn即Disk中���。
(4)文件C僅存在于LocalDisk中����。
(5)目錄D僅存在于Sn即Disk中����。
(6)目錄D僅存在于LocalDisk中。
目錄D下的文件則屬于前4種情況之一。 針對上述后5種情況��,管理員決定是否從SnapDisk中恢復文件C(或目錄D)的備
份�����?����;謴蜁r���,F(xiàn)ileRestorer程序分別執(zhí)行以下操作 (1)將Sn即Disk上的文件C復制到LocalDisk中��。
6
(2)將Sn即Disk上的文件C復制到LocalDisk中���。
(3)刪除LocalDisk中的文件C。
(4)在LocalDisk中創(chuàng)建目錄D����。
(5)刪除LocalDisk中的目錄D。 RegRestorer程序比較LocalDisk和SnapDisk上的Windows注冊表文件���,注冊表 由下列文件組成 (1) SECURITY-對應于HKEY_LOCAL_MACHINE\SECURITY ; (2) software-對應于服EY—L0CAL-MACHINEXS0FTWARE ; (3) system-對應于HKEY_LOCAL_MACHINE\SYSTEM ; (4) default-對應于HKEY_USERS\. DEFAULT ; (5) SAM-對應于服EY-L0CAL-MACHINE、SAM ; (6) ntuser. dat-對應于HKEY_CURRENT_USER ; (7)Usrclass.dat- 對應于HKEY_CURRENT_USER\SOFTWARE\Classess ;
RegRestore程序r比較兩個磁盤上的上述注冊表,并列出注冊表的變化��。對于某一注冊表
文件E中的注冊表項F���,有以下4種情況 (1) LocalDisk和Sn即Disk上的注冊表項F相同�����; (2) LocalDisk和Sn即Disk上的注冊表項F不同����; (3)注冊表項F僅存在于SnapDisk中���; (4)注冊表項F僅存在于LocalDisk中��。 針對上述后3種情況��,管理員決定是否從SnapDisk中恢復注冊表項F的備份�����,恢 復時RegRestorer分別執(zhí)行以下操作 (1)將Sn即Disk上的注冊表項F復制到LocalDisk中的文件E ;
(2)在LocalDisk中的文件E中分配空間�,創(chuàng)建并復制注冊表項F ;
(3)刪除LocalDisk中的文件E中的注冊表項F�����。
至此,就完成了 Windows系統(tǒng)的還原�,從而實現(xiàn)了對系統(tǒng)的保護。
實施例 本實例采用暴風一號(BoyFine)病毒樣本���。計算機安裝有Windows XP操作系統(tǒng)����。 當計算機感染該病毒后���,所有根目錄文件夾均被隱藏�,且病毒根據(jù)根目錄文件夾名創(chuàng)建相 應的Ink文件����,Ink文件被刪除后會重新生成。 首先����,在本地磁盤安裝DC Driver后,利用DC Driver進行初始同步和監(jiān)控本地寫 操作��。 暴風一號病毒入侵前��,系統(tǒng)處于正常狀態(tài)。在存儲服務器B上啟動了一個磁盤鏡 像的快照Sl��。 當暴風一號病毒入侵后����,在存儲服務器B上啟動一個磁盤鏡像的快照S2���。當進行 系統(tǒng)恢復時��,由存儲服務器B上的WinPE啟動計算機A�。 掛載快照鏡像SI為H盤�����,H盤是只讀的�,本地磁盤為I盤,利用注冊表比較工具進 行比較H盤和I盤的注冊表文件�����,發(fā)現(xiàn)暴風一號病毒修改了注冊表�,如圖4所示。利用文件 比較工具比較H盤和I盤的文件�,發(fā)現(xiàn)了暴風一號病毒修改�����、增加及刪除的文件����,如圖5所示��。
最后�,根據(jù)注冊表和文件的比較結(jié)果,可以手工編輯注冊表�、移動文件進行還原, 也可以利用管理工具����,如采用注冊表恢復程序RegRestorer恢復注冊表,文件恢復程序 FileRestorer恢復文件���。
8
權(quán)利要求
一種復制與快照結(jié)合的Windows系統(tǒng)保護方法��,其特征在于�����,在安裝有Windows系統(tǒng)的計算機中運行一個數(shù)據(jù)復制驅(qū)動程序�,由其復雜把計算機本地磁盤塊的變化在線實時鏡像到一個存儲服務器上,并在存儲服務器上生成其鏡像的快照���;其中��,所述存儲服務器中安裝有帶恢復管理程序的WinPE系統(tǒng)��;同時,存儲服務器內(nèi)部具備存儲池��,為計算機分配一個鏡像磁盤�����,其大小和計算機的本地磁盤相同�,鏡像磁盤作為計算機的外部磁盤;存儲服務器為鏡像磁盤的快照保留存儲空間����,初始設置為鏡像磁盤的1/2,快照空間被占滿后再根據(jù)需要從存儲池中分配��;所述數(shù)據(jù)復制驅(qū)動程序作為一個磁盤過濾驅(qū)動程序���,執(zhí)行如下任務首先進行初始同步��,即��,把計算機本地磁盤上的所有數(shù)據(jù)全部復制到存儲服務器的鏡像磁盤上����;然后,該數(shù)據(jù)復制驅(qū)動程序監(jiān)控Windows操作系統(tǒng)對本地磁盤的寫操作���,數(shù)據(jù)在寫入鏡像磁盤的同時���,也被數(shù)據(jù)復制驅(qū)動程序發(fā)送給鏡像磁盤,以實現(xiàn)與本地磁盤的數(shù)據(jù)同步���;如果計算機與存儲服務器連接出現(xiàn)中斷�,則數(shù)據(jù)復制驅(qū)動程序?qū)⒂嬎銠C對本地磁盤的寫操作記錄在內(nèi)存中的一個隊列中��,當計算機與存儲服務器重新連接后�,從隊列中按順序取出寫操作,將數(shù)據(jù)從本地磁盤上讀出�����,再復制到鏡像磁盤;如果隊列已滿����,則不再記錄寫操作,計算機與存儲服務器重新聯(lián)接后重新進行初始同步��;當本地磁盤損壞�,或者計算機受到攻擊而出現(xiàn)異常,或者數(shù)據(jù)丟失時�,執(zhí)行系統(tǒng)還原操作,即�,從存儲服務器中恢復數(shù)據(jù),將被修改的文件����、注冊表恢復����;計算機啟動存儲服務器上的WinPE系統(tǒng),該系統(tǒng)包含基本W(wǎng)indows系統(tǒng)和若干恢復管理程序��,這些程序包括快照映射程序SnapMapper��、磁盤恢復程序DiskRestorer����、文件恢復程序FileRestorer���、注冊表恢復程序RegRestorer;當WinPE系統(tǒng)啟動后�,管理員運行快照映射程序SnapMapper,列出鏡像磁盤MirrorDisk的所有快照����,再由管理員選擇其中某個快照,并向存儲服務器發(fā)出控制指令��,將該快照映射給計算機����,作為計算機的一個外部只讀磁盤SnapDisk;此時���,根據(jù)具體情況�����,進行不同操作��,具體如下(1)若本地磁盤LocalDisk物理損壞�����,更換本地磁盤后��,運行磁盤恢復程序DiskRestorer�����;DiskRestorer程序?qū)napDisk的全部數(shù)據(jù)復制到本地磁盤���,復制完成后����,本地磁盤的全部數(shù)據(jù)恢復到該快照創(chuàng)建時刻的狀態(tài)��;(2)如果計算機受到攻擊而出現(xiàn)異常��,或者數(shù)據(jù)丟失���,運行文件恢復程序FileRestorer及注冊表恢復程序RegRestorer;FileRestorer程序?qū)⒈容^LocalDisk和SnapDisk上的所有文件���,但注冊表文件除外��;并列出LocalDisk和SnapDisk上的文件變化��;對于某一個文件C或者目錄D�,有以下情況(1)LocalDisk和SnapDisk上的文件C相同;(2)LocalDisk和SnapDisk上的文件C不同��;(3)文件C僅存在于SnapDisk中���;(4)文件C僅存在于LocalDisk中�;(5)目錄D僅存在于SnapDisk中�;(6)目錄D僅存在于LocalDisk中;目錄D下的文件則屬于前4種情況之一�����;針對上述后5種情況�����,管理員決定是否從SnapDisk中恢復文件C或者目錄D的備份���;恢復時�,F(xiàn)ileRestorer程序分別執(zhí)行以下操作(1)將SnapDisk上的文件C復制到LocalDisk中�����;(2)將SnapDisk上的文件C復制到LocalDisk中;(3)刪除LocalDisk中的文件C�����;(4)在LocalDisk中創(chuàng)建目錄D�����;(5)刪除LocalDisk中的目錄D��;RegRestorer程序比較LocalDisk和SnapDisk上的Windows注冊表文件�,注冊表由下列文件組成(1)SECURITY——對應于HKEY_LOCAL_MACHINE\SECURITY;(2)software——對應于HKEY_LOCAL_MACHINE\SOFTWARE�����;(3)system——對應于HKEY_LOCAL_MACHINE\SYSTEM����;(4)default——對應于HKEY_USERS\.DEFAULT�;(5)SAM——對應于HKEY_LOCAL_MACHINE\SAM;(6)ntuser.dat——對應于HKEY_CURRENT_USER���;(7)Usrclass.dat——對應于HKEY_CURRENT_USER\SOFTWARE\Classess�;RegRestore程序r比較兩個磁盤上的上述注冊表,并列出注冊表的變化���;對于某一注冊表文件E中的注冊表項F���,有以下4種情況(1)LocalDisk和SnapDisk上的注冊表項F相同;(2)LocalDisk和SnapDisk上的注冊表項F不同���;(3)注冊表項F僅存在于SnapDisk中�����;(4)注冊表項F僅存在于LocalDisk中����;針對上述后3種情況�,管理員決定是否從SnapDisk中恢復注冊表項F的備份,恢復時RegRestorer分別執(zhí)行以下操作(1)將SnapDisk上的注冊表項F復制到LocalDisk中的文件E���;(2)在LocalDisk中的文件E中分配空間����,創(chuàng)建并復制注冊表項F;(3)刪除LocalDisk中的文件E中的注冊表項F�����。
2. 如權(quán)利要求1所述的一種復制與快照結(jié)合的Windows系統(tǒng)保護方法�����,其特征在于�,在 存儲服務器上生成鏡像磁盤MirrorDisk的快照,通過以下控制方式在計算機上運行快照管理程序�,利用存儲服務器所提供的API,向存儲服務器發(fā)送控制 命令,依次生成鏡像磁盤MirrorDisk的快照Si���, 1《i《n ;快照管理程序能夠定時運行��, 自動為MirrorDisk生成快照�����。
3. 如權(quán)利要求1所述的一種復制與快照結(jié)合的Windows系統(tǒng)保護方法�����,其特征在于���,在 存儲服務器上生成鏡像磁盤MirrorDisk的快照,通過以下控制方式由管理員手動產(chǎn)生快照����,手動產(chǎn)生快照的時間點設置在如下關鍵時刻之一安裝應用 程序、驅(qū)動程序前�����;通過網(wǎng)絡升級系統(tǒng)程序和應用程序前����;卸載程序前;修改注冊表前�����;在 計算機中刪除��、修改某些系統(tǒng)或用戶的重要文件前�����;以及執(zhí)行其它可能影響系統(tǒng)和用戶重 要數(shù)據(jù)操作的時刻��。
全文摘要
本發(fā)明公開了一種復制與快照結(jié)合的Windows系統(tǒng)保護方法。在Windows系統(tǒng)中運行驅(qū)動程序��,把計算機本地磁盤塊的變化在線實時鏡像到一個存儲服務器上�����,并在存儲服務器上生成其鏡像的快照���。該存儲服務器安裝有帶恢復管理程序的WinPE系統(tǒng)���。當進行系統(tǒng)還原時,計算機遠程啟動存儲服務器上帶有恢復管理程序的WinPE系統(tǒng)�,把快照掛載為遠程只讀磁盤,可執(zhí)行磁盤級別的恢復��;運行恢復管理程序�����,將遠程磁盤和本地磁盤的文件�、注冊表進行比較,根據(jù)比較結(jié)果���,可執(zhí)行文件級別���、注冊表項的恢復��。采用本發(fā)明方法,不需要借助恢復光盤或U盤����,能夠?qū)崿F(xiàn)多級別的恢復和細粒度的比較及恢復。
文檔編號G06F11/14GK101777018SQ201019185018
公開日2010年7月14日 申請日期2010年2月8日 優(yōu)先權(quán)日2010年2月8日
發(fā)明者周澤湘, 孫志卓, 王志剛, 肖建國, 譚毓安 申請人:北京同有飛驥科技有限公司